CentOS下生成自签名的证书的方法详解
我要评论1. 生成自签名的证书
通常要配置 https 的服务器,都需要一个由正式的 CA 机构认证的 X509 证书。当客户端连接 https 服务器时,会通过 CA 的共钥来检查这个证书的正确性。但要获得 CA 的证书是一件很麻烦的事情,而且还要花费一定的费用。因此通常一些小的机构会是使用自签名的证书。也就是自己做 CA,给自己的服务器证书签名。
这个过程有两个主要的步骤,首先是生成自己的 CA 证书,然后再生成各个服务器的证书并为它们签名。 我是用 OpenSSL 来生成自签名证书的。
第一步是制作 CA 的证书:
openssl genrsa -des3 -out my-ca.key 2048
openssl req -new -x509 -days 3650 -key my-ca.key -out my-ca.crt
这会生成 my-ca.key 和 my-ca.crt 文件,前者存放着使用 my-ca.crt 制作签名时必须的密钥,应当妥善保管。而后者是可以公开的。上面的命令为 my-ca.key 设定的有效期为 10 年。
用命令
openssl x509 -in my-ca.crt -text -noout
可以查看 my-ca.crt 文件的内容。
有了 CA 证书之后,就可以为自己的服务器生成证书了:
openssl genrsa -des3 -out mars-server.key 1024
openssl req -new -key mars-server.key -out mars-server.csr
openssl x509 -req -in mars-server.csr -out mars-server.crt -sha1 -CA my-ca.crt -CAkey my-ca.key -CAcreateserial -days 3650
前两个命令会生成 key、csr 文件,最后一个命令则通过 my-ca.crt 为 mars-server.csr 制作了 x509 的签名证书。
需要注意的是,在执行上述第二个命令时,Common Name 选项应当输入的是服务器的域名,否则在用户通过 https 协议访问时每次都会有额外的提示信息。
用命令
openssl x509 -in mars-server.crt -text -noout
可以查看 mars-server.crt 文件的内容。
2. 配置 Apache 服务器
首先,创建 /etc/apache2/ssl 目录,将刚刚制作的 my-ca.crt、mars-server.key 和 mars-server.crt 文件拷贝到这个目录中。
接着执行命令
a2emod ssl
激活 Apache 的 SSL 模块,然后在 /etc/apache2/sites-enable/ 中添加虚拟主机,这个过程与添加普通的虚拟主机类似,不同点在于该主机的端口应为 443。配置如下:
NameVirtualHost *:443
<VirtualHost *:443>
ServerName localhost
DocumentRoot /var/www
SSLEngine On
SSLCipherSuite HIGH:MEDIUM
SSLProtocol all -SSLv2
SSLCertificateFile /etc/apache2/ssl/mars-server.crt
SSLCertificateKeyFile /etc/apache2/ssl/mars-server.key
SSLCACertificateFile /etc/apache2/ssl/my-ca.crt
<Directory /var/www>
Order deny,allow
Allow from localhost
</Directory>
</VirtualHost>
<VirtualHost *:80>
ServerName localhost
DocumentRoot /var/www
<Directory /var/www> Order deny,allow
Allow from localhost
</Directory>
</VirtualHost>
以上配置保证了用户在访问 443 和 80 端口时可以看到相同的内容,而仅仅是使用的协议不同。修改好配置后,便可以重启 Apache 服务器,这时需要输入 mars-server.key 的密码。用浏览器访问
https://localhost/
这时应当看到一个弹出对话框,让你确认是否信任该站点的证书,选择信任后,便可以查看该站点的内容了。
由于大多数 Apache 服务器都是在服务器启动时自动启动,为了避免在启动 Apache 时输入密码,可以用以下命令生成不加密的 mars-server.key 文件:
openssl rsa -in mars-server.key -out mars-server.key.insecure
用新生成的 mars-server.key.insecure 代替原有的 key 文件即可。
相关文章
- 今天小编为大家带来的是Centos系统用户密码字符串生成命令-shadow;有需要的朋友可以过来看看,希望对大家的学习会有帮助2016-12-09
- 之前介绍过如何使用Putty管理VPS,但Putty没有保存密码的功能,不过它可以通过SSH证书实现免密码登录2013-06-07
Centos6.3下Apache配置基于加密的认证https加密证书访问
Centos6.3下Apache配置https证书访问 这里简单演示一下Apache下基于加密的认证访问—-https加密方式访问,希望对朋友们有帮助。2013-05-07
Linux用户,特别是Ubuntu或CentOS用户,基本上都习惯使用clear命令或Ctrl+L组合快捷键来清空终端屏幕;可是这样并不可以清空屏幕;下面小编就为大家带来CentOS系统里彻底的2016-12-15CentOS系统如何添加用户操作日志?CentOS系统添加用户操作日志的方法
一些朋友不知道CentOS系统如何添加用户操作日志?下面小编就为大家带来CentOS系统添加用户操作日志的方法;有需要的朋友一起去看看吧2016-12-15- 今天小编为大家带来的是CentOS系统备份脚本详解;希望会对大家的学习有帮助;有需要的朋友可以过来看看2016-12-15
- 在linux中出于安全的需要,我们会禁止某些用户SSH登陆系统进行操作。下面小编就为大家带来CentOS中禁止用户ssh和sftp登陆的详解;一起去看看吧2016-12-15
- 今天小编为大家带来的是CentOS下对硬盘读写速度测试的详解;希望对大家的学习带来帮助;有需要的朋友可以过来看看2016-12-15
一些朋友不知道CentOS系统里如何提高文本搜索效率?下面小编就为大家带来CentOS系统里提高文本搜索效率的方法,有需要的朋友可以过来看看2016-12-15CentOS服务器上如何查找肉鸡?CentOS服务器上查找肉鸡的方法
很多朋友不知道CentOS服务器上如何查找肉鸡?下面小编就为大家带来CentOS服务器上查找肉鸡的方法;一起去看看吧2016-12-15
最新评论