實驗目的

掌握apache部署自定義證書的https服務器方法

實驗環境

一臺Centos 7.2 已經安裝openssl組件，已安裝apache httpd，用于搭建https服務器

一臺windows 10客戶端，已安裝chrome瀏覽器

實驗原理

openssl是Linux內置的一款開源工具，實現了常見的密碼算法與應用。通過openssl操作，完成各種密碼算法的應用。

實驗步驟

一、生成獨立的CA

1、生成ca的key

openssl genrsa -des3 -out ca.key 4096

2、生成CA的證書

 openssl req -new -x509 -days 365 -key ca.key -out ca.crt

二、生成服務器的私鑰key和簽名請求文件csr

1、生成https服務器私鑰

openssl genrsa -des3 -out myserver.key 4096

2、生成https服務器證書請求文件

openssl req -new -key myserver.key -out myserver.csr

?利用ca的證書和key，生成我們的證書

openssl x509 -req -days 365 -in myserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out myserver.crt

set_serial設置的證書的編號

?三、安裝apache的ssl模塊

1、服務上已經安裝有apache，要實現apache的https功能，需要安裝ssl模塊

yum install -y mod_ssl

如果安裝過程中出現錯誤，使用ps -ef | grep yum，查看進程，使用kill -9+進程號，強制結束進程，然后重新安裝

四、復制證書到對應路徑

cp myserver.crt /etc/pki/tls/certs/

cp myserver.key /etc/pki/tls/private/

五、修改apache配置文件，讓證書生效

 vim /etc/httpd/conf.d/ssl.conf

將證書和私鑰路徑指為如圖

?保存并退出文件

?六、重啟apache服務

systemctl restart httpd

注意輸入myserver.key的加密密碼

七、測試網站證書

使用客戶端chrome瀏覽器訪問服務器https頁面，我這里服務器ip是192.168.11.134

https://192.168.11.134

高級

繼續前往

查看服務器證書，點“不安全”

?

實驗總結

CA–服務器證書–使用CA簽名服務器證書–部署證書–查看證書