分类: 系统运维
2015-03-02 16:27:21
ssl不能通过主机名来做区分的只能用ip地址,如果用名称的虚拟主机,所以只有一个使用ssl
1、首先要安装ssl模块 yum install mod_ssl
|
CA服务器 |
web服务器 |
|
一、 做CA要生成自签证书 1、生成私钥 cd /etc/pki/CA (umask 077;openssl genrsa -out private/cakey.pem 2048) 命令解释 生成rsa格式的私钥,-out保存到。 2、生成自签证书(私有CA) vim /etc/pki/tls/openssl.conf 修改: [ CA_default ] [ req_distinguished_name ] countryName_default = CN stateOrProvinceName_default = Shandong localityName_default = Jinan 0.organizationName_default = xiaoma organizationalUnitName_default = Tech
[root@bogon CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655 以上自签证书生成完毕 扮演成私有CA做以下修改 vim /etc/pki/tls/openssl.conf dir = /etc/pki/CA certs = $dir/certs 生成的证书放的位置 crl_dir = $dir/crl 吊销的证书放的位置 database = $dir/index.txt 证书的信息索引 new_certs_dir = $dir/newcerts 新签的证书位置 certificate = $dir/cacert.pem 证书名字和位置 serial = $dir/serial 证书序列号
CA服务器签署 [root@bogon ~]# openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 365
|
cd /etc/httpd/ [root@localhost httpd]# mkdir ssl [root@localhost httpd]# cd ssl/
生成密钥 [root@localhost ssl]# (umask 077; openssl genrsa 1024 > httpd.key) 也可以是http.pem
生成证书颁发请求 [root@localhost ssl]# openssl req -new -key httpd.key -out httpd.csr 填写的信息一定要和CA服务器一样 csr证书签署请求
[root@localhost ssl]# scp httpd.csr 192.168.1.125:/tmp 复制到CA服务器
[root@localhost ssl]# scp 192.168.1.125:/tmp/httpd.crt ./ 拷贝证书到本地
配置https cd /etc/httpd/conf.d vim ssl.conf AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl 添加支持crt和crl类型的文件
https的日志不是customlog了 是 transferlog SSLEngine on 启用ssl功能 SSLProtocol all -SSLv2不启用sslv2 SSLCertificateFile /etc/httpd/ssl/httd.crt 证书文件 SSLCertificateKeyFile /etc/httpd/ssl/httpd.key 私钥文件 |
