RHCE--Linux如何使用SSL搭建https服务器

SSL认证

SSL认证是指客户端到服务器端的认证。主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。

一、SSL认证的工作原理

安全套接字层 (SSL 是“Secure Sockets Layer”的缩写) 技术通过加密信息和提供鉴权，保护您的网站安全。一份 SSL 证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息，私用密钥用于解译加密的信息。浏览器指向一个安全域时，SSL 同步确认服务器和客户端，并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。

二、为什么要进行SSL认证

通过SSL认证后，可以实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。对于金融机构、大型购物网站来说，高安全的加密技术及严格的身份验证机制可以确保部署SSL证书的网站安全可靠。

三、为什么要使用https?

http的缺点：
1.通信使用明文，内容可能被窃听（重要密码泄漏）
2.不验证通信方身份，有可能遭遇伪装（跨站点请求伪造）
3.无法证明报文的完整性，有可能已遭篡改（运营商劫持）

https是在http协议基础上加入加密处理和认证机制以及完整性保护，即http+加密+认证+完整性保护=https
https并非应用层的一种新协议，只是http通信接口部分用ssl/tls协议代替而已。通常http直接和tcp通信，当使用ssl时则演变成先和ssl通信，再由ssl和tcp通信。
所谓https，其实就是身披ssl协议这层外壳的http

1、HTTPS与HTTP的区别

①https协议需要到ca （Certificate Authority）申请证书，一般免费证书很少，需要交费。
②http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议。
③http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。
④http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

2、SSL建立过程

证书的格式

认证中心所发放的证书均遵循X.509 V3标准
X.509通用的证书格式包含三个文件：key ,csr , crt.

文件	解释
key	是服务器上的私钥文件，用于对发送给客户端数据的加密，以及对从客户端接受到数据的解密
csr	是证书签名请求文件，用于提交给证书颁发机构（CA）对证书签名
crt	是由证书颁发机构（CA）签名后的证书，或者是开发者自签名的证书，包含证书持有人的信息，持有人的公钥，以及签署者的签名等信息

PKI：public key Infrastructure 公钥基础设施，是一种遵循标准的利用公钥加密技术为电子商务的开展提供了一套安全基础平台的技术规范。

提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。

准备配置

1.关闭防火墙：systemctl stop firewalld
2.关闭SELINUX：setenforce 0
3.挂载光盘：mount /dev/sr0 /mnt
4.配置yum：vim /etc/yum.repos.d/base.repo

[base]
name=base
baseurl=file:///mnt
enable=1
gpgcheck=0

5.安装httpd服务：yum install httpd -y

搭建https服务器

1.安装认证模版

（1）安装命令： yum install mod_ssl -y
查看安装文件：rpm -ql mod_ssl

（2）安装自签名证书：
①切换到安装证书的目录：cd /etc/pki/tls/certs
②开始安装自签名证书：make zhengshu.crt

③安装成功后就可以在当前目录中找到改证书文件

[root@localhost certs]# ll | grep zhengshu
-rw-------. 1 root root 1395 4月   1 17:17 zhengshu.crt
-rw-------. 1 root root 1766 4月   1 17:04 zhengshu.key

2.定义虚拟主配置文件

命令：vim /etc/httpd/conf.d/vhosts.conf

3.创建访问目录

[root@localhost ~]# mkdir /zhengshu
[root@localhost ~]# echo SSL认证 > /zhenhshu/index.html
-bash: /zhenhshu/index.html: 没有那个文件或目录
[root@localhost ~]# echo SSL认证 > /zhengshu/index.html
[root@localhost ~]# systemctl restart httpd
Enter SSL pass phrase for 192.168.117.136:443 (RSA) : ********
[root@localhost ~]#

重启服务systemctl restart httpd 时需要输入证书密码，通过浏览器访问https://zhengshu.com会提示此网站的安全证书有问题。

点击下面 继续前往

证明搭建成功。