centos7搭建CA服务器颁发ssl证书

2019年12月16日 星期一 CQCEE

使用ssl来保证web通信安全

apache服务器与客户机采用明文通信

对HTTP传输加密的协议为HTTPS，是通过ssl进行http传输的协议，它通过公用密钥CA证书进行加密，保证传输的安全性。

x509证书一般会用到三类文，key，csr，crt
Key是私用密钥openssl格，通常是rsa算法
Csr是证书请求文件，用于申请证书。在制作csr文件的时，必须使用自己的私钥来签署申，还可以设定一个密钥。
crt是CA认证后的证书文，（windows下面的，其实是crt），签署人用自己的key给你签署的凭证。

实验环境：
CA服务器 web服务器 客户机（本机）

CA服务器	web服务器
centos7搭建ca服务	centos7搭建apache服务

Ca服务器：

yum install -y openssl openssl-devel

• 备份openssl.cnf

• basicConstraints=CA:FALSE 　　# 把FALSE改成TRUE 把本机变成CA认证中心
  

cd /etc/pki/CA/private/

openssl genrsa -aes128 -out myCA.key 2048    //生成一个RSA算法 2048大小的私钥

Openssl req -new -x509 -key /etc/pki/CA/private/myCA.key -out /etc/pki/CA/certs/myCA.crt -days 365     //用私钥来创建一个CA证书服务器

web服务器

yum instal -y httpd		//安装apache

 systemctl start httpd.service		//启动apache
 systemctl enable httpd.service     //自启

firewall-cmd --add-service=http --zone=public --permanent
 firewall-cmd --add-service=https --zone=public --permanent
 firewall-cmd –reload

yum install -y mod_ssl      // 安装ssl模块  生成（/etc/httpd/conf.d/ssl.conf）

web1生成私钥和CSR

openssl genrsa -out /etc/pki/tls/private/web.key 1024

openssl req -new -key /etc/pki/tls/private/web.key -out /etc/pki/CA/web.csr
生成证书

scp  web.csr root@ip:~/web.csr      //scp到ca服务器上准备数字加密

CA服务器数字加密

ca服务器执行数字签名
openssl x509 -req -in web.csr \
  -CA /etc/pki/CA/certs/myCA.crt \
  -CAkey /etc/pki/CA/private/myCA.key \
  -CAcreateserial \
  -out web.crt \
  -days 365

生成一个crt的web证书scp到web服务器
scp到web服务器上

回到ssl.conf配置证书和密钥
SSLCertificateFile web.crt
SSLCertificateKeyFile web.key

80端口

采用https时浏览器会警报（因为时我们自己发的证书，丝毫不影响我们安全传输）

安装证书即可正常访问