基于openssl 的https服務(wù)配置

1、安裝mod_ssl

2、在另一臺機器上創(chuàng)建CA

        cd /etc/pki/CA

        (umask 077; openssl genrsa -out private/cakey.pem 2048)

3、生成文件的權(quán)限是600

4、vim  ../tls/openssl.cnf

5、找到 [ req_distinguished_name ]

6、將默認城市改成CN

7、將默認省份名稱stateOrProvinceName_default 改為Hebei

8、城市名稱 localityName_default 改為鄭州

9、組織名稱 0.organizationName_default 改為MageEdu

10、部門名稱 organizationalUnitName_default =Tech

11、生成自簽證書：openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655

12、設(shè)置主機名  ca.mageedu.com 

13、站在CA目錄上  vim ../tls/openssl.cnf

14、編輯找到dir      = /etc/pki/CA

15、站在CA上mkdir certs crl newcerts

16、touch index.txt

17、echo 01 > serial

18、回到服務(wù)器端：

19、cd /etc/httpd/httpd/

20、mkdir ssl；；；cd ssl

21、(umask 077; openssl genrsa 1024 > httpd.key)

22、openssl req -new -key httpd.key -out httpd.csr

23、跟CA上的信息一定要保持一致

24、主機名：看你給那個虛擬主機用  咱們的虛擬主機定義在vim /etc/httpd/conf.d/v...

25、將證書請求發(fā)給CA  站在ssl目錄上   scp httpd.csr 192.168.9.250:/tmp

26、去9.250服務(wù)器上 openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 3650    

27、cd /etc/pki/CA；；；；；cat serial  發(fā)現(xiàn)為02

28、咱們回到服務(wù)器，scp去9.250上取整數(shù)

            scp 192.168.9.250：/tmp/httpd.crt ./

29、去9.250上  刪除tmp下  rm httpd.c*

30、配置服務(wù)器端：cd /etc/httpd/con.d  ;;;vim ssl.conf;;;  ////   cp ssl.conf ssl.conf.org

31、進入編輯  <VirtualHost 192.168.9.247:443>  在下面編輯主機名ServerName hello.magedu.com

32、編輯DocumentRoot “/www/magedu.com”

33、編輯SSLCertificateFile /etc/httpd/ssl/httpd.crt  編輯CA頒發(fā)的證書文件

34、編輯SSLCertificateKeyFile /etc/httpd/ssl/httpd,key  定義私鑰文件  保存

35、httpd -t     重啟

36、因為沒有正規(guī)的ca授權(quán)，所以我們要在本地上 修改host文件 讓他能識別 hello.magedu.com

37、在地址欄輸入   https：//hello.magedu.com

38、發(fā)現(xiàn)不信任證書 我們需要回到9.250上 /etc/pki/CA/下載cacert.pem到物理主機

39、將cacert.pem改為cacert.crt  雙機可以安裝證書導(dǎo)入瀏覽器。放到受信任的證書頒發(fā)機構(gòu)

40、記住一個地址只能建立一個ssl主機