一叶知秋.

业精于勤,荒于嬉;行成于思,毁于随。

实现HTTPS--Apache+Openssl

https,全称 hypertext transfer protocol secure,安全的超文本传输协议
广泛应用于万维网上安全敏感的通讯

实验步骤:

1.开启apache的ssl模块
#取消以下两行的注释
LoadModule ssl_module modules/mod_ssl.so
Include etc/extra/httpd-ssl.conf
2.CA证书申请(实验环境)
#创建存放密钥和证书文件的目录
mkdir /usr/local/apache2/cert && cd /usr/local/apache2/cert

(1)生成服务器私钥,RSA密钥

openssl genrsa -out ca.key 1024

(2)生成csr证书文件,依次输入国家、地区、城市、组织、组织单位、名字或域名、email等

openssl req -new -key ca.key -out ccku.csr

(3)设置证书文件*.crt的有效期等信息

openssl x509 -req -days 365 -sha256 -in ccku.csr -signkey ca.key -out ccku.crt
3.修改配置文件

(1)修改 httpd-ssl.conf文件,调用证书

#vim /usr/local/apache2/etc/extra/httpd-ssl.conf 
#注释掉不安全的协议
#添加:
SSLProtocol all -SSLv2 -SSLv3
#修改加密套件
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLHonorCipherOrder on
SSLCertificateFile cert/ccku.crt
SSLCertificateKeyFile cert/ca.key

(2)修改apache的主配置文件,添加虚拟主机

<VirtualHost _default_:443>
        DocumentRoot "/usr/local/apache2/htdocs"
        ServerName localhost:443
        SSLCertificateFile cert/ccku.crt
        SSLCertificateKeyFile cert/ca.key
        SSLCertificateChainFile cert/ccku.crt
</VirtualHost>
4.验证

(1)检查配置文件语法

apachectl -t

#报错提示:

AH00526: Syntax error on line 83 of /usr/local/apache2/etc/extra/httpd-ssl.conf:
SSLSessionCache: 'shmcb' session cache not supported (known names: ). Maybe you need to load the appropriate socache module (mod_socache_shmcb?).

#解决办法:修改主配置文件调用该模块
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so #取消注释

重新检查语法验证
#apachectl -t
Syntax OK

(2)重启apache,使用https测试

apachectl restart
5.强制跳转https
#vim /usr/local/apache2/etc/httpd.conf
#在<Directory "/usr/local/apache2/htdocs">标签下添加:

    RewriteEngine on
    RewriteCond %{SERVER_PORT} !^443$
    RewriteRule ^(.*)?$ https//%{SERVER_PORT}/$1 [R=301,L]

6.关闭https的方法:

1.ssl配置文件调用
2.虚拟主机
3.跳转

posted @ 2020-08-17 09:46  ccku  阅读(249)  评论(0编辑  收藏  举报