Bagaimana untuk mengkonfigurasi https dalam Linux apache

Protokol http:

Protokol lapisan aplikasi port 80 digunakan secara lalai untuk menggunakan protokol TCP untuk penghantaran. Protokol http digunakan terutamanya untuk mengakses sumber di World Wide Web.

protokol ssl (Lapisan Soket Selamat):

  Nama penuh ialah Lapisan Soket Selamat. Di antara lapisan kerja dan pengangkutan, sambungan rangkaian untuk protokol lapisan aplikasi disulitkan dan dilindungi.

Protokol https:

  Protokol http + protokol ssl. Secara lalai, port TCP 443 digunakan.

Proses kerja protokol https:

• Pelanggan memulakan permintaan HTTPS
  &emsp ; Pengguna memasukkan URL https dalam penyemak imbas, dan kemudian menyambung ke port pelayan 443

• Konfigurasi sisi pelayan
    Pelayan yang menggunakan HTTPS protokol mesti Terdapat satu set sijil digital yang boleh anda buat sendiri atau memohon kepada organisasi. Perbezaannya ialah sijil yang dikeluarkan oleh anda sendiri perlu disahkan oleh pelanggan sebelum anda boleh terus mengaksesnya, manakala jika anda menggunakan sijil yang digunakan oleh syarikat yang dipercayai, halaman gesaan tidak akan muncul. Sijil ini sebenarnya adalah sepasang kunci awam dan kunci persendirian

• Pindahkan sijil pelayan kepada klien
    Sijil sebenarnya ialah kunci awam, dan ia juga mengandungi banyak Maklumat, seperti pihak berkuasa mengeluarkan sijil, masa tamat tempoh, dsb.

• Pelanggan mengupas dan mengesahkan sijil pelayan
    Bahagian kerja ini ialah dilengkapkan oleh TLS pelanggan Pertama Ia akan mengesahkan sama ada kunci awam itu sah, seperti: kuasa mengeluarkan, masa tamat tempoh, dsb. Jika keabnormalan ditemui, kotak amaran akan muncul, menunjukkan bahawa terdapat masalah dengan sijil. . Jika tiada masalah dengan sijil, maka nilai rawak dijana. Kemudian gunakan kunci awam dalam sijil untuk menyulitkan nilai rawak secara tidak simetri

• Pelanggan menghantar maklumat yang disulitkan ke pelayan
    Bahagian penghantaran ini disulitkan dengan sijil Tujuan nilai rawak adalah untuk membolehkan pelayan mendapat nilai rawak ini Pada masa hadapan, komunikasi antara klien dan pelayan boleh disulitkan dan dinyahsulit melalui nilai rawak ini

• Pelayan menyahsulit maklumat

    Selepas pelayan menyahsulit maklumat yang disulitkan yang dihantar oleh klien dengan kunci peribadi pelayan, ia memperoleh nilai rawak yang diluluskan oleh klien
  

• Pelayan menyulitkan maklumat dan menghantar maklumat

    Pelayan menyulitkan data secara simetri menggunakan nilai rawak, dan kemudian menghantarnya kepada klien
  

• Pelanggan menerima dan menyahsulit maklumat

    Pelanggan menjananya sebelum Nilai rawak menyahsulit data yang dihantar daripada segmen perkhidmatan, dan kemudian memperoleh kandungan yang dinyahsulit
  

Proses pelaksanaan apache https:

Apache ialah perisian Ciri termodular, banyak fungsi bergantung pada modul yang berbeza untuk disediakan. Memuatkan modul yang sepadan boleh merealisasikan fungsi yang sepadan.

Proses:

1 Mohon sijil untuk pelayan apache

2 Konfigurasikan fungsi https apache

3 🎜> Cara memohon sijil dengan apache

1 Bina CA persendirian untuk mengeluarkan sijil

2 Gunakan CentOS7 untuk menjana sijil yang ditandatangani sendiri

[root@ansible certs]# pwd
/etc/pki/tls/certs

[root@ansible certs]# ls
ca-bundle.crt  ca-bundle.trust.crt   make-dummy-cert  Makefile  renew-dummy-cert

#取消makefile文件中对私钥文件的加密
[root@ansible certs]# vim Makefile
%.key:
        umask 77 ; \
        #/usr/bin/openssl genrsa -aes128 $(KEYLEN) > $@
        /usr/bin/openssl genrsa  $(KEYLEN) > $@

#生成证书
[root@ansible certs]# make Makefile httpds.crt

3. Melalui laman web seperti Alibaba Cloud Muat turun sijil percuma (memerlukan nama domain)

Konfigurasikan fungsi https apache

Pasang pakej perisian mod_ssl Selepas memasang pakej perisian mod_ssl, fail konfigurasi ssl dan modul apache akan dijana secara automatik.

[root@CentOS8 ~]# rpm -ql mod_ssl
/etc/httpd/conf.d/ssl.conf  #ssl模块的配置文件
/etc/httpd/conf.modules.d/00-ssl.conf #加载ssl模块
/usr/lib/.build-id
/usr/lib/.build-id/e6/046e586d8d19fb92e3f8484a62203e841c3e2a
/usr/lib/systemd/system/httpd-init.service
/usr/lib/systemd/system/httpd.socket.d/10-listen443.conf
/usr/lib64/httpd/modules/mod_ssl.so  #模块文件
/usr/libexec/httpd-ssl-gencerts
/usr/libexec/httpd-ssl-pass-dialog
/usr/share/man/man8/httpd-init.service.8.gz
/var/cache/httpd/ssl

Ubah suai fail konfigurasi:

[root@CentOS8 ~]# vim /etc/httpd/conf.d/ssl.conf
  SSLCertificateFile /data/apache/apache1.crt  #apache的证书文件
  SSLCertificateKeyFile /data/apache/apache1.key  #apache的私钥文件
  SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt #apache的证书链文件
  
  证书链文件：不指定证书链文件，它就不知道这个证书是谁颁发的。证书链就是上级CA的证书

Pengesahan:

  Tetapkan fail hos windows untuk pengesahan

windows的hosts文件位置：C:\Windows\System32\drivers\etc

格式：ip地址 名字

Atas ialah kandungan terperinci Bagaimana untuk mengkonfigurasi https dalam Linux apache. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!