由於CA收費，所以可以自建CA，通過將CA匯入瀏覽器實現https的效果，曾經12306購票就需要自行匯入網站證書。

關於https

2015年阿里巴巴將旗下淘寶、天貓（包括移動客戶端）全站啟用HTTPS加密，並順利通過“雙十一”考驗，成為全球最大的電商平臺全站HTTPS改造案例。

全站HTTPS需要解決3大問題。

首先是效能，主要分三點：

1. HTTPS需要多次握手，因此網路耗時變長，使用者從HTTP跳轉到HTTPS需要一些時間；
2. HTTPS要做RSA校驗，這會影響到裝置效能；
3. 所有CDN節點要支援HTTPS，而且需要有極其複雜的解決方案來面對DDoS的挑戰。

其次，相容性及周邊：

1. 頁面裡所有嵌入的資源都要改成HTTPS的，這些資源可能會來自不同的部門甚至不同的公司，包括圖片、視訊、表單等等，否則瀏覽器就會警告；
2. 移動客戶端（APP）也需要適配HTTPS，所以必須做調整修改；
3. 解決第三方網站看不到Referer的問題；
4. 所有的開發、測試環境都要做HTTPS的升級；

最後，為保證上線時的順利切換，需要提前準備大量的預案，以應對各種可能出現的情況。

目前為止，國內大部分主流網站都已經完成了HTTP到HTTPS的遷移，如淘寶、京東、百度、B站、優酷等，仍在使用HTTP的有騰訊視訊、愛奇藝、噹噹等網站。

以下先簡介https與加密原理

https簡介

HTTPS （全稱：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全為目標的 HTTP 通道，在HTTP的基礎上通過傳輸加密和身份認證保證了傳輸過程的安全性。
SSL(Secure Sockets Layer 安全套接層)，及其繼任者傳輸層安全（Transport Layer Security，TLS）是為網路通訊提供安全及資料完整性的一種安全協議。

HTTPS 在HTTP 的基礎上加入SSL 層，以SSL加密技術為安全基礎。 HTTPS 與HTTP的預設埠不同，並存在一個加密/身份驗證層（在 HTTP與 TCP 之間，即應用層與傳輸層之間）。

SSL協議可分為兩層：

• SSL記錄協議（SSL Record Protocol）：它建立在可靠的傳輸協議（如TCP）之上，為高層協議提供資料封裝、壓縮、加密等基本功能的支援。
• SSL握手協議（SSL Handshake Protocol）：它建立在SSL記錄協議之上，用於在實際的資料傳輸開始前，通訊雙方進行身份認證、協商加密演算法、交換加密金鑰等。

搭建https的流程主要與SSL握手協議有關。

為什麼要從http遷移到https

HTTP協議傳輸的資料都是未加密的，也就是明文的，因此使用HTTP協議傳輸隱私資訊非常不安全，為了保證這些隱私資料能加密傳輸，於是網景公司設計了SSL（Secure Sockets Layer）協議用於對HTTP協議傳輸的資料進行加密，從而就誕生了HTTPS。
簡單來說，HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，要比HTTP協議安全。
HTTPS和HTTP的區別主要如下：
　　1、https協議需要到CA（Certificate Authority 即頒發數字證書的機構）申請證書，一般免費證書較少，因而需要一定費用。
　　2、http是超文字傳輸協議，資訊是明文傳輸，https則是具有安全性的ssl加密傳輸協議。
　　3、http和https使用的是完全不同的連線方式，用的埠也不一樣，前者是80，後者是443。
　　4、http的連線很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，比HTTP協議安全。

通訊加密簡介

對稱加密

採用單鑰密碼系統的加密方法，同一個金鑰可以同時用作資訊的加密和解密，也稱為單金鑰加密。

舉例：凱撒密碼
凱撒密碼是羅馬擴張時期朱利斯• 凱撒（Julius Caesar）創造的，用於加密通過信使傳遞的作戰命令。它將字母表中的字母移動一定位置而實現加密。例如如果向右移動 2 位，則 字母 A 將變為 C，字母 B 將變為 D，…，字母 X 變成 Z，字母 Y 則變為 A，字母 Z 變為 B。

優點:

演算法公開、計算量小、加密速度快、加密效率高。

缺點:

如果一方的祕鑰被洩露，加密資訊也就不安全了。

非對稱加密

非對稱加密演算法需要兩個金鑰：公開金鑰（publickey:簡稱公鑰）和私有金鑰（privatekey:簡稱私鑰）。

公鑰與私鑰是一對，如果用公鑰對資料進行加密，只有用對應的私鑰才能解密，相反，也可以先用私鑰加密，再使用公鑰解密。因為加密和解密使用的是兩個不同的金鑰，所以這種演算法叫作非對稱加密演算法。

非對稱加密演算法實現機密資訊交換的基本過程是：
甲方生成一對金鑰並將公鑰公開，需要向甲方傳送資訊的其他角色(乙方)使用該金鑰(甲方的公鑰)對機密資訊進行加密後再發送給甲方；甲方再用自己私鑰對加密後的資訊進行解密。甲方想要回復乙方時正好相反，使用乙方的公鑰對資料進行加密，同理，乙方使用自己的私鑰來進行解密。

優點:

一方金鑰的丟失不會導致通訊被破解，相對更安全。

缺點:

加密和解密花費時間長、速度慢，只適合對少量資料進行加密。

使用場景

模擬一個通訊場景：

有A、B、C、D四個使用者，A想讓B、C、D與自己進行私密通訊。

如果使用對稱加密，則A-B、A-C、A-D之間分別需要協商一份金鑰。

如果使用非對稱加密，則只需要A保留私鑰，將自己的公鑰分發給B、C、D。
無論B、C、D哪一方使用公鑰加密訊息，都只有A才能用私鑰解密。

安全性考慮：

通訊前需要提前協商金鑰。

• 使用對稱加密
  A與其他使用者協商金鑰的訊息，如果被抓包截獲，就很容易受到“中間人攻擊”，即通訊資料被攻擊者偵測或掉包。

• 使用非對稱加密
  A同樣需要與其他使用者協商金鑰，A需要構造一對公私鑰，將公鑰傳送給B、C、D，自己保留私鑰。
  此時，若A傳送給B、C、D的訊息被黑客E截獲，E就可以保留A的公鑰，然後構造一對新的公私鑰，將私鑰保留，自己的公鑰發給B、C、D。

按照非對稱加密，E就成了通訊的中間人：
B、C、D使用E的公鑰加密資料併發送給A，E劫持通訊資料後，使用自己的私鑰解密資料，再使用A的公鑰加密資料傳送給A。
對於使用者A、B、C、D而言，他們並不知道自己的通訊對於中間人而言是曝光的。

怎樣才能使通訊安全：

利用非對稱加密來確認雙方身份建立連線，即SSL握手。

此時需要引入一個公信機構F，用於為使用者證明身份，否則在當前通訊環境中，個人是無法為自己證明身份的。

這個機構便是CA。
CA自己有一對公私鑰，公鑰公開給所有使用者，私鑰自己保留。
當A想要向B證明自己時，只需要先請求CA給自己的訊息用CA私鑰加密一下（簽名），再把訊息傳送給B，如果B用CA的公鑰能解密，說明這條訊息是被CA認證過的，沒有被其他人篡改過。

此時中間人攻擊就不再奏效，因為即便截獲了A傳送給B的資料，中間人也只能用CA的公鑰解密出訊息內容——“這是一條被CA認證過，由A傳送給B的資料”。但中間人無法對訊息內容進行篡改，因為B只會用CA的公鑰去驗證這條訊息是否被CA認證過，中間人用自己的私鑰加密的資料，B用CA的公鑰無法解開。

安全證書CA的權力是巨大的，曾經發生的CNNIC證書事件，CNNIC作為受信任的根CA，如果它願意，它可以隨便偽造國內外任何站點的SSL證書，配合防火牆DNS汙染，它可以在國內發起對任何網站的中間人攻擊、截獲通訊資料。

再考慮對稱加密：

就對稱加密而言，公信機構無法達到認證效果。
因為對稱加密只有一個金鑰，一旦公開任何人都可以對加密資訊進行篡改。

以上是對稱加密與非對稱加密使用時比較大的區別，對稱加密只能兩兩之間，而非對稱加密既可以用自己的私鑰加密資料，告訴擁有公鑰的人這條訊息是我發的，也可以讓擁有公鑰的人放心傳送資料，因為只有擁有私鑰的人才能解密資料。

考慮通訊效率：

如果需要頻繁通訊，每次通訊都使用非對稱加密需要花費較多的時間。

對稱加密與非對稱加密各自擁有優點，兩者結合才能更好的發揮作用。
在實際使用中，是使用非對稱加密建立連線，通過非對稱加密的安全連線協商一個用於對稱加密的金鑰。
由於協商金鑰的過程是安全的，所以協商的金鑰不會再被篡改，之後就可以使用該金鑰進行後續對稱加密的快速通訊。

https建立流程

以下介紹https的實際流程：

1. CA將自己的證書（公信憑證）交給各瀏覽器廠商，廠商將證書配置到各自瀏覽器。
2. 網站將自己的證書（身份憑證）交給CA，讓CA使用私鑰對證書進行簽名，CA簽名後發回給網站。在這個過程中，CA需要核實網站的真實性，網站發給CA簽名的也不僅只是證書，其中網站證書（含網站URL）和網站公鑰是必要的，還會包含一些其他資訊一同簽名。
3. 瀏覽器使用者向網站請求安全連線，網站把CA簽名後的證書發給使用者，瀏覽器會根據證書資訊，檢查是哪個CA做的簽名，從瀏覽器自帶的CA證書中找到對應公鑰驗證。
4. 如果驗證通過，就證明了網站身份的可靠性，使用者可以通過網站提供的公鑰進行安全連線，和網站協商後續對稱加密的金鑰。

自建CA證書

實驗環境：

• 作業系統：CentOS 7
• Apache版本：httpd
• php版本：php7

檢查OpenSSL，如果版本低於1.0.1f 建議升級，因為1.0.1f版本之下的OpenSSL有一個Heartbleed漏洞。
版本檢視：$openssl version
版本更新：$sudo yum update openssl

首先建立myCA目錄用於存放自建CA的相關資訊：

cd && mkdir -p myCA/signedcerts && mkdir myCA/private && cd myCA

myCA用於存放 CA 根證書，證書資料庫，以及後續伺服器生成的證書，金鑰以及請求。
signedcerts儲存簽名證書的 copy，private包含私鑰。

之後配置myCA相關引數，在myCA目錄下進行：

echo '01'>serial && touch index.txt

然後建立 caconfig.cnf 檔案（自建CA的配置檔案）：

vim ~/myCA/caconfig.cnf

caconfig.cnf檔案內容如下：

# My sample caconfig.cnf file.
#
# Default configuration to use when one is not provided on the command line.
#
[ ca ]
default_ca      = local_ca
#
#
# Default location of directories and files needed to generate certificates.
#
[ local_ca ]
dir             = /home/<username>/myCA

certificate     = $dir/cacert.pem
database        = $dir/index.txt
new_certs_dir   = $dir/signedcerts
private_key     = $dir/private/cakey.pem
serial          = $dir/serial
#       
#
# Default expiration and encryption policies for certificates.
#
default_crl_days        = 365
default_days            = 1825
default_md              = SHA256
#       
policy          = local_ca_policy
x509_extensions = local_ca_extensions
#       
#
# Default policy to use when generating server certificates.  The following
# fields must be defined in the server certificate.
#
[ local_ca_policy ]
commonName              = supplied
stateOrProvinceName     = supplied
countryName             = supplied
emailAddress            = supplied
organizationName        = supplied
organizationalUnitName  = supplied
#       
#
# x509 extensions to use when generating server certificates.
#
[ local_ca_extensions ]
subjectAltName          = DNS:localhost
basicConstraints        = CA:false
nsCertType              = server
#       
#
# The default root certificate generation policy.
#
[ req ]
default_bits    = 2048
default_keyfile = /home/<username>/myCA/private/cakey.pem

default_md      = SHA256
#       
prompt                  = no
distinguished_name      = root_ca_distinguished_name
x509_extensions         = root_ca_extensions
#
#
# Root Certificate Authority distinguished name.  Change these fields to match
# your local environment!
#
[ root_ca_distinguished_name ]
commonName              = MyOwn Root Certificate Authority # CA機構名
stateOrProvinceName     = JS                               # CA所在省份
countryName             = CN                               # CA所在國家（僅限2個字元）
emailAddress            = [email protected]                     # 郵箱
organizationName        = XXX                              # 
organizationalUnitName  = XXX                              # 
#       
[ root_ca_extensions ]
basicConstraints        = CA:true

其中dir和default_keyfile的路徑需要改成自己的username

生成 CA 根證書和金鑰：

export OPENSSL_CONF=~/myCA/caconfig.cnf       #該命令用於給環境變數 OPENSSL_CONF 賦值為caconfig.cnf。
openssl req -x509 -newkey rsa:2048 -out cacert.pem -outform PEM -days 1825             # 生成 CA 根證書和金鑰

該步驟需要使用者設定一個密碼，請牢記。

以上步驟生成了 CA 自簽名根證書，和 RSA 公/私金鑰對，證書的格式是 PEM，有效期是1825天。

/myCA/cacert.pem: CA 根證書
/myCA/private/cakey.pem： CA 私鑰

生成伺服器配置檔案exampleserver.cnf：

vim ~/myCA/exampleserver.cnf

exampleserver.cnf檔案內容如下：

#
# exampleserver.cnf
#

[ req ]
prompt             = no
distinguished_name = server_distinguished_name

[ server_distinguished_name ]
commonName              = localhost          # 伺服器域名
stateOrProvinceName     = JS                 # 伺服器所在省份
countryName             = CN                 # 伺服器所在國家（僅限2個字元）
emailAddress            = [email protected]       # 郵箱
organizationName        = XXX                # 
organizationalUnitName  = XXX                # 

生成伺服器證書和金鑰：

export OPENSSL_CONF=~/myCA/exampleserver.cnf   # 該命令設定環境變數 OPENSSL_CONF，使得 openssl 更換配置檔案。
openssl req -newkey rsa:1024 -keyout tempkey.pem -keyform PEM -out tempreq.pem -outform PEM

同樣的，需要設定密碼。

之後，有2種對臨時金鑰的操作，選擇其一即可：
1.將臨時私鑰轉換為 unencrypted key，即金鑰不加密狀態：

penssl rsa -in tempkey.pem -out server_key.pem

需要輸入密碼短語。

2.如果希望將 key 保持為加密狀態，直接改名：

mv tempkey.pem server_key.pem

兩者的區別是，第二種需要在伺服器啟動時輸入私鑰的密碼，否則會導致伺服器啟動失敗，但第二種安全性高於第一種，可以更好的保護金鑰。

使用 CA key 對伺服器證書籤名：

export OPENSSL_CONF=~/myCA/caconfig.cnf
openssl ca -in tempreq.pem -out server_crt.pem

刪除臨時證書和金鑰：

rm -f tempkey.pem && rm -f tempreq.pem

現在，自簽名的伺服器證書和金鑰對便產生了：

• server_crt.pem : 伺服器證書檔案
• server_key.pem : 伺服器金鑰檔案

以下通過LAMP搭建一個網站進行驗證

配置httpd(Apache)

第一步：安裝Apache服務程式(apache服務的軟體包名稱叫做httpd)

yum install httpd -y

第二步： 將Apache服務新增到開機自啟中

systemctl start httpd
systemctl enable httpd

第三步：開啟瀏覽器 測試 127.0.0.1，可以看到預設主頁

httpd主要目錄：

• 服務目錄：/etc/httpd
• 主配置目錄：/etc/httpd/conf/httpd.conf
• 網站資料目錄：/var/www/html
• 訪問日誌：/var/log/httpd/access_log
• 錯誤日誌：/var/log/httpd/error_log

配置php7

1、安裝源

安裝php72w需要配置額外的yum源，否則會報錯不能找到相關軟體包。

php高版本的yum源地址，有兩部分，其中一部分是epel-release，另外一部分來自webtatic，如果跳過epel-release安裝webtatic的時候會有錯誤。

安裝需要的命令是：

rpm -Uvh https://dl.Fedoraproject.org/pub/epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm
rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm

也可以選擇下面的這個命令，是一樣的效果：

yum install epel-release -y
rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm

2、清除歷史版本

為了防止CentOS上面發生php衝突，所以，這個命令還是先執行一下更好些：

yum -y remove php*

3、安裝擴充套件包

事實上，這裡面的對應擴充套件庫很多，一定要注意的有cli和fpm這兩個包，其它的相關包看需要：

yum -y install php72w php72w-cli php72w-fpm php72w-common php72w-devel php72w-mysql

由於後面要用MySQL，所以mysql包也是需要的。

比較全的版本：

yum -y install php72w php72w-cli php72w-fpm php72w-common php72w-devel php72w-embedded php72w-gd php72w-mbstring php72w-mysqlnd php72w-opcache php72w-pdo php72w-xml

配置MySQL

在CentOS中預設安裝有MariaDB，這個是MySQL的分支，但為了需要，還是要在系統中安裝MySQL，而且安裝完成之後可以直接覆蓋掉MariaDB。
網路環境允許的話直接安裝：

wget -i -c http://dev.mysql.com/get/mysql57-community-release-el7-10.noarch.rpm
yum -y install mysql57-community-release-el7-10.noarch.rpm
yum -y install mysql-community-server

mysql-community-server較大如果下載很慢，可以到國內映象源下載：
http://mirrors.ustc.edu.cn/mysql-ftp/Downloads/
下載後解壓到圖中檔案目錄下：

注意檔案許可權，再安裝：

yum -y install mysql57-community-release-el7-10.noarch.rpm
yum -y install mysql-community-server

mysql有初始預設密碼，使用以下命令查詢：

grep "password" /var/log/mysqld.log

輸入初始密碼，此時不能做任何事情，因為MySQL預設必須修改密碼之後才能操作資料庫。
修改密碼：

mysql -uroot -p
ALTER USER 'root'@'localhost' IDENTIFIED BY '新密碼';

新密碼設定的時候如果設定的過於簡單會報錯， 原因是因為MySQL有密碼設定的規範，具體是與validate_password_policy的值有關，可以先嚐試大小寫加下劃線的長密碼。

MySQL完整的初始密碼規則檢視

SHOW VARIABLES LIKE 'validate_password%';

可以通過如下命令修改：

mysql> set global validate_password.policy=0;
mysql> set global validate_password.length=1;

之後可以重新設定簡單密碼。

配置SSL

ssl需要以下模組：

修改ssl.conf：

cd /etc/httpd/conf.d
sudo vim ssl.conf

修改DocumentRoot到自己的網頁目錄，並更改證書金鑰來源為自建CA：

網頁配置

將需要的網站資料夾複製到/var/www/html/目錄下
修改/etc/httpd/conf/httpd.conf檔案中的網站檔名：

建立自己網站需要的資料庫：

create database myzoo;
use myzoo; 
create table Person(PersonID int primary key auto_increment, Password varchar(100),Salt varchar(100),Username varchar(100),Token varchar(100),Zoobars int default 10, Profile varchar(5000));

重啟httpd檢視當前網頁：

setenforce  0
sudo systemctl restart httpd

先關閉selinux，不然會報錯，服務啟動前會驗證之前設定的證書密碼（網站的那個，不是CA的）。

目前是普通的http連線，因為並沒有將自建CA匯入瀏覽器。

瀏覽器匯入證書

由於網站的證書是自建CA簽名的，瀏覽器並不信任，所以需要手動匯入CA證書。

以chrome為例：設定->高階->隱私設定和安全性->管理證書

可以檢視證書詳細資訊和匯入自建CA證書

因為之前配置網站證書時設定的域名是localhost，所以需要通過localhost域名進行https連線，不能使用127.0.0.1。

位址列訪問狀態出現一把綠色的鎖，成功搭建https。