記事のディレクトリ
HTTPS
単純化プロセスSSLセッション
1は、クライアントから送信された暗号化されたサイトへの最初の訪問は、暗号化方式を選択し、証明書サーバーを要求するために、サーバーはすぐに応答しません
2、サーバはクライアントに、選択暗号化と証明書を送信します
(証明書は、CAの秘密鍵で署名した公開鍵、CA情報、期限切れの時間が含まれているため、このステップは、クライアントに相当する部位には、Aの公開鍵のサイトを持って)
3、クライアント証明書と証明する証明書取得
信頼証明書が発行された場合にCAを
()正当性のソースの資格情報を確認、公開鍵でデジタル署名証明書CAの復号化に
正当性検証証明書(B):整合性検証
の有効期間©検査証明書
(d)を証明するかどうかをチェックします取り消された
ターゲット・ホスト・アクセスと一致するように、名前(e)は、証明書の所有者を
クライアントは、鍵交換を完了するために、サーバーに送信されたデータを一時セッション鍵(対称鍵)を生成し、サーバの公開鍵を使用して暗号化し、
4、クライアントに応じて、ユーザの要求を暗号化する鍵を使用してこのサービスリソース
5、次の通信、まだ使用
注:SSLは、IPアドレスに基づいて実現され、単一のIPホストはHTTPSのみウェブホスティングを使用することができます
二、httpdの実現の方法HTTPS
プロセス:
2.1は、サーバのデジタル証明書を要求します
-
プライベートCAを作成します
-
サーバーに証明書署名要求を作成します。
-
CAビザ
configureは2.2サポートするSSLの使用、および証明書の使用をhttpdが
yum -y install mod_ssl
プロフィール:する/etc/httpd/conf.d/ssl.conf
-
DocumentRootの
-
サーバーネーム
-
SSLCertificateFile
-
SSLCertificateKeyFile
例:
-
関連する証明書を作成します。
openssl genrsa 2048 > cakey.pem openssl req -new -x509 -key cakey.pem -out cacert.pem -days 3650 openssl req -newkey rsa:1024 -days 365 -nodes -keyout httpd.key > httpd.csr openssl x509 -req -in httpd.csr -CA cacert.pem -CAkey cakey.pem -set_serial 01 > httpd.crt
注:httpd.csr共通名の最後の共通名は、暗号化されたウェブサイトへの迅速なアクセスでなければなりません
共通名(例えば、自分の名前や、サーバーのホスト名)[]:www.a.com
-
SSLモジュールのインストール
yum -y install mod_ssl
-
変更のconf
[root@node1 ~]# vim /etc/httpd/conf.d/ssl.conf
インストールモジュールの設定ファイルのSSLから生成されたのssl.conf
<VirtualHost _default_:443> DocumentRoot "/data/asite" <directory /data/asite> require all granted </directory> SSLCertificateFile /data/dd/httpd.crt SSLCertificateKeyFile /data/dd/httpd.key SSLCACertificateFile /data/dd/cacert.pem </VirtualHost>