https應(yīng)用安裝詳解

示例演示：兩臺主機(jī)均為CentOS 7系統(tǒng)主機(jī)

在堯都等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供成都做網(wǎng)站、成都網(wǎng)站設(shè)計網(wǎng)站設(shè)計制作定制網(wǎng)站開發(fā),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),高端網(wǎng)站設(shè)計,成都全網(wǎng)營銷,成都外貿(mào)網(wǎng)站建設(shè)公司,堯都網(wǎng)站建設(shè)費(fèi)用合理。

172.18.253.133 扮演CA角色

172.18.253.132 扮演服務(wù)器角色

1、

a) 172.18.253.133 創(chuàng)建私有CA

# cd /etc/pki/CA

# (umask 077;openssl genrsa -out private/cakey.pem 2048) //生成一個私鑰

# ll private/

total 4

-rw------- 1 root root 1679 May 21 10:09 cakey.pem

# openssl req -new -x509 -key private/cakey.pem -out cacert.pem //生成自己的自簽證書

# touch serial index.txt

# echo 01 >serial

b) 172.18.253.132 創(chuàng)建證書簽署請求

# cd /etc/httpd

# ls

conf conf.d conf.modules.d logs modules run

# mkdir ssl // 存放證書文件用

# cd ssl

# (umask 077;openssl genrsa -out httpd.key 1024)

# openssl req -new -key httpd.key -out httpd.csr // 創(chuàng)建證書簽署請求

# ls

httpd.csr httpd.key

# scp httpd.csr root@172.18.253.133:/tmp/

c) 172.18.253.133 簽署證書

# openssl ca -in /tmp/httpd.csr -out certs/httpd.crt

// 輸入2次 y 確認(rèn)

# scp certs/httpd.crt root@172.18.253.132:/etc/httpd/ssl/

2、 172.18.253.132 配置httpd支持使用ssl,及使用的證書

# ls

httpd.crt httpd.csr httpd.key

# yum install mod_ssl -y

# cd /etc/httpd/conf.d

# cp ssl.conf{,.backup}

# vim ssl.conf

DocumentRoot "/var/www/html" //啟用起來

ServerName www.magedu.com //修改主機(jī)名與證書一致

SSLEngine on //SSL 引擎啟用，必須為on

SSLCertificateFile /etc/httpd/ssl/httpd.crt //服務(wù)器證書地址

SSLCertificateKeyFile /etc/httpd/ssl/httpd.key //私鑰文件

# httpd -t //檢測語法錯誤

注意：如果檢測語法時，報如下錯誤

原因：主機(jī)名和IP不匹配，http服務(wù)器去嘗試反解本機(jī)的IP地址，反解出來的主機(jī)名和本機(jī)主機(jī)名不一致就發(fā)出如下警告。

解決辦法：httpd程序主配置文件中增加一個主機(jī)名

# vim /etc/httpd/conf/httpd.conf

ServerName www.magedu.com //添加一個主機(jī)名或IP

# httpd -t //繼續(xù)監(jiān)測語法

# systemctl restart httpd.service

3、測試基于https訪問相應(yīng)的主機(jī)；

1) 這里以CA主機(jī)用openssl命令為例進(jìn)行驗證：

# openssl s_client -connect www.magedu.com:443

getaddrinfo: Temporary failure in name resolution

connect:errno=111 // 此時主機(jī)無法解析www.magedu.com主機(jī)，需要添加

# vim /etc/hosts

172.18.253.132 www.magedu.com www //添加

# openssl s_client -connect www.magedu.com:443

# openssl s_client -connect www.magedu.com:443 -CAfile /etc/pki/CA/cacert.pem //因為是CA主機(jī)，所以直接導(dǎo)入CA證書即可。

2)也可以用瀏覽器進(jìn)行驗證

首先在CA服務(wù)器上添加一個測試頁

# vim /var/www/html/index.html

Test https

瀏覽器中訪問 http://172.18.253.132/index.html

此時因為瀏覽器沒有導(dǎo)入CA證書，所以基于https的訪問將無法進(jìn)行，需要瀏覽器中導(dǎo)入CA證書文件（把虛擬主機(jī)中/etc/pki/CA/cacert.pem文件復(fù)制到物理主機(jī)上進(jìn)行導(dǎo)入）

方法：谷歌瀏覽器--->設(shè)置--->高級設(shè)置--->HTTPS/SSL管理證書-->受信任的證書頒發(fā)機(jī)構(gòu)-->導(dǎo)入cacert.pem即可。

瀏覽器中繼續(xù)訪問 https://172.18.253.132/index.html

此時可以點(diǎn)擊高級中的繼續(xù)訪問或者本地主機(jī)添加www.magedu.com主機(jī)名

win10系統(tǒng)修改host文件介紹：

1、打開“運(yùn)行”對話框（可以直接使用Win+R組合快捷鍵，快速打開），然后鍵入hosts文件路徑：C:\WINDOWS\system32\drivers\etc 完成后，點(diǎn)擊下方的“確定”打開，如圖。

2、找到hosts文件所在位置后，不要直接去修改該文件，不然會出現(xiàn)權(quán)限不足，無法修改的問題。具體方法是，在hosts文件上點(diǎn)擊鼠標(biāo)右鍵，在彈出的選項中，點(diǎn)擊打開“屬性”，如圖。

3、打開hosts文件屬性后，切換到“安全”選項卡，然后點(diǎn)擊選中需要更改的當(dāng)前用戶名，然后點(diǎn)擊下方的“編輯”在彈出的編輯權(quán)限操作界面，先點(diǎn)擊選中需要更高權(quán)限的賬戶名稱，比如這里需要給名稱為“Users(HOSTNAME\Users)”的user用戶分配修改hosts文件權(quán)限，選中用戶后，勾選上下方的“修改”和“寫入”權(quán)限，完成后，點(diǎn)擊右下角的“應(yīng)用”就可以了，如圖。