HTTP简介

Web服务器在默认情况下使用HTTP,这是一个纯文本的协议。正如其名称所暗示的,纯文本协议不会对传输中的数据进行任何形式的加密。而基于HTTP的Web服务器是非常容易配置,它在安全方面有重大缺陷。任何”中间人”,通过精心防止的数据包嗅探器,是能够看到任何经过的数据包内容。更进一步,恶意用户甚至可以在传输路径设置一个假冒的WEB服务器冒名顶替实际的目标Web服务器。在这种情况下,最终用户可能实际上与假冒者服务器,而不是真正的目的服务器进行通信。这样,恶意用户可以通过精心设计的表单欺骗终端用户获取到敏感信息,如用户名密码。

为了处理这些类型的漏洞,大多数供应商往往在他们的web服务器应用HTTPS协议。对于只读类型的网站,用户只能读取内容,并没有实际提交任何信息,HTTP仍然是一个可行的选择。但是,对于保存敏感信息的网站,比如:用户需要登录来获得网站的服务,那么HTTPS是必须的。

HTTPS能够为一个网站提供以下能力。

1、确保所有经过服务器传输的数据包都是经过加密的。

2、建立了一个官方数字证书证书,使得假冒服务器无法冒充真正的服务器。

HTTPS证书获取途径

1、自签名证书被推荐用于测试目的和个人项目。自签名证书,也可以用于服务提供商,不过一般适用于用户互相信任的情形。另外,自签名证书不用花钱购买。

2、证书可以由社区为基础的认证供应商如StartSSL和CACERT办法。这些证书也不需要花钱,但建议为个人项目。

3、对于全球性商业网站,建议从值得信赖的知名证书颁发机构购买证书。这些证书需要花钱,但他们增加了网络服务提供商的信誉。

实验环境:

系统版本:centos7x3.10.0-514.el7.x86_64

Apache版本:Apache/2.4.6

关闭防火墙并禁止开机自启

systemctl stop firewalld.service
systemctl disable firewalld

关闭selinux

sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux

修改主机名

vi /etc/hostname
apache.xyc.com

域名绑定IP

vi /etc/hosts
192.168.152.170 apache.xyc.com

重启 reboot

安装apache服务

1、安装apache环境依赖

yum -y install mod_ssl openssl httpd

2、创建CA证书存放目录

mkdir /etc/httpd/ca

3、修改配置文件

vi /etc/httpd/conf.d/ssl.conf
Centos7配置Apache实现HTTPS_第1张图片
Centos7配置Apache实现HTTPS_第2张图片
Centos7配置Apache实现HTTPS_第3张图片

创建Apache的CA证书

1、进入存放证书的目录

cd /etc/httpd/ca/

2、创建自己的CA证书

openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x509 -days 1000 -out ca.crt
Centos7配置Apache实现HTTPS_第4张图片
注:可以看到截图我写的是1000天,也就是大概三年的时间,自己可以随意设置!

3、生成CA证书签名请求

openssl req -newkey rsa:4096 -nodes -sha256 -keyout apache.xyc.com.key -out apache.xyc.com.csr
Centos7配置Apache实现HTTPS_第5张图片

4、生成注册主机的证书

openssl x509 -req -days 365 -in apache.xyc.com.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out apache.xyc.com.crt
Centos7配置Apache实现HTTPS_第6张图片
注:可以看到以上截图写的是365天,有的童鞋可能不太理解,简单说一下,现在代表的意思是证书三年有效期,而客户端使用认证期限是一年,当然了写1000天就和证书一样三年后失效。

5、将证书拷贝到配置文件中路径相对应的目录

//进入证书目录

cd /etc/httpd/ca/

//拷贝证书到默认指定目录

cp apache.xyc.com.crt /etc/pki/tls/certs/
cp apache.xyc.com.key /etc/pki/tls/private/

6、重启Apache服务

systemctl restart httpd

访问测试(最好使用Firefox浏览器)

1、访问网页地址https://apache.xyc.com/

Centos7配置Apache实现HTTPS_第7张图片
注:因为本地电脑无法识别自己写的域名,所以需要添加网站主机IP和域名绑定,实现方式如下:

//打开本地C盘,搜索路径C:\Windows\System32\drivers\etc
Centos7配置Apache实现HTTPS_第8张图片

//用文本格式编辑第二行的hosts文件,添加一行web的IP和域名即可
Centos7配置Apache实现HTTPS_第9张图片

2、再次访问网页地址https://apache.xyc.com/

Centos7配置Apache实现HTTPS_第10张图片
注:看到这样的截图,基本上也算是成功了!

//点击高级
Centos7配置Apache实现HTTPS_第11张图片

//点击添加列外
Centos7配置Apache实现HTTPS_第12张图片

//点击确认安全列外
Centos7配置Apache实现HTTPS_第13张图片
注:如上截图,说明apache的https搭建完成了!