• 46阅读
  • 0回复

CentOS服务器下安装配置SSL

楼层直达
MldL"*HW:  
https是一个安全的访问方式,数据在传输过程中是加密的,https基于SSL。 g[+Q~/yq  
一、安装apache和ssl模块 JY8"TQ$x  
1、安装apache /Gv$1t^a  
#yum install httpd Gbm_xEPC  
2、安装ssl模块 :Ty*i  
#yum install mod_ssl Q3{&'|}^2  
重启apache: YqCK#zT/  
#service httpd restart x{o5Ha{  
安装完mod_ssl会创建一个默认的SSL证书,路径位于/etc/pki/tls,此时可以立即通过https访问服务器了: ' 1]bjW*!  
https://X.X.X.X/ 05LQh  
如果不使用默认的证书,也可以使用openssl手动创建证书。 0!\q  
二、使用openssl手动创建证书 IGV.0l  
1、安装openssl 17 iq  
#yum install openssl ^TuEp$Z=  
2、生成服务器私钥 F@K;A%us)  
#cd /etc/pki/tls !T(Omve)  
#openssl genrsa -out server.key 1024 ;!sGfrs 0$  
注意:server.key是私钥。 ^#nWgo7{7  
3、用私钥server.key文件生成证书请求文件csr s""8V_,;  
#openssl req -new -key server.key -out server.csr F;@&uXYgc  
注:server.csr是证书请求文件。 [&s:x ,  
此步骤需要输入一些证书信息: Sylsp%A  
Country Name (2 letter code) [XX]:CN *lO+^\HXD  
State or Province Name (full name) []:shanghai rL"k-5>fd  
Locality Name (eg, city) [Default City]:shanghai 6^u(PzlA|~  
Organization Name (eg, company) [Default Company Ltd]:ccc t+q`h3  
Organizational Unit Name (eg, section) []:bbb e/\_F+jyc  
Common Name (eg, your name or your server's hostname) []:www.test.com 2=+ ,jX{  
Email Address []:a@a.com H;&t"Ql.  
输入国家、省份、城市、公司、部门、姓名或服务器名、电子邮箱,随后会要求输入一个challengepassword(密码),无需输入,后面一律直接回车即可。 K a|\gl;V  
4、生成数字签名crt文件(证书文件) ibw;BU  
#openssl x509 -days 365 -req -in server.csr -signkey server.key -outserver.crt XLxr~Yo  
用私钥签名证书请求文件,证书的申请机构和颁发机构都是自己。 XePBA J  
5、编辑apache的ssl配置文件 j-|0&X1C  
vim/etc/httpd/conf.d/ssl.conf ir#^5e @  
/etc/httpd/conf.d/ssl.conf文件配置具体如下: W7"sWaOhW  
<VirtualHost _default_:443> Vrh],xK7  
DocumentRoot "/var/www/https"      //设置网页存放目录 AFED YRX  
ServerName *:443                  //服务器的端口 ~T9[\nU\  
DirectoryIndex index.html index.html.var  //首页名称 KZNyp%q  
SSLEngine on &r%3)Z8Et  
SSLCertificateFile /etc/pki/tls/server.crt    //证书 jp`N%O]6  
SSLCertificateKeyFile /etc/pki/tls/server.key  //私钥 !6C d.fpWL  
</VirtualHost> )`-]nMc  
6、重启apache v g]&T  
#servicehttpd restart k#n=mm'N9  
访问https://ip/,就能看到证书信息了。 OpQa!  
由于不是第三方根证书颁发机构颁发的证书,而是自己颁发的证书,所以浏览器会提示安全证书不受信任。 l!,{bOZ  
!!!注意:首页index.html 的文件权限为755,否则将会出现如上提示: }1dh/Cc`  
Forbidden nj$K4_  
Youdon't have permission to access /main.html on this server. IpxjP\  
解决方法:修改首页index.html读写权限。 Zpmy)W]1  
#Chmod755  index.html .$iIr:Tc>  
关于openssl指令的补充说明: :*1w;>o)n  
#openssl [操作]  -out  filename  [bits] 0"N %Vm  
参数说明: #,56vVY  
[操作]  主要的操作有如下两个: rL=$WxdPU  
      genrsa,建立RSA加密的Public key p* @L1  
      req,建立凭证要求文件或者是凭证文件 7-DC"`Y8e  
-out ,后面加上输出的文件名,就是那把key name "^H+A-R[  
bits,用在genrsa加密的公钥的长度 ~a$% a  
-x509,X.509,CertificateData  Management.  一种验证的管理方式 @4i D N  
例:建立一支长度为1024bits的Public Key,注意文件名。 r!S iR(  
#openssl genrsa  -out  Server.key 1024 FyEl@ }W  
生成证书请求命令 ]^y}}y  
#Openssl req  -new  -key file.key  -out  file.csr -config  /path/to/openssl.cnf d,77L  
-config:指定openssl的配置文件路径,不指定时,默认会访问Unix格式的默认路径:/usr/local/ssl/openssl.cnf。 |j,Mof  
例:#openssl req -new -key server.key -outserver.csr
 
快速回复

限100 字节
安逸网提示:如果您在写长篇帖子又不马上发表,建议存为草稿
 
认证码:
上一个 下一个