Chinaunix首页 | 论坛 | 博客
  • 博客访问: 47487
  • 博文数量: 11
  • 博客积分: 427
  • 博客等级: 下士
  • 技术积分: 130
  • 用 户 组: 普通用户
  • 注册时间: 2009-07-23 17:46
文章分类
文章存档

2012年(1)

2011年(6)

2009年(4)

分类: LINUX

2009-07-23 21:27:07

在我们通常用“http://”这样的方式来访问网站的时候,传输内容是可能被别人截获的,因为其内容是通过明文传输,所以在传递一些隐私、以及密码相关的信息时,就显得非常的不安全。在一些比较正式的网站、以及一些银行相关的网站中,一些需要提交隐私或者重要级别比较高的密码时,都采用 “https://”的方式,来将传输内容加密,从而保证用户安全和避免隐私的泄漏。

  在这里,我们通过mod_ssl来使我们的服务器也支持HTTPS。
安装步骤
首先通过yum来在线安装mod_ssl
~]# yum -y install mod_ssl
 
为 HTTP 服务器配置 mod_ssl
[1] 建立服务器密钥
~]# cd /etc/pki/tls/certs/
certs]# make server.key
certs]# openssl rsa -in server.key -out server.key
 
[2] 建立服务器公钥
certs]# make server.csr
umask 77 ; \
/usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key -out /etc/httpd/conf/ssl.csr/server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:
CN  ← 输入国名
State or Province Name (full name) [Berkshire]:Sichuan ← 输入省名
Locality Name (eg, city) [Newbury]:Chengdu  ← 输入城市名
Organization Name (eg, company) [My Company Ltd]:  ← 输入组织名(任意)
Organizational Unit Name (eg, section) []:  ← 不输入,直接回车
Common Name (eg, your name or your server's hostname) []:  ← 输入通称(任意)
Email Address []:yourname@yourserver.com   ← 输入电子邮箱地址 Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
  ← 不输入,直接回车
An optional company name []:   ← 不输入,直接回车

[3] 建立服务器证书
certs]# openssl x509 -in server.csr -out server.pem -req -signkey server.key -days 365
certs]# chmod 400 server.*
 
[4] 设置SSL
certs]# vi /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/server.pem ← 追加
SSLCertificateKeyFile /etc/pki/tls/certs/server.key  ← 追加
[5] 重新启动HTTP服务器,让SSL生效
certs]# /etc/rc.d/init.d/httpd restart  ← 重新启动HTTP服务器
[6] 设置防火墙允许SSL
certs]# vi /etc/sysconfig/iptables   ← 编辑防火墙配置文件

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
  ← 找到这一行,接着添加如下行:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT  ← 开放443号端口,允许SSL

certs]#
/etc/rc.d/init.d/iptables restart   ← 重新启动防火墙,使设置生效
[7]测试SSL
可以通过自用PC来测试SSL。打开浏览器,在地址栏输入“https://服务器IP地址”或者“https://你的域名”后,如果出现提示安装服务器证明书的窗口
阅读(1315) | 评论(2) | 转发(0) |
给主人留下些什么吧!~~

苏恒2009-07-24 09:43:27

写得很好。

苏恒2009-07-24 09:36:01

加油。