https應用安裝詳解

示例演示：   兩臺主機均為CentOS 7系統(tǒng)主機

            172.18.253.133  扮演CA角色    

            172.18.253.132  扮演服務器角色

   1、

       a) 172.18.253.133    創(chuàng)建私有CA

            # cd /etc/pki/CA

            # (umask 077;openssl genrsa -out private/cakey.pem 2048)  //生成一個私鑰

            # ll private/

            total 4

            -rw------- 1 root root 1679 May 21 10:09 cakey.pem

            # openssl req -new -x509 -key private/cakey.pem -out cacert.pem  //生成自己的自簽證書

           # touch serial index.txt

           # echo 01 >serial

      b) 172.18.253.132    創(chuàng)建證書簽署請求

           # cd /etc/httpd

           # ls

           conf  conf.d  conf.modules.d  logs  modules  run

           # mkdir ssl  // 存放證書文件用

           # cd ssl

           # (umask 077;openssl genrsa -out httpd.key 1024)

           # openssl req -new -key httpd.key -out httpd.csr  // 創(chuàng)建證書簽署請求

           # ls

           httpd.csr  httpd.key

           # scp httpd.csr root@172.18.253.133:/tmp/

      c)  172.18.253.133   簽署證書

           # openssl ca -in /tmp/httpd.csr -out certs/httpd.crt

         //  輸入2次 y 確認

                                                                      # scp certs/httpd.crt root@172.18.253.132:/etc/httpd/ssl/  

  2、  172.18.253.132   配置httpd支持使用ssl,及使用的證書

          # ls

         httpd.crt  httpd.csr  httpd.key  

          # yum install mod_ssl -y

        # cd /etc/httpd/conf.d

          # cp ssl.conf{,.backup}

          # vim ssl.conf

             DocumentRoot "/var/www/html"   //啟用起來

             ServerName www.magedu.com    //修改主機名與證書一致

             SSLEngine on       //SSL 引擎啟用，必須為on

             SSLCertificateFile /etc/httpd/ssl/httpd.crt   //服務器證書地址

             SSLCertificateKeyFile /etc/httpd/ssl/httpd.key  //私鑰文件

          # httpd -t   //檢測語法錯誤

             注意： 如果檢測語法時，報如下錯誤  

            原因：主機名和IP不匹配，http服務器去嘗試反解本機的IP地址，反解出來的主機名和本機主機名不一致就發(fā)出如下警告。

            解決辦法：httpd程序主配置文件中增加一個主機名

          # vim /etc/httpd/conf/httpd.conf

             ServerName www.magedu.com   //添加一個主機名或IP

        # httpd -t  //繼續(xù)監(jiān)測語法

       # systemctl restart httpd.service

 3、 測試基于https訪問相應的主機；

     1)   這里以CA主機用openssl命令為例進行驗證：

         # openssl s_client -connect www.magedu.com:443 

           getaddrinfo: Temporary failure in name resolution

           connect:errno=111   // 此時主機無法解析www.magedu.com主機，需要添加

         # vim /etc/hosts

           172.18.253.132 www.magedu.com www   //添加

         # openssl s_client -connect www.magedu.com:443 

     # openssl s_client -connect www.magedu.com:443 -CAfile /etc/pki/CA/cacert.pem     //因為是CA主機，所以直接導入CA證書即可。 

 2)也可以用瀏覽器進行驗證

            首先在CA服務器上添加一個測試頁

            # vim /var/www/html/index.html

            <h2> Test https </h2>  

            瀏覽器中訪問 http://172.18.253.132/index.html

    此時因為瀏覽器沒有導入CA證書，所以基于https的訪問將無法進行，需要瀏覽器中導入CA證書文件（把虛擬主機中/etc/pki/CA/cacert.pem文件復制到物理主機上進行導入）    

           方法： 谷歌瀏覽器--->設置--->高級設置--->HTTPS/SSL管理證書-->受信任的證書頒發(fā)機構(gòu)-->導入cacert.pem即可。

      瀏覽器中繼續(xù)訪問 https://172.18.253.132/index.html  

此時可以點擊高級中的繼續(xù)訪問或者本地主機添加www.magedu.com主機名

win10系統(tǒng)修改host文件介紹：

  1、打開“運行”對話框（可以直接使用Win+R組合快捷鍵，快速打開），然后鍵入hosts文件路徑：C:\WINDOWS\system32\drivers\etc 完成后，點擊下方的“確定”打開，如圖。

  2、找到hosts文件所在位置后，不要直接去修改該文件，不然會出現(xiàn)權(quán)限不足，無法修改的問題。具體方法是，在hosts文件上點擊鼠標右鍵，在彈出的選項中，點擊打開“屬性”，如圖。

  3、打開hosts文件屬性后，切換到“安全”選項卡，然后點擊選中需要更改的當前用戶名，然后點擊下方的“編輯”在彈出的編輯權(quán)限操作界面，先點擊選中需要更高權(quán)限的賬戶名稱，比如這里需要給名稱為“Users(HOSTNAME\Users)”的user用戶分配修改hosts文件權(quán)限，選中用戶后，勾選上下方的“修改”和“寫入”權(quán)限，完成后，點擊右下角的“應用”就可以了，如圖。

點擊應用后，會彈出一個“Windows安全”提示框，大意是修改系統(tǒng)文件夾權(quán)限后，可能會降低系統(tǒng)安全，這里我們無需理會，直接點擊“是”即可，如圖。

4、給當前用戶設置了寫入和修改hosts文件權(quán)限后，接下來就可以輕松修改Win10 hosts文件了。具體方法是，在hosts文件上點擊鼠標右鍵，在彈出的菜單中，點擊“打開方式”，如圖。

5、然后選擇使用記事本打開修改。比如這里我們要增加一個指定IP訪問www.magedu.com，修改完成后，點擊“保存”就可以了，這時就不會出現(xiàn)權(quán)限問題了，如下圖。

6、最后我們通過ping來測試一下效果，如下圖。

然后訪問https://www.magedu.com/index.html即可打開頁面，顯示相應內(nèi)容。