HTTPS配置方法
2017/10/4 9:04:54
实现https 环境
1.三台主机分别为A,B,C。
2.A主机设置为CA和DNS服务器,ip为192.168.213.129
3.B主机为client,ip为192.168.213.253
4.C主机为httpd server,ip为192.168.213.128
5.已经在三台主机上启动了httpd服务,并且可以正常访问自己的网页。 1.在A主机上创建CA和DNS服务器
1)创建所需要的文件    生成证书索引数据库文件:        touch /etc/pki/CA/index.txt              系统会自动生成个index.txt.attr文件。用来决定是否使证书为唯一性,也就是是否可以重复申请证书。    指定第一个颁发证书的序列号:        echo 01 > /etc/pki/CA/serial  2)CA自签证书    生成私钥:        cd /etc/pki/CA/        openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048        chmod 600 cakey.pem    生成自签名证书:        openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out  /etc/pki/CA/cacert.pem  3)创建DNS服务器    1》vim  /etc/named.conf        options {                    listen-on port 53 {  any ; };        //  listen-on-v6 port 53 { ::1; };            directory  "/var/named";            dump-file  "/var/named/data/cache_dump.db";                statistics-file "/var/named/data/named_stats.txt";                memstatistics-file "/var/named/data/named_mem_stats.txt";                    allow-query    { any ; };            recursion yes;            dnssec-enable no;            dnssec-validation no;            dnssec-lookaside no;    2》关闭防火墙和设置selinux为permissive        iptables -F        setenforce 0              3》创建解析        1>vim /etc/named.rfc1912.zones            zone "ab.com" IN {                type master;                file "ab.com.zone";            };        2>named-checkconf        3>cd  /var/named/        4>cp -a named.localhost ab.com.zone        5>vim  ab.com.zone            $TTL D            @  IN SOA  dns  admin.ab.com. (                                3  ; serial                                D  ; refresh                                H  ; retry                                W  ; expire                                H )    ; minimum                NS  dns            dns A  192.168.213.128            websrv  A    192.168.213.128            mail    A    192.168.213.128            www  CNAME  websrv        6>named-checkzone ab.com /var/named/ab.com.zone        7>重新加载            rndc reload            service named reload or systemctl reload  named            不行的话清除服务缓存,再来一遍            rndc flush            最有效的方式是重启服务(正常工作中尽量别这么用,怕影响其他的同步)            service named restart or systemctl restart named        8>rndc status 2.在C主机
1)指向DNS服务器    vim /etc/resolv.conf        nameserver 192.168.213.129    测试:        dig -t A www.ab.com  2)向CA申请证书    1》生成证书请求        生成私钥:            (umask 066; openssl genrsa -out /etc/pki/tls/private/http.key 2048)        生成证书申请文件:            openssl req -new -key /etc/pki/tls/private/http.key  -days 365 -ou

下一页
返回列表
返回首页
©2017 Linux公社 - Linux系统门户网站 电脑版