HTTPS服務
http+openssl

環境要求：
CA證書： 192.168.1.103
網站伺服器： 192.168.1.104
客戶端： 192.168.1.107 (linux圖形化介面)

核心：(客戶端是centos 7圖形化)
# cat /etc/centos-release
　　CentOS release 6.8 (Final
# uname -r
　　2.6.32-642.el6.x86_64

網站伺服器配置：
# mkdir /opop
# cd /opop
# yum -y install openssl openssl-devel  mod-ssl  libcurl  gcc*  expat-devel  pcre-devel
**********************************************************************************************
yum -y install gcc gcc-c++ autoconf libjpeg libjpeg-devel libpng libpng-devel freetype freetype-devel gd gd-devel libxml2 libxml2-devel zlib zlib-devel glibc glibc-devel glib2 glib2-devel bzip2 bzip2-devel ncurses ncurses-devel curl curl-devel e2fsprogs e2fsprogs-devel krb5 krb5-devel libidn libidn-devel openssl openssl-devel openldap openldap-devel nss_ldap openldap-clients openldap-servers 　　 注：缺哪個依賴自己裝上即可

***********************************************************************************************
注：要支援ssl加密功能就需要安裝openssl openssl-devel mod_ssl
# wget http://mirrors.hust.edu.cn/apache//httpd/httpd-2.4.33.tar.gz
# wget http://mirrors.hust.edu.cn/apache//apr/apr-1.6.3.tar.gz
# wget http://mirrors.shu.edu.cn/apache//apr/apr-util-1.6.1.tar.gz
# wget https://ftp.pcre.org/pub/pcre/pcre-8.42.tar.gz 　　　　 // Pcre基於perl的相容的正則表示式的支援
# wget https://github.com/nghttp2/nghttp2/releases/download/v1.24.0/nghttp2-1.24.0.tar.bz2
# wget https://curl.haxx.se/download/curl-7.60.0.tar.gz
# wget http://www.digip.org/jansson/releases/jansson-2.11.tar.gz
# wget https://jaist.dl.sourceforge.net/project/libpng/zlib/1.2.11/zlib-1.2.11.tar.gz
# for i in `ls`;do tar -zxvf $i;done
# tar -jxvf nghttp2-1.24.0.tar.bz2
# cd pcre-8.42
# ./configure && make && make install
# cd nghttp2-1.24.0
# ./configure && make && make install
# cd curl-7.60.0
# ./configure && make && make install
# cd zlib-1.2.11
# ./configure && make && make install
# cd jansson-2.11
# ./configure && make && make install
# cd ..
# cp -r apr-1.6.3 httpd-2.4.33/srclib/apr
# cp -r apr-util-1.6.1 httpd-2.4.33/srclib/apr-util
(有的需要自己裝，有的可以直接發到httpd-2.4.33/srclib目錄下，根據./configur時的提示進行修改)

安裝Apache：
# cd httpd-2.4.33
# ./configure --prefix=/usr/local/apache2 --sysconfdir=/usr/local/apache2/etc --enable-ssl --with-crypto --with-included-apr --with-apr=/opop/httpd-2.4.33/srclib/apr --with-apr-util=/opop/httpd-2.4.33/srclib/apr-util --with-pcre=/opop/httpd-2.4.33/srclib/pcre/pcre-config --with-jansson=/opop/httpd-2.4.33/srclib/jansson --with-curl=/opop/httpd-2.4.33/srclib/curl --enable-http --enable-include --with-ldap

# make && make install

配置CA伺服器端：
證書位置：cd /etc/pki/CA/
# cd /etc/pki/CA/
# (umask 077;openssl genrsa -out private/cakey.pem 2048) 　　 //這也是一條命令
注：openssl是命令，genrsa是要用rsa的演算法輸出(-out)一個在"當前"目錄下的private目錄的證書，證書長度為2048。
因為這個檔案不能隨意的看裡面的內容才在命令的最開始用了檔案的反碼，077創建出來的檔案許可權就是700

開啟證書的配置檔案修改一些引數，使證書生成一些預設的值：

# vim /etc/pki/tls/openssl.cnf
　　[ req_distinguished_name ] 　　　　 //在req_distinguished_name區域內修改
　　countryName_default = CN　　　　 //預設國家
　　stateOrProvinceName_default = BJ 　　 //預設省份，該條預設是註釋狀態
　　localityName_default = BJ　　　　 //預設城市
　　0.organizationName_default = LENOVO　　　　 //預設組織、公司
　　organizationalUnitName_default = cloud computing 　　　　 //預設單位名稱，該條預設是註釋狀態，cloud computing是雲端計算的意思

生成證書：
# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650         //因為在模板裡面已經配置好所以下面只要全部回車即可
　　Country Name (2 letter code) [CN]: 　　 //回車
　　State or Province Name (full name) [BJ]: 　　//回車
　　Locality Name (eg, city) [BJ]: 　　　　 //回車
　　Organization Name (eg, company) [LENOVO]: 　　//回車
　　Organizational Unit Name (eg, section) [cloud computing]: 　　 //回車
　　Common Name (eg, your name or your server's hostname) []:　　 //回車
　　Email Address []:[email protected] 　　　　 //手動輸入一個郵箱地址即可

返回到網站伺服器端：
# cd /usr/local/apache2/
# mkdir ssl
# cd ssl/
# (umask 077;openssl genrsa 1024 > httpd.key)
# openssl req -new -key httpd.key -out httpd.crq
　　Country Name (2 letter code) [XX]: CN　　　　 //手動輸入，要和證書伺服器上的一致
　　State or Province Name (full name) []:BJ 　　　　 //手動輸入，要和證書伺服器上的一致
　　Locality Name (eg, city) [Default City]:BJ 　　　　 //手動輸入，要和證書伺服器上的一致
　　Organization Name (eg, company) [Default Company Ltd]:LENOVO 　　　　 //手動輸入，要和證書伺服器上的一致
　　Organizational Unit Name (eg, section) []:cloud computing 　　　　 //手動輸入，要和證書伺服器上的一致
　　Common Name (eg, your name or your server's hostname) []:www.biubiubiu.com 　 //這裡你的網站是什麼域名就寫什麼
　　Email Address []:[email protected] 　　 //郵箱按需定即可

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:　　　　  //額外資訊按需配置，會和證書一起頒發出去，我這裡沒寫額外的資訊，回車
An optional company name []: 　　 //額外資訊按需配置，會和證書一起頒發出去，我這裡沒寫額外的資訊，回車

注：將生成的httpd.crq傳送到CA伺服器上的/tmp目錄，該步一定要注意....
# scp httpd.crq 192.168.1.103:/tmp

啟用虛擬主機：
# vim /usr/local/apache2/etc/httpd.conf
　　Include etc/extra/httpd-vhosts.conf 　　　　 //啟用該選項，預設是關閉狀態
進行虛擬主機的配置：
# cp /usr/local/apache2/etc/extra/httpd-vhosts.conf /usr/local/apache2/etc/extra/httpd-vhosts.conf.bak
# vim /usr/local/apache2/etc/extra/httpd-vhosts.conf
　　<VirtualHost *:80>
　　DocumentRoot "/usr/local/apache2/htdocs/www"
　　ServerName www.biubiubiu.com
　　</VirtualHost>

　　<VirtualHost *:80>
　　DocumentRoot "/usr/local/apache2/htdocs/edu"
　　ServerName edu.biubiubiu.com
　　</VirtualHost>
　　　　//虛擬主機區域留2個區域即可，其他全部註釋並進行修改

生成主頁檔案：
# cd /usr/local/apache2/htdocs/
# mkdir www edu
# vim www/index.html
　　Finally finished.....
# vim edu/index.html
　　It's not easy....

開啟win系統上面 C:\Windows\System32\drivers\etc 中hosts檔案進行新增網站伺服器進行測試：
　　192.168.1.104 　　www.biubiubiu.com
　　192.168.1.104 　　edu.biubiubiu.com

啟動Apache服務：
# /usr/local/apache2/bin/apachectl start         {restart | stop}

在 win 系統上訪問 www.biubiubiu.com 和 edu.biubiubiu.com 域名進行測試

回到CA伺服器：
[[email protected] CA]# pwd
　　/etc/pki/CA
# touch index.txt
# echo "00" > serial //數字0

簽署證書：
# openssl ca -in /tmp/httpd.crq -out /tmp/httpd.crt -days 3650　　　　 //注意：一個是crq，一個是crt。按2次y即可
# ll /tmp/ 　　 //檢視證書有沒成功簽署

回到網站伺服器：
# scp 192.168.1.103:/tmp/httpd.crt . 　//將CA伺服器上生成的證書拿到當前/usr/local/apache2/ssl目錄下,不要忘記後面的    點
//此時CA伺服器上的crq和crt檔案就沒用了可以刪除掉

證書申請成功，需要讓證書在網站生效：
# vim /usr/local/apache2/etc/httpd.conf
Include etc/extra/httpd-ssl.conf 　　　　 //啟用該項，預設是註釋狀態

修改ssl模板的配置檔案：
# vim /usr/local/apache2/etc/extra/httpd-ssl.conf
　　Listen 443 　　 //監聽44埠
　　...........略一部分內容..............
　　<VirtualHost _default_:443>

　　# General setup for the virtual host
　　DocumentRoot "/usr/local/apache2/htdocs/www" 　　 //網頁在什麼位置
　　ServerName www.biubiubiu.com:443 　　 //改成自己的域名
　　#ServerAdmin [email protected] 　　　　 //註釋掉
　　#ErrorLog "/usr/local/apache2/logs/error_log"　　 //註釋掉
　　#TransferLog "/usr/local/apache2/logs/access_log"　　 //註釋掉
　　...........略一部分內容..............
　　SSLEngine on　　 //啟用加密的引擎
　　...........略一部分內容..............
　　SSLCertificateFile "/usr/local/apache2/ssl/httpd.crt"　　 //證書位置
　　...........略一部分內容..............
　　　SSLCertificateKeyFile "/usr/local/apache2/ssl/httpd.key"　　 //祕鑰位置
# /usr/local/apache2/bin/apachectl -t　　　　 //檢查Apache配置檔案語法，這裡會有一個語法錯誤.....
　　AH00526: Syntax error on line 52 of /usr/local/apache2/etc/extra/httpd-ssl.conf:
　　Invalid command 'SSLCipherSuite', perhaps misspelled or defined by a module not included in the server configuration

解決辦法：

# vim /usr/local/apache2/etc/httpd.conf
　　LoadModule socache_shmcb_module modules/mod_socache_shmcb.so 　　 //啟用該模組
　　...........略一部分內容..............
　　LoadModule ssl_module modules/mod_ssl.so                      //啟用該模組

再來檢查語法：
# /usr/local/apache2/bin/apachectl -t
Syntax OK 　　　　 //檢查通過

重啟Apache服務：
# /usr/local/apache2/bin/apachectl restart

客戶端測試：
# vim /etc/hosts
192.168.1.104   www.biubiubiu.com
開啟火狐瀏覽器訪問 https://www.biubiubiu.com 和 https://edu.biubiubiu.com(會提示"您的連線不安全"字樣)
高階--->新增例外--->檢視--->(即能檢視到我們的證書)--->確認安全例外--->即能檢視到網頁的具體內容--->完畢

注意：不同的瀏覽器顯示出來的"效果"也會不同，注意訪問時的"正確性"