• 116阅读
  • 0回复

CentOS服务器下安装配置SSL

楼层直达
euiP<[|h=  
https是一个安全的访问方式,数据在传输过程中是加密的,https基于SSL。 YG_|L[/#  
一、安装apache和ssl模块 w&[&ZDsK  
1、安装apache lW|`8ykp  
#yum install httpd /Os6i&;  
2、安装ssl模块 IqAML|C  
#yum install mod_ssl = 6'Fm$R  
重启apache: 19b@QgfWpb  
#service httpd restart N 9W,p 2  
安装完mod_ssl会创建一个默认的SSL证书,路径位于/etc/pki/tls,此时可以立即通过https访问服务器了: AO238RC!:  
https://X.X.X.X/ c] -  
如果不使用默认的证书,也可以使用openssl手动创建证书。 &=]!8z=  
二、使用openssl手动创建证书 jO-T1P']Y  
1、安装openssl =~k}XB  
#yum install openssl eX1_=?$1P  
2、生成服务器私钥 ]ddH>y&o  
#cd /etc/pki/tls z%BX^b$Hj  
#openssl genrsa -out server.key 1024 m%'T90mi  
注意:server.key是私钥。 X"vDFE`?  
3、用私钥server.key文件生成证书请求文件csr 6q8PLyIp  
#openssl req -new -key server.key -out server.csr re,}}'  
注:server.csr是证书请求文件。 8)M WC:  
此步骤需要输入一些证书信息: $d,/(*Y#-  
Country Name (2 letter code) [XX]:CN #2lvRJB  
State or Province Name (full name) []:shanghai Sn^M[}we  
Locality Name (eg, city) [Default City]:shanghai s}yN_D+V  
Organization Name (eg, company) [Default Company Ltd]:ccc 4)>S3Yr  
Organizational Unit Name (eg, section) []:bbb %mD{rG9  
Common Name (eg, your name or your server's hostname) []:www.test.com :t;i2Ck  
Email Address []:a@a.com a,)/D_{1  
输入国家、省份、城市、公司、部门、姓名或服务器名、电子邮箱,随后会要求输入一个challengepassword(密码),无需输入,后面一律直接回车即可。 xP;>p| M  
4、生成数字签名crt文件(证书文件) $9xp@8b\_  
#openssl x509 -days 365 -req -in server.csr -signkey server.key -outserver.crt q}0I`$MU  
用私钥签名证书请求文件,证书的申请机构和颁发机构都是自己。 +x/vZXtOK  
5、编辑apache的ssl配置文件 {*r!oD!'  
vim/etc/httpd/conf.d/ssl.conf fF=tT C  
/etc/httpd/conf.d/ssl.conf文件配置具体如下: #`l&HV   
<VirtualHost _default_:443> D0MW~Y6{  
DocumentRoot "/var/www/https"      //设置网页存放目录 vq-;wdq?2  
ServerName *:443                  //服务器的端口  twK3  
DirectoryIndex index.html index.html.var  //首页名称 `krVfE;_O  
SSLEngine on gp H@F X  
SSLCertificateFile /etc/pki/tls/server.crt    //证书 $?VYHkX  
SSLCertificateKeyFile /etc/pki/tls/server.key  //私钥 }g|9P SbJ  
</VirtualHost> osLEH?iKW  
6、重启apache U^DR'X=  
#servicehttpd restart 9+.3GRt7  
访问https://ip/,就能看到证书信息了。 @ Yo*h"s  
由于不是第三方根证书颁发机构颁发的证书,而是自己颁发的证书,所以浏览器会提示安全证书不受信任。 LA(/UA3Izd  
!!!注意:首页index.html 的文件权限为755,否则将会出现如上提示: W*n|T{n  
Forbidden XXD4T9Wy  
Youdon't have permission to access /main.html on this server. KmqgP`Cu  
解决方法:修改首页index.html读写权限。 KmWd$Qy,  
#Chmod755  index.html e{^lD.E  
关于openssl指令的补充说明: 3S%/>)k  
#openssl [操作]  -out  filename  [bits] '=Acg"aT  
参数说明: o,$K=#Iv  
[操作]  主要的操作有如下两个: }1.'2.<Y  
      genrsa,建立RSA加密的Public key <uo@k'   
      req,建立凭证要求文件或者是凭证文件 =t.T9'{  
-out ,后面加上输出的文件名,就是那把key name ^bLFY9hSC  
bits,用在genrsa加密的公钥的长度 N]F}Z#h  
-x509,X.509,CertificateData  Management.  一种验证的管理方式 _KZ TY`/*  
例:建立一支长度为1024bits的Public Key,注意文件名。 Q9&H/]"v  
#openssl genrsa  -out  Server.key 1024 Ue!yK  
生成证书请求命令 bas1(/|S  
#Openssl req  -new  -key file.key  -out  file.csr -config  /path/to/openssl.cnf \p^'[B(O77  
-config:指定openssl的配置文件路径,不指定时,默认会访问Unix格式的默认路径:/usr/local/ssl/openssl.cnf。 ~y,m7%L  
例:#openssl req -new -key server.key -outserver.csr
 
快速回复

限100 字节
安逸网提示:如果您在写长篇帖子又不马上发表,建议存为草稿
 
认证码:
上一个 下一个