- CA(Certificate Authority):证书颁发机构,负责签发和管理数字证书,验证证书持有者的身份。
- HTTPS:基于 SSL/TLS 协议的 HTTP,通过证书实现客户端与服务器的身份验证和数据加密。
HTTPS=HTTP+SSL/TLS
HTTP:以明文的方式通过 80端口进行数据传输
HTTPS:以数据加密的方式通过443端口进行数据传输
连接建立过程
客户端发起请求:客户端向服务器发送一个 HTTPS 请求,请求中包含客户端支持的加密算法、SSL/TLS 协议版本等信息,随机生成一组32字节数据random_c。
服务器响应:服务器收到请求后,选择双方都支持的加密算法和协议版本,并将自己的数字证书发送给客户端,公钥加密数据随机生成一组32个字节的数据random_s。
客户端验证与密钥交换:客户端验证服务器的数字证书,并从中获取服务器的公钥。然后客户端生成一个随机的对称加密密钥pre_master,使用服务器的公钥对其进行加密,并发送给服务器。
连接建立:服务器使用自己的私钥解密客户端发送的对称加密密钥pre_master,双方都拥有了相同的对称加密密钥,之后就可以使用该密钥进行加密数据传输,同时通过消息认证码来确保数据的完整性。最后的会话密钥:random_c+random_s+pre_master
一,CA机构的搭建
openssl: 命令的选项
-x509 :生成自签名证书格式,专用于创建私有CA
-new :生成新证书的签署请求
-key :生成请求时用到的私钥文件路径
-out :生成后的文件存放路径,如果是自签名操作,将直接生成签署过的证书
-days :证书有效期 默认是365天
二,环境部署
1.CA机构 用ycy1.example.com(已经部署好了DNS服务)
1.1 查看CA的默认配置文件 vim /etc/pki/tls/openssl.cnf
证书目录:
1.2 对比发现默认的CA配置文件和现有的不一致
所以需要创建四个文件:
/etc/pki/CA/index.text
/etc/pki/CA/carert.pem
/etc/pki/CA/serial
/etc/pki/CA/private/cakey.pem
1.3 前提:在DNS服务器上的正向解析数据库中添加ca.example.com的解析内容
vim /var/named/examp.com
ca IN A 192.168.100.200
1.4在主机CA上为主机CA生成私钥
(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem)
解析:
umask 077 //创建文件时,设置只有所有者具有读写权限
openssl genrsa //生成私钥
-out //设置私钥的存放路径
1.5在主机CA上为主机CA生成自签名证书
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365
Country Name(国家):CN
State or Province Name(省份):HB
Locality Name(城市):WH
Organization Name(组织名称):LQ
Organizational Unit Name(组织单位名称):LINUX
Common Name(服务器主机名):ca.example.com
Email Address(邮箱):root@example.com
1.5 创建剩下的两个文件
2.配置WEB服务器
选择ycy2.example.com 192.168.100.20
2.1 确保DNS关联ycy1的IP地址192.168.100.10
2.2 获取私钥,创建目录存放
2.3 生成自签名证书
openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365
2.4 在主机WEB上将CA主机上已经数字签名后的Web证书下载下来
scp httpd.csr root@ca.example.com:/etc/pki/CA/
CA机构可以查看到这个文件(签名证书文件httpd.csr)
2.5 在主机CA上 对签署请求进行数字签名,并指明所生成的Web证书的存放路径
openssl ca -in /etc/pki/CA/httpd.csr -out /etc/pki/CA/httpd.crt -days 365
##httpd.crt WEB站点证书2.6在CA机构将根证书复制给客户端
scp httpd.crt root@ycy2.example.com:/etc/httpd/ssl/客户端可以看到
2.7 在主机WEB上安装apche http扩展模块mod_ssl 提供安全站点
yum -y install mod_ssl
2.8 在主机WEB上修改主配置文件,使用刚刚下载的web证书
cd /etc/httpd/conf.d/
vim ssl.conf修改证书目录和私钥目录
2.9 创建安全的站点
vim /etc/httpd/conf.d/httpd-vhost.conf
2.10 在DNS服务器上将cacert.pem 复制到根目录(客户端ycy3)
scp root@192.168.100.10:/etc/pki/CA/cacert.pem .
2.11 打开火狐浏览器,导入证书
设置–首选项–高级–证书–查看证书–导入–找到根证书,然后双击–把“信任使用此CA标识的网站”勾上–确定–确定
2.12 在web创建test文件,并写入123456
2.13 验证
三,集成动态WEB
在主机WEB上:
安装httpd mod_wsgi
yum -y install httpd mod_wsgi
2.上传动态web内容–Python语言编写
mkdir /var/www/wsgi
cd /var/www/wsgi //然后将Python编写的动态web内容上传到该目录下
注意,转移的文件ch可能没有执行权限,所以需要赋予文件执行权限
chmod +x 【文件名】
3.通过filezille上传网页
4.将python.txt脚本名字改为test.py并给与执行权限
5.虚拟主机定义网页内容
给脚本取一个别名访问的时候通过py.example.com就可以访问脚本test.py
重启:systemctl restart httpd
6.验证
7.访问洛奇科技的indel.html
不需要别名
验证:
