温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

基于openssl 的https服务配置

发布时间:2020-07-25 15:11:15 来源:网络 阅读:412 作者:monkeyC 栏目:网络安全

1、安装mod_ssl

2、在另一台机器上创建CA

        cd /etc/pki/CA

        (umask 077; openssl genrsa -out private/cakey.pem 2048)

3、生成文件的权限是600

4、vim  ../tls/openssl.cnf

5、找到 [ req_distinguished_name ]

6、将默认城市改成CN

7、将默认省份名称stateOrProvinceName_default 改为Hebei

8、城市名称 localityName_default 改为郑州

9、组织名称 0.organizationName_default 改为MageEdu

10、部门名称 organizationalUnitName_default =Tech

11、生成自签证书:openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655

12、设置主机名  ca.mageedu.com 

13、站在CA目录上  vim ../tls/openssl.cnf

14、编辑找到dir      = /etc/pki/CA

15、站在CA上mkdir certs crl newcerts

16、touch index.txt

17、echo 01 > serial

18、回到服务器端:

19、cd /etc/httpd/httpd/

20、mkdir ssl;;;cd ssl

21、(umask 077; openssl genrsa 1024 > httpd.key)

22、openssl req -new -key httpd.key -out httpd.csr

23、跟CA上的信息一定要保持一致

24、主机名:看你给那个虚拟主机用  咱们的虚拟主机定义在vim /etc/httpd/conf.d/v...

25、将证书请求发给CA  站在ssl目录上   scp httpd.csr 192.168.9.250:/tmp

26、去9.250服务器上 openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 3650    

27、cd /etc/pki/CA;;;;;cat serial  发现为02

28、咱们回到服务器,scp去9.250上取整数

            scp 192.168.9.250:/tmp/httpd.crt ./

29、去9.250上  删除tmp下  rm httpd.c*

30、配置服务器端:cd /etc/httpd/con.d  ;;;vim ssl.conf;;;  ////   cp ssl.conf ssl.conf.org

31、进入编辑  <VirtualHost 192.168.9.247:443>  在下面编辑主机名ServerName hello.magedu.com

32、编辑DocumentRoot “/www/magedu.com”

33、编辑SSLCertificateFile /etc/httpd/ssl/httpd.crt  编辑CA颁发的证书文件

34、编辑SSLCertificateKeyFile /etc/httpd/ssl/httpd,key  定义私钥文件  保存

35、httpd -t     重启

36、因为没有正规的ca授权,所以我们要在本地上 修改host文件 让他能识别 hello.magedu.com

37、在地址栏输入   https://hello.magedu.com

38、发现不信任证书 我们需要回到9.250上 /etc/pki/CA/下载cacert.pem到物理主机

39、将cacert.pem改为cacert.crt  双机可以安装证书导入浏览器。放到受信任的证书颁发机构

40、记住一个地址只能建立一个ssl主机

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI