httpd（apache）--知识总结（3）--https

SSL会话的简化过程

(1) 客户端发送可供选择的加密方式，并向服务器请求证书；
(2) 服务器端发送证书以及选定的加密方式给客户端；
(3) 客户端取得证书并进行证书验正：
    如果信任给其发证书的CA：
        (a) 验正证书来源的合法性；用CA的公钥解密证书上数字签名；
        (b) 验正证书的内容的合法性：完整性验正
        (c) 检查证书的有效期限；
        (d) 检查证书是否被吊销；
        (e) 证书中拥有者的名字，与访问的目标主机要一致；
(4) 客户端生成临时会话密钥（对称密钥），并使用服务器端的公钥加密此数据发送给服务器，完成密钥交换；
(5) 服务用此密钥加密用户请求的资源，响应给客户端；

注意：SSL会话是基于IP地址创建；所以单IP的主机上，仅可以使用一个https虚拟主机；

回顾几个术语：PKI，CA，CRL，X.509 (v1, v2, v3)

http事务 vs https事务

创建私有CA

创建私有CA：
    openssl的配置文件：/etc/pki/tls/openssl.cnf

    (1) 创建所需要的文件
        # touch index.txt
        # echo 01 > serial
        # 
    (2) CA自签证书
        # (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
        # openssl req -new -x509 -key /etc/pki/CA/private/cakey.epm -days 7300 -out /etc/pki/CA/cacert.pem
            -new: 生成新证书签署请求；
            -x509: 专用于CA生成自签证书；
            -key: 生成请求时用到的私钥文件；
            -days n：证书的有效期限；
            -out /PATH/TO/SOMECERTFILE: 证书的保存路径；

    (3) 发证
        (a) 用到证书的主机生成证书请求；
            # (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
            # openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr
        (b) 把请求文件httpd.csr传输给CA；
        (c) CA签署证书，并将证书发还给请求者；
            # openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

            查看证书中的信息：
                openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|-subject|-serial

    (4) 吊销证书
        (a) 客户端获取要吊销的证书的serial
            # openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

        (b) CA
            先根据客户提交的serial与subject信息，对比检验是否与index.txt文件中的信息一致；

            吊销证书：
                # openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

        (c) 生成吊销证书的编号(第一次吊销一个证书)
            # echo 01 > /etc/pki/CA/crlnumber

        (d) 更新证书吊销列表
            # openssl ca -gencrl -out thisca.crl

            查看crl文件：
                # openssl crl -in /PATH/FROM/CRL_FILE.crl -noout -text

配置httpd支持https：

    (1) 为服务器申请数字证书；
        测试：通过私建CA发证书
            (a) 创建私有CA
            (b) 在服务器创建证书签署请求
            (c) CA签证
    (2) 配置httpd支持使用ssl，及使用的证书；
            # yum -y install mod_ssl

            配置文件：/etc/httpd/conf.d/ssl.conf
                    DocumentRoot
                    ServerName
                    SSLCertificateFile
                    SSLCertificateKeyFile
    (3) 测试基于https访问相应的主机；
            # openssl s_client [-connect host:port] [-cert filename] [-CApath directory] [-CAfile filename]