zoukankan      html  css  js  c++  java

  • 配置HTTPS

    HTTP简介

    Web服务器在默认情况下使用HTTP,这是一个纯文本的协议。正如其名称所暗示的,纯文本协议不会对传输中的数据进行任何形式的加密。而基于HTTP的Web服务器是非常容易配置,它在安全方面有重大缺陷。任何”中间人”,通过精心防止的数据包嗅探器,是能够看到任何经过的数据包内容。更进一步,恶意用户甚至可以在传输路径设置一个假冒的WEB服务器冒名顶替实际的目标Web服务器。在这种情况下,最终用户可能实际上与假冒者服务器,而不是真正的目的服务器进行通信。这样,恶意用户可以通过精心设计的表单欺骗终端用户获取到敏感信息,如用户名密码。

    为了处理这些类型的漏洞,大多数供应商往往在他们的web服务器应用HTTPS协议。对于只读类型的网站,用户只能读取内容,并没有实际提交任何信息,HTTP仍然是一个可行的选择。但是,对于保存敏感信息的网站,比如:用户需要登录来获得网站的服务,那么HTTPS是必须的。

    HTTPS能够为一个网站提供以下能力。

    1、确保所有经过服务器传输的数据包都是经过加密的。

    2、建立了一个官方数字证书证书,使得假冒服务器无法冒充真正的服务器。

    HTTPS证书获取途径

    1、自签名证书被推荐用于测试目的和个人项目。自签名证书,也可以用于服务提供商,不过一般适用于用户互相信任的情形。另外,自签名证书不用花钱购买。

    2、证书可以由社区为基础的认证供应商如StartSSL和CACERT办法。这些证书也不需要花钱,但建议为个人项目。

    3、对于全球性商业网站,建议从值得信赖的知名证书颁发机构购买证书。这些证书需要花钱,但他们增加了网络服务提供商的信誉。

    实验环境:

    系统版本:centos7x3.10.0-514.el7.x86_64

    Apache版本:Apache/2.4.6

    关闭防火墙并禁止开机自启

    systemctl stop firewalld.service
    systemctl disable firewalld

    关闭selinux

    sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux

    修改主机名

    vi /etc/hostname
    apache.xyc.com

    域名绑定IP

    vi /etc/hosts
    192.168.152.170 apache.xyc.com

    重启 reboot

    安装apache服务

    1、安装apache环境依赖

    yum -y install mod_ssl openssl httpd

    2、创建CA证书存放目录

    mkdir /etc/httpd/ca

    3、修改配置文件

    vi /etc/httpd/conf.d/ssl.conf
    Centos7配置Apache实现HTTPS
    Centos7配置Apache实现HTTPS
    Centos7配置Apache实现HTTPS

    创建Apache的CA证书

    1、进入存放证书的目录

    cd /etc/httpd/ca/

    2、创建自己的CA证书

    openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 1000 -out ca.crt
    Centos7配置Apache实现HTTPS
    注:可以看到截图我写的是1000天,也就是大概三年的时间,自己可以随意设置!

    3、生成CA证书签名请求

    openssl req -newkey rsa:4096 -nodes -sha256 -keyout apache.xyc.com.key -out apache.xyc.com.csr
    Centos7配置Apache实现HTTPS

    4、生成注册主机的证书

    openssl x509 -req -days 365 -in apache.xyc.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out apache.xyc.com.crt
    Centos7配置Apache实现HTTPS
    注:可以看到以上截图写的是365天,有的童鞋可能不太理解,简单说一下,现在代表的意思是证书三年有效期,而客户端使用认证期限是一年,当然了写1000天就和证书一样三年后失效。

    5、将证书拷贝到配置文件中路径相对应的目录

    //进入证书目录

    cd /etc/httpd/ca/

    //拷贝证书到默认指定目录

    cp apache.xyc.com.crt /etc/pki/tls/certs/
    cp apache.xyc.com.key /etc/pki/tls/private/

    6、重启Apache服务

    systemctl restart httpd

    访问测试(最好使用Firefox浏览器)

    1、访问网页地址https://apache.xyc.com/

    Centos7配置Apache实现HTTPS
    注:因为本地电脑无法识别自己写的域名,所以需要添加网站主机IP和域名绑定,实现方式如下:

    //打开本地C盘,搜索路径C:WindowsSystem32driversetc
    Centos7配置Apache实现HTTPS

    //用文本格式编辑第二行的hosts文件,添加一行web的IP和域名即可
    Centos7配置Apache实现HTTPS

    2、再次访问网页地址https://apache.xyc.com/

    Centos7配置Apache实现HTTPS
    注:看到这样的截图,基本上也算是成功了!

    //点击高级
    Centos7配置Apache实现HTTPS

    //点击添加列外
    Centos7配置Apache实现HTTPS

    //点击确认安全列外
    Centos7配置Apache实现HTTPS
    注:如上截图,说明apache的https搭建完成了!
  • 相关阅读:
    放弃模拟器,安卓手机WiFi投屏到Ubuntu
    在Ubuntu中使用多显示器远程window主机
    完全卸载visual studio及其组件
    使用defineProperty实现自定义setter, 简化前端Angular的重构工作
    数字图像基础
    Python的文本和字节序列
    机器学习开发流程基础
    深度学习之新闻多分类问题
    深度学习之电影二分类的情感问题
    Chrome89针对sessionStorage的更新导致数据共享问题
  • 原文地址:https://www.cnblogs.com/gaosf/p/14667448.html
Copyright © 2011-2022 走看看