科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道用SSL和TinyCA保护你的web服务器(2)

用SSL和TinyCA保护你的web服务器(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

SSL非常适合HTTP,因为它能提供一些保护,即使只有通讯一方是结果认证的,在因特网上处理HTTP事物时,通常只有服务器是结果认证的,本文解释如何使用OpenSSL和TinyCA在OpenSuse 10.2服务器上安装一个虚拟主机。

来源:论坛整理 2008年9月17日

关键字: 安全技术 服务器安全 系统安全

  • 评论
  • 分享微博
  • 分享邮件

步骤4:开启SSL支持运行Apache

现在我们需要将服务器证书和密钥拷贝到合适的地方,请创建/srv/www/etc目录,我们将使用TinyCA导出密钥和证书,点击导出按钮(软盘图标)导出证书,如果你是以root身份工作,TinyCA会在/root目录下存储导出的证书:

 

同样点击导出按钮导出密钥,重要!回答“无密语”( Without Passphrase)和“包括证书”( Include Certificate (PEM))问题时请回答“yes”,并输入一个密语,你将在后面使用这个密语加密密钥。

 

拷贝这两个文件到/srv/www/etc下,并重命名:

cp  /srv/www/etc/server.crt

cp  /srv/www/etc/server.key

cp ca_cert-cacert.pem /srv/www/etc/ca-cert.crt

重启apache并观察是否有错误:

/etc/init.d/apache2 restart

service apache2 restart

如果没有出现错误,你就可以使用你喜爱的浏览器打开下面对应到测试页面的URL,请暂时接受这个证书,我们后面会用到它。

 


 

步骤5:客户端认证和访问控制

当你了解你的用户团体(如一个封闭的用户组)在局域网内时,你可以使用简单的证书认证,我们已经通过我们自己的CA证书创建了一个签名的客户端证书,现在我们要再次校验客户端证书,你可能已经注意到在我们的配置文件/etc/apache2/vhost.d/ssl.conf中有下面两项:

#SSLVerifyClient require

#SSLVerifyDepth  1

我们注释掉了这两行,别忘了保存这个文件,然后重启apache,如果你现在访问你的服务器,你应该收到下面这个错误:

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章