在實驗中web服務(wù)器地址為：192.168.80.10，客戶機地址為192.168.80.200

創(chuàng)新互聯(lián)公司始終堅持【策劃先行，效果至上】的經(jīng)營理念，通過多達10多年累計超上千家客戶的網(wǎng)站建設(shè)總結(jié)了一套系統(tǒng)有效的營銷解決方案，現(xiàn)已廣泛運用于各行各業(yè)的客戶，其中包括：汽車玻璃修復(fù)等企業(yè)，備受客戶贊許。

實驗?zāi)康模耗軌蚩刂朴脩魧υ搘eb服務(wù)器訪問。
[root@localhost ~]# yum --disablerepo=* --enablerepo=c6-media install httpd

安裝httpd服務(wù)
為了實現(xiàn)身份驗證在/etc/httpd/conf/httpd.conf 第336行改為“AllowOverride all”

在/var/www/html/目錄下編輯一個名稱為.htaccess的說明文件，此文件必須在站點主目錄下，內(nèi)容編輯如下：
authuserfile  /var/www/.htpasswd
authname "please in put your name and password"
authtype        basic
require         valid-user
上邊的只是一個說明文件，接下來要產(chǎn)生一個賬號庫文件：
這里需要一個工具h(yuǎn)tppasswd來產(chǎn)生 ，此工具在/usr/bin/目錄下
直接執(zhí)行此工具：
[root@localhost www]# htpasswd -c .htpasswd abc ，然后會提示兩次輸入密碼123
在當(dāng)前目錄下生成一個名稱為.htpasswd的文件，并寫入一個賬號為abc密碼為123的用戶
如果要再次寫入一個用戶的話 就不用加-c了，-c是表示創(chuàng)建一個新文件。
[root@localhost html]# echo 'hello' >index.html
在當(dāng)前目錄下建立一個靜態(tài)網(wǎng)頁名稱為index.html，并寫入一個單詞 “hello”
重啟httpd服務(wù)：
[root@localhost html]# service httpd restart
然后在一個與本地地址同網(wǎng)段的pc瀏覽器中登陸http://192.168.80.10
發(fā)現(xiàn)需要輸入賬號和密碼：
輸入賬號：abc密碼：123
進入后可以看到如下界面：

也可以同過對訪問地址來源來限制訪問：
在/etc/httpd/conf/httpd.conf 第341行至343行修改如下：
只允許地址為192.168.80.200的主機訪問，而別的地址不可訪問。
Order allow,deny
    Allow from 192.168.80.200
    Deny from  any
注：在這里allow和deny的順序一定要一致。
我把剛才那臺主機地址改為192.168.80.201，此時發(fā)現(xiàn)已經(jīng)不可訪問此站點：

而把地址改回來之后又可繼續(xù)訪問了。

接下來我要在linux系統(tǒng)中使用openssl來實現(xiàn)CA的安裝和CA的發(fā)放：
[root@localhost html]# rpm -qa |grep openssl
首先查看一下系統(tǒng)中有沒有安裝apenssl，如果沒有可以自行安裝，這里不詳細(xì)說了
進入/etc/pki/ PKI-公鑰基礎(chǔ)設(shè)施
查看/etc/pki/tls/下的openssl.conf ，這是openssl的配置文件：

[root@localhost tls]# vim openssl.cnf
查看40至53行：

如果有些文件/目錄沒有的話就自己創(chuàng)建一個：

我的系統(tǒng)中/etc/pki/CA目錄下的文件有這些：

所以要做以下的一些步驟：

[root@localhost CA]# openssl genrsa 1024 >private/cakey.pem
在當(dāng)前目錄的private目錄下用openssl產(chǎn)生一個用rsa加密算法加密的1024為的私鑰，文件名稱為cakey.pem（這個文件名稱必須和openssl.conf里的文件名稱相同）
[root@localhost CA]# chmod 600 private/cakey.pem
因為私鑰是保密的，只能由管理員一個人可以訪問所以改變它的權(quán)限
此時可以在 文件的128至139行修改如下，這是修改一些默認(rèn)值，以免每次請求產(chǎn)生證書都要填寫，當(dāng)然也可以不該，在請求時自行填寫：

在這里還需要填寫一些別的資料，（我這里都是隨便填寫的）：

[root@localhost CA]# openssl req -new -key private/cakey.pem -x509 -out cacert.pem

請求產(chǎn)生一個證書，證書上的公鑰從私鑰上提取，證書格式為-x509，名稱為cacert.pem（這個文件名稱必須和openssl.conf里的文件名稱相同）

到這里證書已經(jīng)產(chǎn)生成功：

接下來要產(chǎn)生web的私鑰：
[root@localhost CA]# mkdir -pv /etc/httpd/certs
mkdir: created directory `/etc/httpd/certs'
[root@localhost CA]# cd /etc/httpd/certs/
[root@localhost certs]# openssl genrsa 1024 >httpd.key
產(chǎn)生一個httpd.key的私鑰文件。
[root@localhost certs]# chmod 600 httpd.key
改變權(quán)限
編輯openssl.conf文件：將其中的85行至87行修改如下：
將match改為optional

這樣可以使所有國家和單位的人都可以請求證書。
[root@localhost certs]# openssl req -new -key httpd.key -out httpd.crq
產(chǎn)生一個名為httpd.crq的請求文件，因為這個不是私鑰文件，所以不用加-x509

有了請求文件之后，可以基于請求文件來申請一份證書，產(chǎn)生的證書名稱為httpd.cert：

[root@localhost certs]# openssl ca -in httpd.crq -out httpd.cert

這時查看/etc/pki/CA/index.txt文件，發(fā)現(xiàn)已經(jīng)多了一條記錄：
[root@localhost CA]# cat index.txt

接下來要把web和證書綁定：
此時要調(diào)用一個模塊：mod_ssl
如果沒有的話自行安裝一個mod_ssl,安裝后就會有一個mod_ssl.so文件
在這個目錄下：

[root@localhost CA]# vim /etc/httpd/conf.d/ssl.conf
編輯此文件
將第105行修改為  SSLCertificateFile /etc/httpd/certs/httpd.cert  指明證書目錄
將第112行修改為 SSLCertificateKeyFile /etc/httpd/certs/httpd.key  指明秘鑰目錄

重新啟動httpd服務(wù)后，查看端口發(fā)現(xiàn)明文端口與加密端口都已開啟：
[root@localhost CA]# netstat -tupln |grep http

再到本地ip地址為192.168.80.200的主機中把C:\WINDOWS\system32\drivers\etc目錄下的hosts中添加一句：
192.168.80.10   www.abc.com

這是告訴這臺主機，地址192.168.80.10的名稱是www.abc.com,然后登陸http://www.abc.com，發(fā)現(xiàn)有提示證書是不可信任的：

進入到/etc/httpd/conf.d/ssl.conf，編輯此文件

[root@localhost CA]# vim /etc/httpd/conf.d/ssl.conf
將第120行修改為 SSLCertificateChainFile /etc/pki/CA/cacert.pem

在進入到客戶主機中，點擊安裝證書：

然后可以在Internet“屬性”》“內(nèi)容”》“證書”》“受信任的根證書頒發(fā)機構(gòu)”中可以看到有一個abc.org.cn頒發(fā)的證書：

此時再次重新訪問http://www.abc.com；

無任何提示信息，并且訪問成功！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站欄目：Apache的站點安全技術(shù)-創(chuàng)新互聯(lián)
網(wǎng)站地址：http://weahome.cn/article/egjhj.html