客服中心
業(yè)務咨詢
技術支持
在線客服
CentOS下生成自簽名的證書的方法詳解
添加時間:2019-11-15 21:23:48
添加:
思海網(wǎng)絡
1. 生成自簽名的證書
通常要配置 https 的服務器,都需要一個由正式的 CA 機構(gòu)認證的 X509 證書。當客戶端連接 https 服務器時,會通過 CA 的共鑰來檢查這個證書的正確性。但要獲得 CA 的證書是一件很麻煩的事情,而且還要花費一定的費用。因此通常一些小的機構(gòu)會是使用自簽名的證書。也就是自己做 CA,給自己的服務器證書簽名。
這個過程有兩個主要的步驟,首先是生成自己的 CA 證書,然后再生成各個服務器的證書并為它們簽名。 我是用 OpenSSL 來生成自簽名證書的。
第一步是制作 CA 的證書:
openssl genrsa -des3 -out my-ca.key 2048
openssl req -new -x509 -days 3650 -key my-ca.key -out my-ca.crt
這會生成 my-ca.key 和 my-ca.crt 文件,前者存放著使用 my-ca.crt 制作簽名時必須的密鑰,應當妥善保管。而后者是可以公開的。上面的命令為 my-ca.key 設定的有效期為 10 年。
用命令
openssl x509 -in my-ca.crt -text -noout
可以查看 my-ca.crt 文件的內(nèi)容。
有了 CA 證書之后,就可以為自己的服務器生成證書了:
openssl genrsa -des3 -out mars-server.key 1024
openssl req -new -key mars-server.key -out mars-server.csr
openssl x509 -req -in mars-server.csr -out mars-server.crt -sha1 -CA my-ca.crt -CAkey my-ca.key -CAcreateserial -days 3650
前兩個命令會生成 key、csr 文件,最后一個命令則通過 my-ca.crt 為 mars-server.csr 制作了 x509 的簽名證書。
需要注意的是,在執(zhí)行上述第二個命令時,Common Name 選項應當輸入的是服務器的域名,否則在用戶通過 https 協(xié)議訪問時每次都會有額外的提示信息。
用命令
openssl x509 -in mars-server.crt -text -noout
可以查看 mars-server.crt 文件的內(nèi)容。
2. 配置 Apache 服務器
首先,創(chuàng)建 /etc/apache2/ssl 目錄,將剛剛制作的 my-ca.crt、mars-server.key 和 mars-server.crt 文件拷貝到這個目錄中。
接著執(zhí)行命令
a2emod ssl
激活 Apache 的 SSL 模塊,然后在 /etc/apache2/sites-enable/ 中添加虛擬主機,這個過程與添加普通的虛擬主機類似,不同點在于該主機的端口應為 443。配置如下:
NameVirtualHost *:443
<VirtualHost *:443>
ServerName localhost
DocumentRoot /var/www
SSLEngine On
SSLCipherSuite HIGH:MEDIUM
SSLProtocol all -SSLv2
SSLCertificateFile /etc/apache2/ssl/mars-server.crt
SSLCertificateKeyFile /etc/apache2/ssl/mars-server.key
SSLCACertificateFile /etc/apache2/ssl/my-ca.crt
<Directory /var/www>
Order deny,allow
Allow from localhost
</Directory>
</VirtualHost>
<VirtualHost *:80>
ServerName localhost
DocumentRoot /var/www
<Directory /var/www> Order deny,allow
Allow from localhost
</Directory>
</VirtualHost>
以上配置保證了用戶在訪問 443 和 80 端口時可以看到相同的內(nèi)容,而僅僅是使用的協(xié)議不同。修改好配置后,便可以重啟 Apache 服務器,這時需要輸入 mars-server.key 的密碼。用瀏覽器訪問
https://localhost/
這時應當看到一個彈出對話框,讓你確認是否信任該站點的證書,選擇信任后,便可以查看該站點的內(nèi)容了。
由于大多數(shù) Apache 服務器都是在服務器啟動時自動啟動,為了避免在啟動 Apache 時輸入密碼,可以用以下命令生成不加密的 mars-server.key 文件:
openssl rsa -in mars-server.key -out mars-server.key.insecure
用新生成的 mars-server.key.insecure 代替原有的 key 文件即可。
關鍵字:CentOS、自簽名、證書、服務器
新文章:
- CentOS7下圖形配置網(wǎng)絡的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統(tǒng)后丟失windows啟動項
- CentOS單網(wǎng)卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網(wǎng)打印機IP講解
- CentOS7使用hostapd實現(xiàn)無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網(wǎng)絡重啟出錯
- 解決Centos7雙系統(tǒng)后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統(tǒng)有什么不同呢
- Centos 6.6默認iptable規(guī)則詳解
