服务器安全之Apache配置SSL访问实战
在如今网络安全越来越被大众所重视,笔者虽然了解过 HTTPS 加密协议,但却还没有在自己服务器上部署过,趁着国庆假期在自己的机器上实践了一番。
一、HTTPS 背景
1.什么是 HTTPS ?
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的 HTTP 通道,简单讲是 HTTP 的安全版。即 HTTP 下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL 证书。
2.HTTPS 和 HTTP 的区别
HTTP(超文本传输协议)协议被用于在 Web 浏览器和网站服务器之间传递信息。HTTP 协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了 Web 浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此 HTTP 协议不适合传输一些敏感信息,比如信用卡号、密码等。
为了解决 HTTP 协议的这一缺陷,需要使用另一种协议:HTTPS(安全套接字层超文本传输协议)。为了数据传输的安全,HTTPS 在 HTTP 的基础上加入了 SSL 协议,SSL 依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
HTTPS 和 HTTP 的区别主要为以下四点:
- HTTPS 协议需要到 ca 申请证书,一般免费证书很少,需要交费。
- HTTP 是超文本传输协议,信息是明文传输,HTTPS 则是具有安全性的 SSL 加密传输协议。
- HTTP 和 HTTPS 使用的是完全不同的连接方式,用的端口也不一样,前者是 80,后者是 443。
- HTTP 的连接很简单,是无状态的;HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 协议安全。
二、实践
今天实践的系统环境是 Centos6.6 X64 , Web 服务器为 Apache 2.2
如果您的服务器是 Nginx 或者其他服务器,原理都差不多,只是具体到配置时需要分别处理
1.获取 SSL 证书
想要部署 HTTPS 加密访问,首要要做的就是获取 SSL 证书。如果是学习的话,获取免费的就可以了,这里推荐国外的证书服务商:Namecheap
服务器端 SSL 证书请求文件(CSR)生成
首先检查服务器是否支持 SSL 模块:检查是否有 mod_ssl.so 文件,如无请重新编译 Apache 让其支持 SSL
- 生成私钥 Generate the private key
请在服务器端使用以下命令来生成私钥
openssl genrsa -des3 -out www.mydomain.com.key 2048
此命令会要求输入证书密码,请输入一个能记住的密码;命令中 www.mydomain.com 为您的域名即可;2048 为私钥长度,请按照需要选择 1024 或 2048
- 生成 CSR 文件 Generate the CSR
请在服务器端使用以下命令来生成 CSR
openssl req -new -key www.mydomain.com.key -out www.mydomain.com.csr
此处需要填写很多信息
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:shanghai
Locality Name (eg, city) [Default City]:shanghai
Organization Name (eg, company) [Default Company Ltd]:gitos
Organizational Unit Name (eg, section) []:bqteam-gitos
Common Name (eg, your name or your server's hostname) []:www.gitos.cn
Email Address []:a@gitos.cn
注意上面倒数第二行 Common Name ,此处一定要填写您开启 HTTPS 访问的域名,不能随便填写
您也可以直接使用一个命令同时生成私钥和 CSR 文件:
openssl req -new -nodes -keyout www.mydomain.com.key -out www.mydomain.com.csr
用 SSL 证书请求文件(CSR)获取证书
将 www.mydomain.com.csr 内的内容粘贴到证书发放的网站,获取到您的证书,下载后传到您的服务器,下面配置将用到它
2.配置 Apache 服务器
<VirtualHost *:443>
DocumentRoot "/path"
ServerName www.mydomain.com:443
DirectoryIndex index.html index.htm
SSLEngine on
SSLCertificateFile /path/www.mydomain.com.crt
SSLCertificateKeyFile /path/tls/www.mydomain.com.key
SSLCACertificateFile /path/1_root_bundle.crt
<Directory "/path">
AllowOverride All
Order allow,deny
Allow from all
</Directory>
</VirtualHost>
配置完成后,重启 Apache,访问 https://www.mydomain.com ,发现配置已经成功。
3.完善 Apache 服务器配置
到此,访问 https://www.mydomain.com 已经没有任何问题,但是如果用户通过 80 端口访问,也就是通过 HTTP 协议访问网站时,会出现一个大大地错误或者出现 Apache 默认页面,非常的不友好,毕竟浏览器默认访问端口为 80 端口。
为了解决它,那么就要使用一些技巧啦。最常用的呢就是用端口重定向使所有 80 端口的访问转到 443 端口即可,有很多方法可以解决,比如 Nginx 自带重定向功能,但是这里用的 Apache,那么就提供一个 Apache 的解决方案吧。
使用 Rewrite 模块进行重定向,将下列语句添加在配置文件中或者程序的 .htaccess 中,如果没有安装这个模块请重新编译安装
RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
RewriteCond %{REQUEST_URI} !^/tz.php
RewriteRule (.*) https://%{SERVER_NAME}$1 [R]
至此结束啦,有问题欢迎指正。