一、http协议和https协议的传输格式
http:文本格式的协议
https:二进制格式的协议
二、x509.3证书格式:
证书格式的版本号
证书序列号
证书签名算法
证书颁发者
有效期
持有者的名称
持有的公钥
CA的ID
持有者的ID
其它扩展信息
基本约束
证书策略
密钥的使用限制
CA签名
三、PKI:Public Key Infrastructure
端实体(申请者)
注册机构(RC)
签证机构(CA)-->签证机构(CA)
证书撤销列表(CRL)发布机构
证书存取库
四、SSL握手要完成的工作
交换协议的版本号
选择一个双方都知道的密码
对两端实现身份验证
SSL会话基于IP地址进行,不支持在基于FQDN的虚拟主机上实现
五、客户端验证服务器证书时
日期检测:证书是否在有效期内
证书颁发者的可信度
证书的签名检测
持有者的身份检测
六、基于mod_ssl模块实现对ssl的支持
准备好服务器的私钥和证书
# vim /etc/pki/tls/openssl.cnf
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
countryName_min = 2
countryName_max = 2
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = BeiJing
localityName = Locality Name (eg, city)
localityName_default = MiYun
0.organizationName = Organization Name (eg, company)
0.organizationName_default = fansik
# cd /etc/pki/CA/
# (umask 077; openssl genrsa 2048 > private/cakey.pem)
# openssl req -new -x509 -key private/cakey.pem -days 3655 -out cacert.pem
# touch index.txt serial crlnumber
# echo 01 > serial
# cd /etc/httpd/conf/ssl/
# (umask 077; openssl genrsa 1024 > httpd.key)
# openssl req -new -key httpd.key -out httpd.csr
安装mod_ssl模块
# yum -y install mod_ssl
配置/etc/httpd/conf.d/ssl.conf
配置使用ssl的虚拟主机
ServerName
DocumentRoot
配置证书和私钥
SSLCertificatFile 证书文件
SSLCerttifatKeyFile 密钥文件
重启httpd服务
测试:# openssl s_client -connect www.fansik.com:443 -CAfile /etc/pki/CA/cacert.pem