基于httpd建立私有CA实现https加密连接

一、准备工作

    在开始实验之前，我们要准备至少两台主机还有自身的计算机，一台作为服务器，另外一台作为私有CA机构，我们要保证这两台主机之间可以互相ping通，并且都能于真实计算机ping通，也就是这三台机器能够互相通信。

    在这里，我准备了两台虚拟机，操作系统分别为CentOS 7 和 CentOS 6 ，CentOS 7 使用的IP地址为172.16.7.100，CentOS 6 使用的IP地址为172.16.128.4。我将CentOS 7 作为提供http服务的服务器，CentOS 6 作为CA机构，三台机器的功能如图：

<a href="https://s5.51cto.com/wyfs02/M00/08/74/wKiom1nh7I3zKeV4AAA7pE9XUbo768.png-wh_500x0-wm_3-wmp_4-s_2730416924.png" target="_blank"></a>

二、建立CA

    首先在IP为172.16.128.4的主机上建立CA，并将自己的信息写到认证中去：

<code>~]</code><code># cd /etc/pki/                                                            #切换工作目录</code>

<code>CA]</code><code># touch index.txt                                #然后再当前目录下创建两个文件</code>

<code>CA]</code><code># echo 01 &gt; serial                               #在认证时会用到，如果不创建会报错</code>

<code>CA]</code><code># (umask 077;openssl genrsa -out private/cakey.pem 2048)                     #创建私钥</code>

<code>CA]</code><code># openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300   #认证自己</code>

<a href="https://s5.51cto.com/wyfs02/M02/08/75/wKiom1nh_-iANNelAAC6CciaKHw638.png-wh_500x0-wm_3-wmp_4-s_1575836799.png" target="_blank"></a>

三、创建申请

    CA建立完了，我们就要开始建立自身的认证了，首先回到当作服务器的主机（172.16.7.100），找到一个目录来存储认证文件，在这里我将“/myweb/wordpress/ssl”作为存放目录（随便放，后面使用绝对路径引用，放在一个安全的地方），然后使用下面的命令创建私钥：

<code>ssl]</code><code># (umask 077;openssl genrsa -out httpd.key 1024)</code>

<code>ssl]</code><code># openssl req -new -key httpd.key -out httpd.csr</code>

    在填写信息的时候注意：国家要求两个字符，服务器填写虚拟主机的域名

<a href="https://s4.51cto.com/wyfs02/M01/A7/29/wKioL1niAXTjw1UIAADX99UBd78874.png-wh_500x0-wm_3-wmp_4-s_2713828128.png" target="_blank"></a>

四、申请及审批

    认证文件都创立完成之后，就可以把服务器上生成的申请信息发送到CA上进行认证，使用下面这条命令可以方便的将文件上传：

<code>ssl]</code><code># scp httpd.csr [email protected]:/tmp/          #此命令在172.16.7.100（服务器上执行）</code>

    在一段时间等待之后，就会提示要输入密码，在输入密码之后再等待一段时间，出现如图所示画面就说明文件上传成功：

<a href="https://s2.51cto.com/wyfs02/M02/A7/29/wKioL1niAquS3DsCAABCx4drXo4327.png-wh_500x0-wm_3-wmp_4-s_2567521466.png" target="_blank"></a>

    切换到CA（172.16.128.4）上执行下面的命令完成认证（根据提示选择yes即可）：

<code>CA]</code><code># openssl ca -in /tmp/httpd.csr -out certs/myweb.wordpress.com.crt -days 365</code>

    在认证完成之后，在通过scp命令将认证完成生成的文件传送回去：

<code>CA]</code><code># scp certs/myweb.wordpress.com.crt 172.16.7.100:/myweb/wordpress/ssl/</code>

    回到服务器（172.16.7.100）上，即可在“/myweb/wordpress/ssl”里边看到myweb.wordpress.com.crt文件，到这里私有CA和证书颁发就完成了。

五、浏览器查看

    证书颁发完成，但是我们还是不能在浏览器中看到，如果想要在浏览器里使用https，需要“mod_ssl”，使用下面的命令来安装：

<code>~]</code><code># yum install -y mod_ssl</code>

    在安装完成之后，就会在“/etc/httpd/conf.d/”下生成一个配置文件：ssl.conf，编辑这个文件：

<code>~]</code><code># vim /etc/httpd/conf.d/ssl.conf</code>

    将文件中下面两个选项（一般分别在101行和108行）改成下面这样（这两个文件放在哪就改成哪）：

<code>SSLCertificateFile </code><code>/myweb/wordpress/ssl/myweb</code><code>.wordpress.com.crt</code>

<code>SSLCertificateKeyFile </code><code>/myweb/wordpress/ssl/httpd</code><code>.key</code>

    改完之后保存退出，重新加载httpd配置：

<code>~]</code><code># systemctl restart httpd</code>

    使用命令“ss -tnl”查看，可以看到443端口已经被监听了，这个端口就是默认的https端口：

<a href="https://s3.51cto.com/wyfs02/M01/08/75/wKiom1niCLTxzvmbAACEpuEMUvo807.png-wh_500x0-wm_3-wmp_4-s_3091349854.png" target="_blank"></a>

    到此https就配置完成，下面进行测试，在“/etc/httpd/conf.d/”中创建一个虚拟主机：

<code>ssl]</code><code># vim /etc/httpd/conf.d/vhost.conf</code>

    写入以下内容：

<code>&lt;VirtualHost *:443&gt;</code>

<code>        </code><code>ServerName myweb.wordpress.com</code>

<code>        </code><code>DocumentRoot </code><code>/myweb/wordpress</code>

<code>        </code><code>ErrorLog logs</code><code>/wordpress-error_log</code>

<code>        </code><code>CustomLog logs</code><code>/wordpress-access_log</code> <code>combiend</code>

<code>        </code><code>DirectoryIndex index.html</code>

<code>        </code><code>&lt;Directory </code><code>"/myweb/wordpress"</code><code>&gt;</code>

<code>                </code><code>Options Indexes</code>

<code>                </code><code>AllowOverride   None</code>

<code>                </code><code>Require all granted</code>

<code>        </code><code>&lt;</code><code>/Directory</code><code>&gt;</code>

<code>&lt;</code><code>/VirtualHost</code><code>&gt;</code>

    然后创建目录“/myweb/wordpress”，并创建一个主页：

<code>~]</code><code># mkdir /myweb/wordpress</code>

<code>~]</code><code># echo "wordpress Page" &gt; /myweb/wordpress/index.html</code>

    最后在真实计算机上使用浏览器打开“https://myweb.wordpress.com/”即可看到如下画面（要修改hosts文件，参考前面的博客）：

<a href="https://s3.51cto.com/wyfs02/M02/08/75/wKiom1niCzbAEJ2dAAC5cGRCENI861.png-wh_500x0-wm_3-wmp_4-s_3472679924.png" target="_blank"></a>

    可以看到都是刚才注册的信息，报错是因为这个CA为私有，无法经过它的验证。但是在局域网内就可以使用这个证书来验证信息来源的可靠性了。

本文转自正经的青年51CTO博客，原文链接：http://blog.51cto.com/11142243/1972413 ，如需转载请自行联系原作者