在我们通常用“http://”这样的方式来访问网站的时候,传输内容是可能被别人截获的,因为其内容是通过明文传输,所以在传递一些隐私、以及密码相关的信息时,就显得非常的不安全。在一些比较正式的网站、以及一些银行相关的网站中,一些需要提交隐私或者重要级别比较高的密码时,都采用 “https://”的方式,来将传输内容加密,从而保证用户安全和避免隐私的泄漏。
在这里,我们通过mod_ssl来使我们的服务器也支持HTTPS。
安装步骤
首先通过yum来在线安装mod_ssl
~]# yum -y install mod_ssl
为 HTTP 服务器配置 mod_ssl
[1] 建立服务器密钥
~]# cd /etc/pki/tls/certs/
certs]# make server.key
certs]# openssl rsa -in server.key -out server.key
[2] 建立服务器公钥
certs]# make server.csr
(
umask 77 ; \
/usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key -out /etc/httpd/conf/ssl.csr/server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:CN ← 输入国名
State or Province Name (full name) [Berkshire]:Sichuan ← 输入省名
Locality Name (eg, city) [Newbury]:Chengdu ← 输入城市名
Organization Name (eg, company) [My Company Ltd]: ← 输入组织名(任意)
Organizational Unit Name (eg, section) []: ← 不输入,直接回车
Common Name (eg, your name or your server's hostname) []: ← 输入通称(任意)
Email Address []:yourname@yourserver.com ← 输入电子邮箱地址 Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: ← 不输入,直接回车
An optional company name []: ← 不输入,直接回车
)
[3] 建立服务器证书
certs]# openssl x509 -in server.csr -out server.pem -req -signkey server.key -days 365
certs]# chmod 400 server.*
[4] 设置SSL
certs]# vi /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/server.pem ← 追加
SSLCertificateKeyFile /etc/pki/tls/certs/server.key ← 追加
[5] 重新启动HTTP服务器,让SSL生效
certs]# /etc/rc.d/init.d/httpd restart ← 重新启动HTTP服务器
[6] 设置防火墙允许SSL
certs]# vi /etc/sysconfig/iptables ← 编辑防火墙配置文件
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT ← 找到这一行,接着添加如下行:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT ← 开放443号端口,允许SSL
certs]# /etc/rc.d/init.d/iptables restart ← 重新启动防火墙,使设置生效
[7]测试SSL
可以通过自用PC来测试SSL。打开浏览器,在地址栏输入“https://服务器IP地址”或者“https://你的域名”后,如果出现提示安装服务器证明书的窗口
阅读(1315) | 评论(2) | 转发(0) |