有關於https是什麽，點擊連接查看百度百科：https://baike.baidu.com/item/https/285356?fr=aladdin

一、準備工作

在開始實驗之前，我們要準備至少兩臺主機還有自身的計算機，一臺作為服務器，另外一臺作為私有CA機構，我們要保證這兩臺主機之間可以互相ping通，並且都能於真實計算機ping通，也就是這三臺機器能夠互相通信。

在這裏，我準備了兩臺虛擬機，操作系統分別為CentOS 7 和 CentOS 6 ，CentOS 7 使用的IP地址為172.16.7.100，CentOS 6 使用的IP地址為172.16.128.4。我將CentOS 7 作為提供http服務的服務器，CentOS 6 作為CA機構，三臺機器的功能如圖：

二、建立CA

首先在IP為172.16.128.4的主機上建立CA，並將自己的信息寫到認證中去：

~]# cd /etc/pki/                                                            #切換工作目錄
CA]# touch index.txt                                #然後再當前目錄下創建兩個文件
CA]# echo 01 > serial                               #在認證時會用到，如果不創建會報錯
CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)                     #創建私鑰
CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300   #認證自己

三、創建申請

CA建立完了，我們就要開始建立自身的認證了，首先回到當作服務器的主機（172.16.7.100），找到一個目錄來存儲認證文件，在這裏我將“/myweb/wordpress/ssl”作為存放目錄（隨便放，後面使用絕對路徑引用，放在一個安全的地方），然後使用下面的命令創建私鑰：

ssl]# (umask 077;openssl genrsa -out httpd.key 1024)
ssl]# openssl req -new -key httpd.key -out httpd.csr

在填寫信息的時候註意：國家要求兩個字符，服務器填寫虛擬主機的域名

四、申請及審批

認證文件都創立完成之後，就可以把服務器上生成的申請信息發送到CA上進行認證，使用下面這條命令可以方便的將文件上傳：

ssl]# scp httpd.csr [email protected]:/tmp/          #此命令在172.16.7.100（服務器上執行）

在一段時間等待之後，就會提示要輸入密碼，在輸入密碼之後再等待一段時間，出現如圖所示畫面就說明文件上傳成功：

切換到CA（172.16.128.4）上執行下面的命令完成認證（根據提示選擇yes即可）：

CA]# openssl ca -in /tmp/httpd.csr -out certs/myweb.wordpress.com.crt -days 365

在認證完成之後，在通過scp命令將認證完成生成的文件傳送回去：

CA]# scp certs/myweb.wordpress.com.crt 172.16.7.100:/myweb/wordpress/ssl/

回到服務器（172.16.7.100）上，即可在“/myweb/wordpress/ssl”裏邊看到myweb.wordpress.com.crt文件，到這裏私有CA和證書頒發就完成了。

五、瀏覽器查看

證書頒發完成，但是我們還是不能在瀏覽器中看到，如果想要在瀏覽器裏使用https，需要“mod_ssl”，使用下面的命令來安裝：

~]# yum install -y mod_ssl

在安裝完成之後，就會在“/etc/httpd/conf.d/”下生成一個配置文件：ssl.conf，編輯這個文件：

~]# vim /etc/httpd/conf.d/ssl.conf

將文件中下面兩個選項（一般分別在101行和108行）改成下面這樣（這兩個文件放在哪就改成哪）：

SSLCertificateFile /myweb/wordpress/ssl/myweb.wordpress.com.crt
SSLCertificateKeyFile /myweb/wordpress/ssl/httpd.key

改完之後保存退出，重新加載httpd配置：

~]# systemctl restart httpd

使用命令“ss -tnl”查看，可以看到443端口已經被監聽了，這個端口就是默認的https端口：

到此https就配置完成，下面進行測試，在“/etc/httpd/conf.d/”中創建一個虛擬主機：

ssl]# vim /etc/httpd/conf.d/vhost.conf

寫入以下內容：

<VirtualHost *:443>
        ServerName myweb.wordpress.com
        DocumentRoot /myweb/wordpress
        ErrorLog logs/wordpress-error_log
        CustomLog logs/wordpress-access_log combiend
        DirectoryIndex index.html
        <Directory "/myweb/wordpress">
                Options Indexes
                AllowOverride   None
                Require all granted
        </Directory>
</VirtualHost>

然後創建目錄“/myweb/wordpress”，並創建一個主頁：

~]# mkdir /myweb/wordpress
~]# echo "wordpress Page" > /myweb/wordpress/index.html

最後在真實計算機上使用瀏覽器打開“https://myweb.wordpress.com/”即可看到如下畫面（要修改hosts文件，參考前面的博客）：

可以看到都是剛才註冊的信息，報錯是因為這個CA為私有，無法經過它的驗證。但是在局域網內就可以使用這個證書來驗證信息來源的可靠性了。

基於httpd建立私有CA實現https加密連接