安装环境:
OS:contos 6.4
httpd:httpd-2.2.15-59.el6.centos.i686.rpm
openssl:openssl-1.0.1e-57.el6.i686.rpm
mod_ssl:mod_ssl-2.2.15-59.el6.centos.i686.rpm
一、配置apache的用户认证
用户认证:用户需在进入web时,登录合法的用户,认证通过后,才能进入访问web服务器
(1)安装httpd,编辑/etc/httpd/conf/httpd.conf
在文件中大约338行左右有一行
“AllowOverride none” 这个是系统默认的,无控制列表,见附。
我们这里将none改为AuthConfig,并添加以下几行内容,如下:
AllowOverride AuthConfig
AuthType Basic # 用户认证类型
AuthName "Restricted Site" # 认证时显示的名字
AuthUserFile /etc/httpd/conf/htpasswd # 认证时用户的账号密码文件
#AuthGroupFile /etc/httpd/conf/htgroup #基于组的认证
# Require user tom # 只有tom用户才能登录
# Require group myusers # 允许哪个组中的用户登录
Require valid-user # 出现在账号密码文件中的用户都能登录
ps:若不支持utf-8,请将中文注释去掉
(2)创建/etc/httpd/conf/htpasswd文件,及用户
使用htpasswd命令创建用户,在第一次创建时加-c可创建文件
htpasswd -c -m /etc/httpd/conf/htpasswd dyz
#连续输入两次密码
# htpasswd -m /etc/httpd/conf/htpasswd zzz
#连续输入两次密码
(3)若开启基于组的认证,则创建组文件/etc/httpd/conf/htgroup
在文件中写入一行
myusers: dyz zzz
二、配置apache的ssl双向认证
ssl单向认证:只服务端部署ssl证书,向用户提供了身份认证
ssl双向认证:服务端部署ssl证书,向用户提供了身份认证。并且服务段需要客户端提供身份认证,只能是服务端允许的客户能去访问,安全性更高
(1)安装openssl,使用openssl生成证书
生成客户端证书密钥:
openssl genrsa -des3 -out client.key 1024
生成客户端证书签名请求:
openssl req -new -key client.key -out client.csr
生成CA证书密钥:
openssl genrsa -des3 -out ca.key 1024
生成CA证书:
openssl req -new -x509 -keyout ca.key -out ca.crt
生成客户端证书:
openssl x509 -req -days 3650 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -o
ut client.crt
生成浏览器支持的证书格式p12:
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
输入的密码,在将证书导入浏览器时能用到
ps:使用openssl verify -CAfile ca.crt client.crt命令,验证客户端证书和CA证书
(2)安装mod_ssl,编辑/etc/httpd/conf.d/ssl.conf
设置客户端证书目录:SSLCertificateFile /etc/pki/tls/certs/client.crt
设置客户端证书密钥目录:SSLCertificateKeyFile /etc/pki/tls/certs/client.key
设置CA证书目录:SSLCACertificateFile /etc/pki/tls/certs/ca.crt
开启要求进行客户端认证:
取消注释
SSLVerifyClient require
SSLVerifyDepth 10
(3)将第一步生成的证书及证书密钥放入ssl.conf配置文件指定的目录/etc/pki/tls/certs/
(4)重启httpd服务:service httpd restart