1.说明

部署之前,先举例说明一下,方便理解。

比如我想去租房子,于是便在某网站上搜寻,结果联系的时候发现好多都是假的。

有看上的房子吧,又担心房东是个骗子。这个时候,我为了租房,找到了一家房屋中介公司,虽然收费,但是可以放心的租到房子。


基于openssl实现https访问_第1张图片

2.部署

 CA server: 192.168.1.10

 http server: 192.168.1.200

  

 安装openssl 

 yum install openssl -y

 默认安装下面目录:

创建证书的database文件index.txt和序列文件serial 

2-1)在CA上生成自签证书 cacert.pem

    切换到CA server: 192.168.1.10

    2-1-1)创建私钥

       #(umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem)

            *说明:私钥的权限要设置到最低,可以使用子shell方式创建。

    2-1-2)生成自签证书(用于发放给个人用户)
       #openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem

      

  基于openssl实现https访问_第2张图片

   需要填写的内容,可以在配置文件中设置

        #vim /etc/pki/tls/openssl.cnf

  基于openssl实现https访问_第3张图片

        

  2-2-1)服务端请求生成证书

   切换到http server:192.168.1.200

   

   #yum install mod_ssl -y     #用于https的配置

   #mkdir /etc/httpd/ssl

   #cd /etc/httpd/ssl

   #(umask 077;openssl genrsa -out httpd.key)  #生成私钥

   #openssl req -new -key httpd.key -out httpd.csr  #生成证书请求

 *注意:红色框中填写的内容要与在CA上设置内容一致(参考2-1-2)),×××框中的域名就是CA要认证的域名。

   

  

   2-2-2)将生成的httpd.csr证书请求文件传到CA server,由CA发送证书。

   #pwd

   /etc/httpd/ssl

   #scp httpd.csr [email protected]:/tmp

   2-2-3)切换到CA server,进行证书分发

   #openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 365

   将生成的证书发送给http server

   #scp /tmp/httpd.crt [email protected]:/etc/httpd/ssl

   2-2-4)切换到http server查看

   #ls /etc/httpd/ssl

   httpd.crt  httpd.csr  http.key

   在/etc/httpd/conf.d/ssl.conf修改私钥和证书的存储位置,重启apache,查看443端口

   SSLCertificateKeyFile /etc/httpd/ssl/httpd.key

   SSLCertificateFile /etc/httpd/ssl/httpd.crt

   #netstat -tunlp |grep httpd

   tcp  0  0 0 0.0.0.0:80  0.0.0.0:*     LISTEN      15608/httpd

   tcp  0  0 0.0.0.0:443   0.0.0.0:*     LISTEN      15608/httpd

2-3)客户端下载CA上的证书 cacert.pem文件 ,改名为cecert.crt.双击安装证书。

   在本机hosts中做域名映射

   192.168.1.200 www.slitobo.com

   浏览器访问即可;

 

基于openssl实现https访问_第4张图片

基于openssl实现https访问_第5张图片

  

   基于openssl实现https访问_第6张图片