Оглавление
1. Установите зависимости среды Apache
4. После настройки перезапустите HTTP, чтобы изменения вступили в силу.
1. Установите специальный модуль mod_ssl
2. Подать заявку на сертификат ЦС
3. Отредактируйте файл конфигурации .conf
Используйте браузер IE для доступа к тесту
-
http
1. Установите зависимости среды Apache
# yum -y установить httpd # systemctl запустить httpd # systemctl включить httpd
2. Основные настройки
# systemctl остановить firewalld # setenforce 0 Или подключитесь к брандмауэру, чтобы разрешить # firewall-cmd --permanent --add-service=http # firewall-cmd --reload //немедленно # firewall-cmd --list-all //Просмотр # mkdir /home/http # echo "Добро пожаловать на мой сайт" > /home/http/index.html
3. Настройте основной файл
# vi /etc/httpd/conf/httpd.conf Примечание. Вы можете удалить строку комментария и изменить ее. mv /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.bak grep -v «#» /etc/httpd/conf/httpd.conf.bak > /etc/httpd/conf/httpd.conf Измените следующее: Имя сервера www.lql.com:80 DocumentRoot "/home/http" Измените <Directory "/var/www/html"> на <Directory "/home/http">
Приложение: Основной файл конфигурации сравнивает общие параметры, добавляйте по мере необходимости
Каталог службы ServerRoot xx ServerAdmin xx Почтовый ящик администратора Пользователь xx Пользователь, запускающий службу Группа xxx Группа пользователей, запускающая службу ServerName xx Доменное имя сервера веб-сайта DocumentRoot xx Корневой каталог документа (каталог данных веб-сайта) Directory xx Права доступа к каталогу данных веб-сайта Listen xx IP-адрес прослушивания и номер порта DirectoryIndex xx Индексная страница по умолчанию ErrorLog xx Файл журнала ошибок CustomLog xxxx Файл журнала доступа Время ожидания xx Время ожидания веб-сайта, по умолчанию 300 секунд
4. После настройки перезапустите HTTP, чтобы изменения вступили в силу.
# systemctl перезапустить httpd
-
Реализация https
1. Установите специальный модуль mod_ssl
# yum -y установить mod_ssl
2. Подать заявку на сертификат ЦС
Чтобы сгенерировать сертификат, вам нужно сгенерировать закрытый ключ для сервера и использовать его, чтобы предоставить ему файл сертификата.
# компакт-диск /etc/pki/CA Файлы, необходимые для создания ЦС: # touch index.txt //Создать файл базы данных индекса сертификата # echo 00 > serial //Указываем серийный номер первого выданного сертификата (00 01 02..) Сгенерируйте закрытый ключ длиной 4096 бит. Имя файла и место хранения закрытого ключа должны совпадать с настройками в файле конфигурации: # (umask 066;openssl genrsa -out private/cakey.pem 4096) Создайте самоподписанный сертификат из закрытого ключа: # openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650 Название страны (двухбуквенный код) [XX]:CN //Страна Название штата или провинции (полное название) []: шаньдун //省份 Название местности (например, город) [Город по умолчанию]:jining 城市 Название организации (например, компания) [Default Company Ltd]:school //公司 Название организационной единицы (например, секция) []:group //Отдел Обычное имя (например, ваше имя или имя хоста вашего сервера) []:www.ar.com //CA主机名 Адрес электронной почты []: Уведомление: () используется, чтобы сделать значение umask действительным только в текущей строке кода, без изменения системного значения umask Имя закрытого ключа CA должно быть cakey.pem. -new : создать новый запрос на подпись сертификата -509 : Выделенный ЦС создает самозаверяющий сертификат. -key : файл закрытого ключа, используемый при создании запроса -days n : срок действия сертификата -out /PATH/TO/SOMECERTFILE: путь для сохранения сертификата Такой корневой ЦС построен! Мы можем экспортировать сгенерированный сертификат в нашу собственную систему Windows, поскольку система Windows не может распознавать файлы, заканчивающиеся на .pem, поэтому нам нужно изменить его вручную.
Для выдачи сертификата:
# mkdir /etc/httpd/conf.d/ssl # компакт-диск /etc/httpd/conf.d/ssl/ 1. Сгенерируйте закрытый ключ: # (umask 066;openssl genrsa -out lql.com.key 1024) 2. Сгенерировать открытый ключ из закрытого ключа (сгенерировать файл запроса сертификата): # openssl req -new -key lql.com.key -out lql.com.csr Страна: Китай Провинция: Шаньдун Город: Цзинин Компания: школа Отдел: группа Имя узла ЦС: www.lql.com 3. Самоподписанный (сертификат, подписанный ЦС): # openssl ca -in lql.com.csr -out lql.com.crt -days 365 y //Первый ввод подтвержден y //второй ввод подтвержден # cp /etc/pki/CA/cacert.pem . Примечание: В файле конфигурации /etc/pki/tls/openssl.cnf указано, что страна, провинция и название компании по умолчанию должны соответствовать ЦС.
3. Отредактируйте файл конфигурации .conf
# vim /etc/httpd/conf.d/ssl.conf изменить следующее DocumentRoot "/home/http" Имя сервера www.lql.com:443 SSLEngine включен SSLCertificateFile /etc/httpd/conf.d/ssl/lql.com.crt #Путь к файлу сертификата SSLCertificateKeyFile /etc/httpd/conf.d/ssl/lql.com.key #Путь к файлу закрытого ключа SSLCACertificateFile /etc/httpd/conf.d/ssl/cacert.pem Примечание: SSLCertificateChainFile /etc/httpd/ssl/1_root_bundle.crt #Путь к файлу цепочки сертификатов
4. Перезапустите службу
# systemctl перезапустить httpd
Используйте браузер IE для доступа к тесту
1. Посетите сайт по адресу https://www.lql.com
Примечание. Поскольку локальный компьютер не может распознать написанное им доменное имя, необходимо добавить привязку IP-адреса хоста веб-сайта и доменного имени, и метод реализации выглядит следующим образом:
//Открываем локальный диск C, ищем путь C:\Windows\System32\drivers\etc
//Редактируем файл hosts в текстовом формате, добавляем строчку с веб-IP и доменным именем
Например: 192.168.10.2 www.lql.com
2. Снова зайдите на сайт по адресу https://www.lql.com.
//Отображение того, что соединение не защищено, считается основным успехом
//Необходимо экспортировать файл сертификата и добавить его в список доверенных корневых сертификатов
Введите certmgr.msc при запуске диспетчера сертификатов под Windows