2. 程式人生 > >HTTPS靜態服務搭建過程詳解

HTTPS靜態服務搭建過程詳解

阿新 發佈:2019-02-09

HTTPS服務對於一個前端開發者來說是一個天天打招呼的老夥計了,但是之前我跟HTTPS打交道的場景一直是抓包,自己沒有親自搭建過HTTPS服務,對HTTPS的底層知識也是一知半解。最近正好遇到一個使用者場景,頁面需要調起手機的攝像頭,這就要求頁面服務必須是HTTPS的,所以就嘗試搭建了HTTPS的靜態服務,過程挺曲折的,所以總結一下分享給大家,希望能給看過本文的朋友一點幫助,提高工作效率。

本文主要講三個點:HTTPS基本原理證書的獲取httpd的https配置

HTTPS基本原理

HTTPS = HTTP + TSL(transport layer security)在應用層和傳輸層之間添加了一個會話層,會話層採用SSL協議,完成資料的加密、身份認證、資料完整性校驗。如下圖所示:

要完成以上功能,TLS的連線在TCP連線的基礎之上,需要增加握手次數,如下圖所示:

新增的往返過程可以簡單根據下圖示意理解。

總結一下,HTTPS使用的過程中,主要是需要一個認證中心簽名的證書,用該證書證明服務端返回的公鑰是可信的,然後用該公鑰加密瀏覽器端生成的對稱金鑰,服務端用自己私鑰解密得到瀏覽器傳送的對稱金鑰,然後瀏覽器和服務端通過對稱密碼進行加密通訊。因此,搭建HTTPS服務首先要從認證中心申請到簽名證書。

證書的獲取

證書的獲取過程是:向證書認證中心—CA提出申請,在CA判明申請者的身份後,為其分配一個公鑰,然後CA將該公鑰與申請者的身份資訊綁在一起,然後用CA的私鑰為其加密簽名,簽名後頒發給申請者。證書中的內容是使用者公鑰、使用者資訊、頒發機構、有效期等。分配的公鑰可以通過證書請求中的使用者私鑰來獲取。使用者想要鑑別證書的真偽,只能用CA的公鑰對證書上的簽字進行驗證。下圖是證書獲取過程的示意圖:

由於正規的證書申請,CA機構是要收費的,所以測試過程中我們需要自建CA來頒發證書。

1.自建CA

利用openssl包可以建立CA,前提是需要openssl.conf的要求,建立自建CA所需的檔案和目錄,具體可以參見相關文章。這裡主要指出幾個必要的檔案和目錄:

new_certs_dir = $dir/newcerts # 新證書存放位置 private_key = $dir/private/cakey.pem #CA私鑰 database = $dir/index.txt #證書索引資料庫檔案 serial = $dir/serial 頒發證書的序列號

(1)建立CA私鑰

cd CA_PATH  #CA_PATH為demoCA的上級目錄,因為配置檔案中CA預設的私鑰路徑是./demoCA/private/cakey.pem,所以一定要在該目錄執行命令,否則會報錯
openssl genrsa -out ./demoCA/private/cakey.pem 2048

(2)建立CA證書申請

openssl req -new -in .demoCA/private/cakey.pem -days 365 -out .demoCA/cacsr.pem

申請的過程中需要輸入使用者資訊,如Country Name,Organization Name,Email Address等,注意自己填寫的資訊。

(3)建立自簽證書

openssl ca -selfsign -in careq.pem -out ./demoCA/cacert.crt

2. 使用者申請證書

在任意機器或路徑下建立使用者私鑰

(1)建立使用者私鑰

openssl genrsa -out userkey.pem 2048

(2)建立使用者證書申請

openssl req -new -in userkey.pem -days 365 -out usercsr.pem

(3)CA簽名

需要CA簽名的話,就需要將使用者申請檔案usercsr.pem拷貝到CA所在的機器上,現在把使用者的檔案放置在與demoCA同級的demoUser目錄中。CA預設的私鑰路徑是./demoCA/private/cakey.pem,因此仍需要切換到./demoCA的上級目錄。

cd CA_PATH  #CA_PATH為demoCA的上級目錄,因為配置檔案中CA預設的私鑰路徑是./demoCA/private/cakey.pem,所以一定要在該目錄執行命令,否則會報錯
openssl ca -in ./demoUser/userkey.pem -out ./demoUser/user.crt

httpd的https配置

經過以上兩步的操作,我們拿到了使用者證書user.crt和使用者金鑰userkey.pem,接下來就要在httpd的配置檔案中配置https。

(1)確認ssl模組(mod_ssl.so)開啟 (2)設定https相應的虛擬埠配置,預設為443埠 配置程式碼如下: 
<VirtualHost *:443>
        ServerName www.example.com
        DocumentRoot /www/example.com/htdocs
        SSLengine on
        SSLProtocol all -SSLv3
        SSLcertificatefile USER_CRT_PATH/user.crt
        SSLcertificatekeyfile USER_KEY_PATH/user.key
</VirtualHost>
(3)重啟httpd即可 

相關推薦

HTTPS靜態服務搭建過程

HTTPS服務對於一個前端開發者來說是一個天天打招呼的老夥計了,但是之前我跟HTTPS打交道的場景一直是抓包,自己沒有親自搭建過HTTPS服務,對HTTPS的底層知識也是一知半解。最近正好遇到一個使用者場景,頁面需要調起手機的攝像頭,這就要求頁面服務必須是HTTPS的,所以

轉載:HTTPS證書的產生過程

1、RSA身份驗證的隱患     身份驗證和金鑰協商是TLS的基礎功能,要求的前提是合法的伺服器掌握著對應的私鑰。但RSA演算法無法確保伺服器身份的合法性,因為公鑰並不包含伺服器的資訊,存在安全隱患:    客戶端C和伺服器S進行通訊,中間節點M截獲了二者的

Citrix XenApp登錄App服務過程

receiver 成功 hash 傳輸加密 .com 身份證 rds logon 建立 詳細流程: 1. 客戶端上的receiver負責解析ICA文件,並根據ICA文件的內容發起連接請求。若是外網訪問,則ICA文件中記錄的是NetScaler的AG FQDN信息,連接請求發

Eureka服務註冊過程之IpAddress

閱讀本文你將瞭解微服務註冊到Eureka Server上的粗粒度過程eureka.instance.prefer-ip-address = true 時,發生的一些事深度理解eureka.instance.ip-address 和eureka.instance.prefer-

Tomcat檔案伺服器搭建過程

當我們使用tomcat上傳和下載檔案的時候,如何不想放在伺服器的webapps/ROOT下,有兩種配置方式: 方式一: 在conf\server.xml中新增如下資訊: <Context path="/demo/ykp/file" docBase

Memcached叢集/分散式/高可用 及 Magent快取代理搭建過程

當網站訪問量達到一定時,如何做Memcached叢集,又如何高可用,是接下來要討論的問題。有這麼一段文字來描述“Memcached叢集”Memcached如何處理容錯的?不處理!:) 在memcached節點失效的情況下,叢集沒有必要做任何容錯處理。如果發生了節點失效,應對的措施完全取決於使用者。節點失效時,

部署在WildFly上的EJB客戶端,呼叫另一個WildFly上的EJB服務過程

本文是前一篇博文的繼續,應用的場景如下:     EJB服務開發完畢後,以ear或jar的方式部署在一個WildFly伺服器上;     EJB客戶端開發(詳解前一篇博文)完畢後,以war的方式(也可以是另外一個ear)部署在另一個WildFly伺服器上。 對於部署EJB

java利用myeclipse自帶三大框架搭建三大框架(Hibernate+Struts2+Spring)過程

sun 過程 9.png att alt 分享圖片 struts apach sch 搭建過程因人而異,我的搭建過程大致是這樣的:   1.創建一個javaweb項目;   2.導入Spring框架,上圖:     2.1:     2.2:     2.3:   3.

Linux使用Node.js建立訪問靜態網頁的服務實例

else r.js list 運行 pos 文件 content head 建立 Linux使用Node.js建立訪問靜態網頁的服務實例詳解一、安裝node.js運行所需要的環境。二、創建node目錄(/node/www),並在目錄下創建node.js服務文件server.

服務器磁盤陣列數據恢復方法和數據恢復過程

服務器 數據恢復 raid5數據恢復 服務器數據恢復 硬盤離線 服務器故障描述:客戶使用Dell 2850服務器組建了raid5磁盤陣列,陣列中包含有6塊硬盤(SCSI硬盤,單盤容量300G),服務器操作系統為linux Redhat4;文件系統為ext3文件系統。在使用過程中服務器癱瘓,

https加密解密過程

http col 驗證 獲取 安裝 因此 私鑰 請求 描述 在日常互聯網瀏覽網頁時,我們接觸到的大多都是 HTTP 協議,這種協議是未加密,即明文的。這使得 HTTP 協議在傳輸隱私數據時非常不安全。因此,用於對 HTTP 協議傳輸進行數據加密,即 HTTPS 。 那麽我們

laravel服務容器(IOC過程

對於laravel的服務容器不是很理解看了《Laravel框架關鍵技術解析》和網上的一些資料後對於服務容器有了一些自己的理解,在這裡分享給大家,過程比較曲折,看了比較長的時間,包括回撥函式,use用法,反射函式等需要查相關的資料,稍後我也做一些更新。 簡化版的IoC容器類,使用bind()函式進

Apache Hadoop1.1.1+Apache Oozie3.3.2搭建安裝過程(親測)

寫在前面: 最近需要定製的原因,需要將原來Cloudera版本的Hadoop更改為Apache版本的Hadoop和Oozie,對官方文件的學習,發現Hadoop1.1.1和Oozie3.3.2的組合比較好,所以,經過幾天的搭建,終於成功了,現在把心得分享出來,希望給需要的朋

Ubuntu14.04下編譯安裝或apt-get方式安裝搭建Apache或Httpd服務(圖文

   不多說,直接上乾貨! 寫在前面的話   對於   在Ubuntu系統上,編譯安裝Apache它預設路徑是在/usr/local/apache2/htdocs           或者編譯安裝httpd它預設路徑是在/usr/local/apache/htdocs    

C/C++ 程式編譯與連結的過程靜態連結)

我們知道一個程式的執行需要經過編譯和連結兩個階段,其過程究竟是怎樣的呢? 程式的編譯階段分為以下幾個步驟,分別是預編譯、編譯、彙編、生成二進位制可重定向檔案(.o)。 預編譯: 首先是原始碼檔案xxx.c和相關的標頭檔案被預編譯器編譯成一個.i檔案。

http和https 握手過程

現在這個社會,我們都離不開網路,那麼網路的工作流程是怎麼樣的呢?從http發起請求到完成請求,網路到底給我們做了什麼事情? 今天我們主要來分析下http請求的過程: 在Http工作之前,Web瀏覽器通過網路和Web伺服器建立鏈連線,該連線是通過Tcp來完成的,該協議和Ip共同

Nginx原理簡介與 搭建反向代理伺服器過程

一、反向代理:Web伺服器的“經紀人” 1.1 反向代理初印象 反向代理(Reverse Proxy)方式是指以代理伺服器來接受internet上的連線請求,然後將請求轉發給內部網路上的伺服器,並將從伺服器上得到的結果返回給internet上請求連線的客戶端,此時

搭建SpringCloud微服務註冊中心

我們在使用SpringCloud微服務的時候,首先要建立一個服務註冊中心,什麼是服務註冊中心呢,就好比老師手上的一張同學名單,上面寫著所有的同學名字和座位等資訊。廢話不多說,下面我們來做微服務的第一步:搭建註冊中心。我們用開發工具idea進行搭建。第一步:File-New-P

Linux下搭建即時通訊聊天服務Tigase 實戰

Mar 27, 2015 11:41:56 AM tigase.conf.ConfiguratorAbstract setProperties Mar 27, 2015 11:41:58 AM tigase.db.jdbc.DataRepositoryImpl initRepository SEVERE: n

go微服務框架go-micro深度學習 rpc方法調用過程

route head text Golan port 調用服務方法 eof 服務器 面試題 摘要: 上一篇帖子go微服務框架go-micro深度學習(三) Registry服務的註冊和發現詳細解釋了go-micro是如何做服務註冊和發現在,服務端註冊server信息,cli