Linux实现https方式访问站点

超文本传送协议（HyperText Transfer Protocol，HTML）是一种通信协议，它允许将超文本标记语言文档从web服务器传送到wel浏览器。

HTML的特点：

1.支持客户/服务器模式。

2.简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不同。由于HTTP协议简单使得HTTP服务器的程序规模小，因而通信速度很快。

3.灵活：HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。4.无连接：无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间。

5.无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。 缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。另一方面，在服务器不需要先前信息时它的应答就较快。

客户端浏览器以https的方式访问web服务器的过程：

客户端通过https方式访问服务器全过程描述：

1.客户机通过https访问web服务器，web服务器向客户机出示自己的证书

2. 客户机验证证书的有效性，包括发证时间，发证机关，执行者标识。

3.如果客户机验证证书通过，客户机随机产生128位的key,再利用证书文件传递的public key对该随即key机进行加密。

4.加密后传送至服务器端，服务器再利用自己的public key 对加密的key进行解密，得到客户机的随机key值。

5.这时两端的key值相同，利用该key进行加密通讯。

linux下通过Apache  httpd软件实现https方式访问站点的实现：

1.由于案例最后要安装mod_ssl软件，而该软件具有依赖性，所以先配置yum（本地yum）。新建挂载点，挂载光盘，编辑/etc/yum.repos.d/rhel-debuginfo.repo

有关yum的详细配置请访问我的另一篇博文：http://jialiang10086.blog.51cto.com/4496483/960178

2.安装WWW服务器软件，在这里使用httpd-2.2.3-31.el5.i386.rpm,采用yum或者rpm安装

rpm -ivh httpd-2.2.3-31.el5.i386.rpm

yum install httpd

实现Apache 站点安全有三种方式：

a. 身份验证

b.来源控制

c.ssl安全套接字层

下面一一实现上述3种方式：

A.身份验证

3.编辑/etc/httpd/conf/httpd.conf 文件，修改第327行 ：将AllowOverride None 改为AllowOverride all ；更改后才能使身份验证配置生效

4.上步中修改 AllowOverride all  是在  内，对应的是对访问/var/www/htm 目录内的网页时的主机进行身份验证。

在/var/www/htm 中产生一个隐藏文件.htaccess ，在此文件中写入验证规则

5.产生上步中的 .password文件，并创建账户user1 和 user2 。htpasswd [–c] .htpassword user1

6.切换到/var/www/html 产生网页文件，重启httpd服务

B.来源控制

通过控制允许哪些用户可以访问站点，哪些不能访问站点来实现来源控制的目的

Order allow,deny

Allow from all

7.设置只允许192.168.101.11主机访问该站点，设置完成后重启httpd服务

8.测试 ，ip为192.168.101.11主机可以访问该站点。

9.ip为192.168.101.12 主机无法访问该站点

C.安全套接字层ssl

搭建证书服务器CA

10.编辑文件/etc/pki/tls/openssl.cnf

将88行到90 行的match  改为optional ，否则将只有和CA在同一个国家、省份、组织的主机才能从CA获得证书

修改CA默认的名称选项，当向该CA提出证书申请时显示为默认。

11.根据openssl.cnf文件的说明，需要创建三个目录:certs  newcerts  crl 和两个文件:index.txt  serial

12.CA 证书服务器产生自己的私钥cakey.pem 。 openssl genrsa 1024 > private/cakey.pem

13.CA服务器根据自己的私钥产生自己的证书：openssl req -new -key private/cakey.pem -x509 -out cacert.pem -days 3650

该处的默认值即为第19步中修改的默认值

14.修改证书文件和私钥文件的权限为600

15.在WWW服务器的根目录/etc/httpd下新建文件夹certs，用来存放服务器的私钥，请求，以及证书

16.www服务器产生自己的私钥：openssl genrsa 1024 > httpd.key

17 根据私钥httpd.key 来产生请求文件：openssl req -new -key httpd.key -out httpd.csr

8.CA服务器根据请求文件颁发证书：openssl ca -in httpd.csr -out httpd.cert

19.修改证书文件和私钥文件的权限为600

现在www服务器已经有自己的证书和私钥了，当客户端浏览器通过https的方式访问该web服务器，则该服务器需要将证书显示到客户端浏览器，这需要ssl和httpd相结合

20.安装mod_ssl 模块：yum install mod_ssl

21.安装后，会在/etc/httpd/conf.d下产生文件ssl.conf文件

22编辑ssl.conf文件

23.重启httpd服务

24.测试，显示有两个问题：一是颁发证书的机构不被信任，二是证书上显示的名字和该主机访问的名字不一致

25.如果想要信任某个证书颁发机构，只需将该颁发机构的证书导入浏览器，但是点击查看证书，证书路径中不显示颁发机构的证书

26  继续修改ssl.conf，修改证书链

27.重启httpd服务，再次进行测试

28.点击查看证书，安装证书

29安装后可在浏览器中查看

30.再次差可能访问情况，显示只有名称无效

31.修改hosts文件，将192.168.101.250的对应的域名设置为www.zzu.edu.cn

32.最后一步，修改httpd.conf 文件，禁用80 端口，以后只用https的方式访问

重启httpd

补充案例---基于IP地址的虚拟主机

基于IP地址的虚拟主机

多个ip 多个名字 端口号80 多个站点

实验要求：

基于ip的虚拟主机，三个站点及其ip地址和站点主目录分别为：

192.168.101.250 www.cisco.com /var/www/html

192.168.101.251 tec.cisco.com /var/www/tec

192.168.101.252 mkt.cisco.com /var/www/mkt

要求 www.cisco.com 站点可通过http方式访问，tec.cisco.com 和 mkt.cisco.com 通过https的方式访问

1.安装dns服务器

rpm -ivh bind-9.3.6-4.P1.el5.i386.rpm

rpm -ivh bind-chroot-9.3.6-4.P1.el5.i386.rpm

rpm -ivh caching-nameserver-9.3.6-4.P1.el5.i386.rpm

2.在/var/named/chroot/etc 下cp -p named.caching-nameserver.conf named.conf

3.编辑区域声明文件named.rfc1912.zones，声明区域cisco.com

4.切换到目录/var/named/chroot/var/named 下，cp -p localdomain.zone cisco.com.db

5.解析测试（如果在该dns服务器上测试，需要指明dns服务器地址/etc/resolv.conf 或setup）

6.安装httpd 服务器，安装证书服务器省略

7.修改httpd的配置文件httpd.conf

<VirtualHost 192.168.101.250:80>
ServerAdmin webmaster@sina.com
DocumentRoot /var/www/html
ServerName www.cisco.com
ErrorLog logs/www_error_log
CustomLog logs/www_access_log common
</VirtualHost>
<VirtualHost 192.168.101.251:80>
ServerAdmin webmaster@sina.com
DocumentRoot /var/www/tec
ServerName tec.cisco.com
ErrorLog logs/tec_error_log
CustomLog logs/tec_access_log common
</VirtualHost>
<VirtualHost 192.168.101.252:80>
ServerAdmin webmaster@sina.com
DocumentRoot /var/www/mkt
ServerName mkt.cisco.com
ErrorLog logs/mkt_error_log
CustomLog logs/mkt_access_log common
</VirtualHost>

8.创建www ,tec ，mkt 的站点主目录及网页文件

9.添加网卡，设置ip地址

10.测试访问三个站点

11.分别为三个站点新建目录用来存放各自的私钥文件。请求文件，以及证书文件。由于本实验不要求www主站点使用https方式访问，所以该站点不用申请证书

12. tec站点产生私钥文件tec_httpd.key

13. tec 站点根据自己私钥产生请求文件

14.CA服务器为tec站点颁发证书

15.同理产生mkt的私钥和请求，和证书

16. 修改ssl.conf 文件 ，当客户端访问不同的站点时，加载不同的证书

虚拟站点一，不使用https方式，所以此处端口为80；

虚拟站点二，使用https方式访问，端口号设置为443

该虚拟站点的证书文件、私钥文件、证书链位置，当客户端访问该站点时，将该证书发送给客户端

虚拟站点三，使用https方式访问，端口号设置为443

该虚拟站点的证书文件、私钥文件、证书链位置，当客户端访问该站点时，将该证书发送给客户端

17.编辑httpd.conf文件，该文件包含ssl.conf文件。

在此处，只监听192.168.101.250 的80 端口，如果直接写Linstn 80，则所有站点的80 端口都将开启，tec和mkt站点这

由于在ssl.conf中定义了虚拟站点，所以在httpd.conf文档的最后不用再写虚拟主机。