示例演示: 兩臺主機均爲CentOS 7系統主機
172.18.253.133 扮演CA角色
172.18.253.132 扮演服務器角色
1、
a) 172.18.253.133 創建私有CA
# cd /etc/pki/CA
# (umask 077;openssl genrsa -out private/cakey.pem 2048) //生成一個私鑰
# ll private/
total 4
-rw------- 1 root root 1679 May 21 10:09 cakey.pem
# openssl req -new -x509 -key private/cakey.pem -out cacert.pem //生成自己的自簽證書
# touch serial index.txt
# echo 01 >serial
b) 172.18.253.132 創建證書籤署請求
# cd /etc/httpd
# ls
conf conf.d conf.modules.d logs modules run
# mkdir ssl // 存放證書文件用
# cd ssl
# (umask 077;openssl genrsa -out httpd.key 1024)
# openssl req -new -key httpd.key -out httpd.csr // 創建證書籤署請求
# ls
httpd.csr httpd.key
# scp httpd.csr [email protected]:/tmp/
c) 172.18.253.133 簽署證書
# openssl ca -in /tmp/httpd.csr -out certs/httpd.crt
// 輸入2次 y 確認
# scp certs/httpd.crt [email protected]:/etc/httpd/ssl/
2、 172.18.253.132 配置httpd支持使用ssl,及使用的證書
# ls
httpd.crt httpd.csr httpd.key
# yum install mod_ssl -y
# cd /etc/httpd/conf.d
# cp ssl.conf{,.backup}
# vim ssl.conf
DocumentRoot "/var/www/html" //啓用起來
ServerName www.magedu.com //修改主機名與證書一致
SSLEngine on //SSL 引擎啓用,必須爲on
SSLCertificateFile /etc/httpd/ssl/httpd.crt //服務器證書地址
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key //私鑰文件
# httpd -t //檢測語法錯誤
注意: 如果檢測語法時,報如下錯誤
原因:主機名和IP不匹配,http服務器去嘗試反解本機的IP地址,反解出來的主機名和本機主機名不一致就發出如下警告。
解決辦法:httpd程序主配置文件中增加一個主機名
# vim /etc/httpd/conf/httpd.conf
ServerName www.magedu.com //添加一個主機名或IP
# httpd -t //繼續監測語法
# systemctl restart httpd.service
3、 測試基於https訪問相應的主機;
1) 這裏以CA主機用openssl命令爲例進行驗證:
# openssl s_client -connect www.magedu.com:443
getaddrinfo: Temporary failure in name resolution
connect:errno=111 // 此時主機無法解析www.magedu.com主機,需要添加
# vim /etc/hosts
172.18.253.132 www.magedu.com www //添加
# openssl s_client -connect www.magedu.com:443
# openssl s_client -connect www.magedu.com:443 -CAfile /etc/pki/CA/cacert.pem //因爲是CA主機,所以直接導入CA證書即可。
2)也可以用瀏覽器進行驗證
首先在CA服務器上添加一個測試頁
# vim /var/www/html/index.html
<h1> Test https </h1>
瀏覽器中訪問 http://172.18.253.132/index.html
此時因爲瀏覽器沒有導入CA證書,所以基於https的訪問將無法進行,需要瀏覽器中導入CA證書文件(把虛擬主機中/etc/pki/CA/cacert.pem文件複製到物理主機上進行導入)
方法: 谷歌瀏覽器--->設置--->高級設置--->HTTPS/SSL管理證書-->受信任的證書頒發機構-->導入cacert.pem即可。
瀏覽器中繼續訪問 https://172.18.253.132/index.html
此時可以點擊高級中的繼續訪問或者本地主機添加www.magedu.com主機名
win10系統修改host文件介紹:
1、打開“運行”對話框(可以直接使用Win+R組合快捷鍵,快速打開),然後鍵入hosts文件路徑:C:\WINDOWS\system32\drivers\etc 完成後,點擊下方的“確定”打開,如圖。
2、找到
hosts文件所在位置後,不要直接去修改該文件,不然會出現權限不足,無法修改的問題。具體方法是,在hosts文件上點擊鼠標右鍵,在彈出的選項中,點擊打開“屬性”,如圖。
3、打開hosts文件屬性後,切換到“安全”選項卡,然後點擊選中需要更改的當前用戶名,然後點擊下方的“編輯”在彈出的編輯權限操作界面,先點擊選中需要更高權限的賬戶名稱,比如這裏需要給名稱爲“Users(HOSTNAME\Users)”的user用戶分配修改hosts文件權限,選中用戶後,勾選上下方的“修改”和“寫入”權限,完成後,點擊右下角的“應用”就可以了,如圖。
點擊應用後,會彈出一個“Windows安全”提示框,大意是修改系統文件夾權限後,可能會降低系統安全,這裏我們無需理會,直接點擊“是”即可,如圖。
4、給當前用戶設置了寫入和修改hosts文件權限後,接下來就可以輕鬆修改Win10 hosts文件了。具體方法是,在hosts文件上點擊鼠標右鍵,在彈出的菜單中,點擊“打開方式”,如圖。
5、然後選擇使用記事本打開修改。比如這裏我們要增加一個指定IP訪問www.magedu.com,修改完成後,點擊“保存”就可以了,這時就不會出現權限問題了,如下圖。
6、最後我們通過ping來測試一下效果,如下圖。
然後訪問https://www.magedu.com/index.html即可打開頁面,顯示相應內容。
