Apache的https协议配置

一、http协议和https协议的传输格式

  http:文本格式的协议

  https:二进制格式的协议

二、x509.3证书格式:

  证书格式的版本号

  证书序列号

  证书签名算法

  证书颁发者

  有效期

  持有者的名称

  持有的公钥

  CA的ID

  持有者的ID

  其它扩展信息

  基本约束

  证书策略

  密钥的使用限制

  CA签名

三、PKI:Public Key Infrastructure

  端实体(申请者)

  注册机构(RC)

  签证机构(CA)-->签证机构(CA)

  证书撤销列表(CRL)发布机构

  证书存取库

四、SSL握手要完成的工作

  交换协议的版本号

  选择一个双方都知道的密码

  对两端实现身份验证

  SSL会话基于IP地址进行,不支持在基于FQDN的虚拟主机上实现

五、客户端验证服务器证书时

  日期检测:证书是否在有效期内

  证书颁发者的可信度

  证书的签名检测

  持有者的身份检测

六、基于mod_ssl模块实现对ssl的支持

准备好服务器的私钥和证书

# vim /etc/pki/tls/openssl.cnf

[ req_distinguished_name ]

countryName         = Country Name (2 letter code)

countryName_default     = CN

countryName_min         = 2

countryName_max         = 2

stateOrProvinceName     = State or Province Name (full name)

stateOrProvinceName_default = BeiJing

localityName            = Locality Name (eg, city)

localityName_default    = MiYun

0.organizationName      = Organization Name (eg, company)

0.organizationName_default  = fansik

# cd /etc/pki/CA/

# (umask 077; openssl genrsa 2048 > private/cakey.pem)

# openssl req -new -x509 -key private/cakey.pem -days 3655 -out cacert.pem

# touch index.txt serial crlnumber

# echo 01 > serial

# cd /etc/httpd/conf/ssl/

# (umask 077; openssl genrsa 1024 > httpd.key)

# openssl req -new -key httpd.key -out httpd.csr

   安装mod_ssl模块

   # yum -y install mod_ssl

   配置/etc/httpd/conf.d/ssl.conf

   配置使用ssl的虚拟主机

      ServerName

      DocumentRoot

   配置证书和私钥

      SSLCertificatFile 证书文件

      SSLCerttifatKeyFile 密钥文件

   重启httpd服务

   测试:# openssl s_client -connect www.fansik.com:443 -CAfile /etc/pki/CA/cacert.pem

posted @ 2016-07-01 16:33  fansik  阅读(356)  评论(0编辑  收藏  举报