一、基礎知識
httpd: ssl
ssl子產品
單獨成包
ssl會話基于IP位址建立,是以,每一個IP僅建立一個SSL會話;
ssl握手要完成的工作:
交換協定版本号
選擇雙方都支援的加密方式
用戶端對伺服器端實作身份驗正
密鑰交換
https協定: 基于SSL二進制編碼, 443/tcp
openssl s_client
用戶端驗正伺服器端證書:
有效性檢測:證書是否仍然在有效期内
CA的可信度檢測:
證書的完整性檢測:
持有者的身份檢測
二、Openssl知識的回顧
Cd /etc/pki/CA
(umask 077; openssl genrsa -out private/cakey.pem 1024)
Vim /etc/pki/tls/openssl.cnf
Openssl req -new -x509 -key privvate/cakey.pem -out cacreat.pem -days 1000
Touch serial index.txt
Mkdir /etc/httpd/ssl
Cd /etc/httpd/ssl
(umask 077; openss genrsa -out httpd.key 1024)
Openssl req -new -key httpd.key -out httpd.csr
Openssl ca -in httpd.csr -out httpd.crt -days 1000
三、實驗
配置httpd工作于https:
1安裝mod_ssl子產品
# yum install mod_ssl
2、伺服器自建CA 并簽署
![](https://img.laitimes.com/img/__Qf2AjLwojIjJCLyojI0JCLicmbw5Ca5BXT5gjMwcjN3ADNx8VN3MDMwQDOvwFMx8CX4ADNxAjMvwFduVWboNWY0RXYvwVbvNmLvR3YxUjL0M3Lc9CX6MHc0RHaiojIsJye.png)
修改配置文檔Vim /etc/pki/tls/openssl.cnf
3、系列号、為服務端生成私鑰,
并為其提供證書;簽署後的證書為:/etc/httpd/ssl/httpd.crt
4、 配置使用https的虛拟主機子產品ssl
Vim /etc/conf.d/ssl.conf
SSLCertificateFile
SSLCertificateKeyFile
5、虛拟主機的配置
<VirtualHost IP:443>
DocumentRoot
ServerName
</VirtualHost>
6、重新裝載配置