TLS/SSL工作流程

1.配置使用ssl完成https访问apache服务器
2.配置访问apache的cgi程序
3.nfs挂载
  a、开放/nfs/shared目录，供所有用户查询资料； b、开放/nfs/upload目录，该目录为192.168.xxx.0/24网段的主机的数据上传目录，
      并将所有该网段主机上传文件的所属者和所属组映射为nfs-upload,其UID和GID为2001；
  c、将/home/tom（该目录为uid=1111，gid=1111的tom用户的家目录）目录仅共享
   给192.168.xxx.128这台主机上的jerry用户，jerry对该目录具有访问、新建和
   删除文件的权限。
4.autofs自动挂载
  远程nfs服务器要的目录为/nfs/autofs
  客户端的的挂载目录/data/autofs
  且设置自动卸载时间为60秒
5.使用https来访问的web服务器:
    要求使用自签名的CA签名证书(openssl, x.509) .crt
         以及私钥
6.可选：https中ssl层的握手协议流程

1.

安装mod_ssl

 建目录

配置文件

 重启前准备

 访问的时候：https://192.168.242.200:443

 2

现在是其他人访问的所以要加权限

 

 

直接访问就会访问他的内容

要想正常

Options +ExecCGI=> 增加可执行的权限
AddHandler cgi-script .cgi -》 指明你要执行的文件的后缀名

3

服务端

(先重启RPC再重启NFS)

a 

 

 客户端挂载

4

客户端安装autofs

 

 

 将它改为60

5

 

 具体操作步骤如下：

1.CA根证书：

1）/root/ca目录下创建4个子目录：

• newcerts：存放CA签署过的数字证书。
• private：存放CA的私钥。
• conf：存放一些简化参数用的配置文件。
• server：存放服务器证书文件

 2）制作ca.key 私钥

[root@good ca]# openssl genrsa -out /root/ca/private/ca.key 2048
 3）生成pem格式的根证书

[root@good ca]# openssl req -x509 -new -nodes \
> -key /root/ca/private/ca.key \
> -sha256 -days 1024 \
> -out /root/ca/private/ca.pem
会有如下交互式配置：

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Shaanxi    
Locality Name (eg, city) [Default City]:sian
Organization Name (eg, company) [Default Company Ltd]:zyz
Organizational Unit Name (eg, section) []:Test
Common Name (eg, your name or your server's hostname) []:rhcsa 
Email Address []:[email protected]
4）.pem转化为.crt(用于浏览器信任)

[root@good ca]# openssl x509 -outform der -in /root/ca/private/ca.pem -out /root/ca/private/ca.crt

2.服务器自签证书：

1) 创建文件ca.conf:

 

 2) 创建文件v3.ext

 

 3) 生成服务端证书签名请求，同时生成服务端私钥（nginx用）

 

 4） 用ca私钥以ca的名义(ca.pem)给网站证书签名，加上v3.ext中的配置

 

6

SSL 的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证，

其主要过程如下：

① 客户端的浏览器向服务器传送客户端 SSL 协议的版本号，加密算法的种

类，产生的随机数，以及其他服务器和客户端之间通讯所需要的各种信息。

② 服务器向客户端传送 SSL 协议的版本号，加密算法的种类，随机数以及

其他相关信息，同时服务器还将向客户端传送自己的证书。

③ 客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括：

证书是否过期，发行服务器证书的 CA 是否可靠，发行者证书的公钥能否正确解

开服务器证书的 “ 发行者的数字签名 ” ，服务器证书上的域名是否和服务器的实际

域名相匹配。如果合法性验证没有通过，通讯将断开；如果合法性验证通过，将

继续进行第四步。

④ 用户端随机产生一个用于后面通讯的 “ 对称密码 ” ，然后用服务器的公钥（服

务器的公钥从步骤②中的服务器的证书中获得）对其加密，然后将加密后的 “ 预

主密码 ” 传给服务器。

⑤ 如果服务器要求客户的身份认证（在握手过程中为可选），用户可以建立

一个随机数然后对其进行数据签名，将这个含有签名的随机数和客户自己的证书

以及加密过的 “ 预主密码 ” 一起传给服务器。

⑥ 如果服务器要求客户的身份认证，服务器必须检验客户证书和签名随机数

的合法性，具体的合法性验证过程包括：客户的证书使用日期是否有效，为客户

提供证书的 CA 是否可靠，发行 CA 的公钥能否正确解开客户证书的发行 CA 的

数字签名，检查客户的证书是否在证书废止列表（ CRL ）中。检验如果没有通过，

通讯立刻中断；如果验证通过，服务器将用自己的私钥解开加密的 “ 预主密码 ” ，

然后执行一系列步骤来产生主通讯密码（客户端也将通过同样的方法产生相同的

主通讯密码）。

⑦ 服务器和客户端用相同的主密码即 “ 通话密码 ” ，一个对称密钥用于 SSL 协

议的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的

完整性，防止数据通讯中的任何变化。

⑧ 客户端向服务器端发出信息，指明后面的数据通讯将使用的步骤⑦中的主

密码为对称密钥，同时通知服务器客户端的握手过程结束。

⑨ 服务器向客户端发出信息，指明后面的数据通讯将使用的步骤⑦中的主密

码为对称密钥，同时通知客户端服务器端的握手过程结束。

⑩ SSL 的握手部分结束， SSL 安全通道的数据通讯开始，客户和服务器开始

使用相同的对称密钥进行数据通讯，同时进行通讯完整性的检验