實(shí)驗(yàn)?zāi)康?/h2>

掌握apache部署自定義證書(shū)的https服務(wù)器方法

實(shí)驗(yàn)環(huán)境

一臺(tái)Centos 7.2 已經(jīng)安裝openssl組件，已安裝apache httpd，用于搭建https服務(wù)器

一臺(tái)windows 10客戶端，已安裝chrome瀏覽器

實(shí)驗(yàn)原理

openssl是Linux內(nèi)置的一款開(kāi)源工具，實(shí)現(xiàn)了常見(jiàn)的密碼算法與應(yīng)用。通過(guò)openssl操作，完成各種密碼算法的應(yīng)用。

實(shí)驗(yàn)步驟

一、生成獨(dú)立的CA

1、生成ca的key

openssl genrsa -des3 -out ca.key 4096

2、生成CA的證書(shū)

 openssl req -new -x509 -days 365 -key ca.key -out ca.crt

二、生成服務(wù)器的私鑰key和簽名請(qǐng)求文件csr

1、生成https服務(wù)器私鑰

openssl genrsa -des3 -out myserver.key 4096

2、生成https服務(wù)器證書(shū)請(qǐng)求文件

openssl req -new -key myserver.key -out myserver.csr

?利用ca的證書(shū)和key，生成我們的證書(shū)

openssl x509 -req -days 365 -in myserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out myserver.crt

set_serial設(shè)置的證書(shū)的編號(hào)

?三、安裝apache的ssl模塊

1、服務(wù)上已經(jīng)安裝有apache，要實(shí)現(xiàn)apache的https功能，需要安裝ssl模塊

yum install -y mod_ssl

如果安裝過(guò)程中出現(xiàn)錯(cuò)誤，使用ps -ef | grep yum，查看進(jìn)程，使用kill -9+進(jìn)程號(hào)，強(qiáng)制結(jié)束進(jìn)程，然后重新安裝

四、復(fù)制證書(shū)到對(duì)應(yīng)路徑

cp myserver.crt /etc/pki/tls/certs/

cp myserver.key /etc/pki/tls/private/

五、修改apache配置文件，讓證書(shū)生效

 vim /etc/httpd/conf.d/ssl.conf

將證書(shū)和私鑰路徑指為如圖

?保存并退出文件

?六、重啟apache服務(wù)

systemctl restart httpd

注意輸入myserver.key的加密密碼

七、測(cè)試網(wǎng)站證書(shū)

使用客戶端chrome瀏覽器訪問(wèn)服務(wù)器https頁(yè)面，我這里服務(wù)器ip是192.168.11.134

https://192.168.11.134

高級(jí)

繼續(xù)前往

查看服務(wù)器證書(shū)，點(diǎn)“不安全”

?

實(shí)驗(yàn)總結(jié)

CA–服務(wù)器證書(shū)–使用CA簽名服務(wù)器證書(shū)–部署證書(shū)–查看證書(shū)