Linux中Https配置与私有CA部署指南

发布于:2025-08-13 ⋅ 阅读:(21) ⋅ 点赞:(0)

Linux中Https配置与私有CA部署指南

一、HTTPS 核心概念

特性 HTTP HTTPS
协议 明文传输 HTTP + SSL/TLS
端口 80 443
加密 未加密 数据加密

二、SSL/TLS 握手流程

  1. Client → Server
    • ClientHello:支持哪些版本、支持哪些加密算法,随机生成一组32字节数据 random_c
  2. Server → Client
    • ServerHello:确定版本、确定加密算法,随机生成一组32字节数据 random_s
    • ServerCertificate:发送证书(含公钥)
  3. Client → Server
    • ClientKeyExchange:用公钥加密预主密钥 pre_master 并发送
  4. Server 解密
    • 服务端收到后,用私钥解密 pre_master
  5. 生成会话密钥
    • 最终密钥 = random_c + random_s + pre_master

三、私有CA部署

注意:所有操作需确保 DNS 解析正确(如 ca.example.comweb.example.com 等)。

1、CA 服务器配置
  1. 配置正向解析对应IP地址

    vim /var/named/yyh.com
    	ca      IN      A       192.168.100.10
    
  2. 为主机CA生成私钥

    (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem)
    # umask为权限减去的值
    # openssl genrsa为生成私有密钥
    
  3. 为主机CA生成自签名证

    openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out 	/etc/pki/CA/cacert.pem -days 365
    # 生成自签名根证书
    
    CN					# 国家
    HB					# 省份
    WH					# 城市
    LQ					# 公司
    linux				# 单位
    ca.example.com		# 服务器主机名
    root@example.com	# 邮箱
    

    在这里插入图片描述

  4. 为CA提供所需的目录及文件:

    touch /etc/pki/CA/index.txt			# 创建目录
    echo 01 > /etc/pki/CA/serial		# 创建并写入文件
    
2、Web 服务器申请证书
  1. 验证能否解析 ca.example.com

    nslookup ca.example.com				# 对 ca.example.com 进行解析
    

    在这里插入图片描述

  2. 为主机WEB生成私钥

    mkdir /etc/httpd/ssl										# 创建/etc/httpd/ssl目录
    (umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key)	# 存放在/etc/httpd/ssl目录
    
  3. 为web.example.com站点生成签署请求文件

    openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365
    # 生成证书签名请求
    
    CN					# 国家
    HB					# 省份
    WH					# 城市
    LQ					# 公司
    linux				# 单位
    web.example.com		# 服务器主机名
    root@example.com	# 邮箱
    

    在这里插入图片描述

  4. 将签署请求文件发送给CA服务器

    scp /etc/httpd/ssl/httpd.csr root@ca.example.com:/etc/pki/CA/
    # 远程复制
    
3、CA 签署证书
  1. 在主机CA上 对签署请求进行数字签名

    openssl ca -in /etc/pki/CA/httpd.csr -out /etc/pki/CA/httpd.crt -days 365
    # 指明所生成的Web证书的存放路径为 /etc/pki/CA/httpd.crt
    

    在这里插入图片描述

  2. 将CA主机上已经数字签名后的Web证书发给Web主机

    scp /etc/pki/CA/httpd.crt root@web.example.com:/etc/httpd/ssl/
    # 远程复制
    
4、部署https站点
  1. 在主机WEB上安装apche http扩展模块mod_ssl

    yum -y install mod_ssl		# yum 安装 mod_ssl
    
  2. 修改 SSL 配置

    vim /etc/httpd/conf.d/ssl.conf		# 编辑 ssl 配置文件
    	
    	SSLCertificateFile /etc/httpd/ssl/httpd.crt			# 证书
    	SSLCertificateKeyFile /etc/httpd/ssl/httpd.key		# 私钥
    

    在这里插入图片描述

  3. 配置虚拟主机

    vim httpd-vhosts.conf		# 编辑主配置文件
    
    	<VirtualHost 192.168.100.20:443>						# IP 地址和端口号
        	DocumentRoot "/var/www/html"						# 告诉配置文件位置在哪里
        	ServerName web.eaxmple.com							# 完整域名
        	SSLEngine on										# 启用 SSL 引擎
        	SSLCertificateFile /etc/httpd/ssl/httpd.crt			# 证书位置
        	SSLCertificateKeyFile /etc/httpd/ssl/httpd.key		# 私玥位置
    	</VirtualHost>
    
    systemctl restart httpd
    

    在这里插入图片描述

5、客户端信任私有 CA
  1. 在客户端上去下载CA服务器上的根证书

    scp  root@ca.example.com:/etc/pki/CA/cacert.pem  /root
    # 远程复制
    
  2. 在Web主机创建网页

    echo 123456 > /var/www/html/index.html		# 创建并写入文件
    
  3. 在客户端验证

    curl -k https://web.example.com				# 访问网址
    

    在这里插入图片描述

6、集成动态web
  1. 安装httpd mod_wsgi

    yum -y install mod_wsgi			# yum 安装 mod_wsgi
    
  2. 上传动态web内容:

    在这里插入图片描述

  3. 配置虚拟主机

    mv python.txt test.py								# 把 python.txt 更名为 test.py
    
    vim /etc/httpd/conf.d/httpd-vhosts.conf				# 编辑主配置文件
    
    	<VirtualHost 192.168.100.20:80>					# IP 地址和端口号
        	DocumentRoot "/var/www/wsgi"				# 告诉配置文件位置在哪里
        	WSGIScriptAlias / "var/www/wsgi/test.py"	# 别名
        	ServerName lq.example.com					# 完整域名
    	</VirtualHost>
    
    systemctl restart httpd								# 重启服务
    
  4. 访问验证

    在这里插入图片描述

  5. 修改虚拟主机

    vim /etc/httpd/conf.d/httpd-vhosts.conf				# 编辑主配置文件
    	
    	<VirtualHost 192.168.100.20:80>					# IP 地址和端口号
        	DocumentRoot "/var/www/wsgi"				# 告诉配置文件位置在哪里
        	ServerName lq.example.com					# 完整域名
    	</VirtualHost>
    
    systemctl restart httpd								# 重启服务
    
  6. 访问验证

    在这里插入图片描述

关键命令说明

命令选项 作用
-x509 生成自签名证书(用于创建 CA)
-new 生成证书签名请求 (CSR)
-key 指定私钥文件路径
-out 指定输出文件路径
-days 设置证书有效期(默认 365 天)

网站公告

今日签到

点亮在社区的每一天
去签到