菜鸟学Linux 第054篇笔记 建立加密的http

菜鸟学Linux 第054篇笔记 建立加密的http

csr (Certificate Signing Request)
crt (未找到解释)

yum install mod_ssl

建立加密http访问步骤

1.安装mod_ssl
2.建立私有CA
为私有CA颁发自己的证书.pem
3.在http server 生成自己的私有key
并生成私有key的证书请求文件（请求文件的host名字必须要和站点名字相同）.csr
将该请求文件送到私有CA处进行颁发证书，并把证书拷贝回到本地目录.crt
4.修改/etc/httpd/conf.d/ssl.conf文件
<VirtualHost 192.168.11.122:443> （IP为所要访问的主机名的IP）

ServerName www.mysky.com:443
DocumentRoot "/web/html"（这两项不多做解释）
SSLCertificateFile /etc/httpd/ssl/httpd.crt （证书文件位置)
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key（生成和私钥位置）
</VirtualHost>

这样即可实现http加密访问了，客户端直接访问会提示证书不受信任
解决此问题需要将私有CA的证书拷贝到本地安装后即提示消失
有的浏览器还是会提示证书有问题，这是因为咱们是自己建立的CA颁发机构（你懂得）

注意事项
1.建立私有CA时需要修改/etc/pki/tls/openssl.cnf文件
2.建立serial只可两位数（个人测试三位提示有问题，不清楚为何）
3.配置/etc/httpd/conf.d/ssl.conf文件，此文件仅在安装mod_ssl时才会有
4.一个IP只可建立一个加密的http传输
5.如果连接网站不成功可能iptables SELinux开启
关闭 setenforce 0
service iptables stop
（这里因为没有学习此两项所以暂时先关闭）

https 连接步骤
1.客户端首先建立tcp三次握手与服务器端
2.客户端和服务器端协商要使用的对称加密算法，公钥加密算法
3.服务器端发送证书（证书里有服务器的公钥）给客户端
3.客户端验证证书如没有问题后生成随机对称密钥，用服务器的公钥加密，传送给server
4.客户端发送http请求用对称密码加密传送给服务器
5.服务器端回复http请求也用对称密码加密传送给客户端
（4，5条个人想法，上课走神了呵呵 ）