(3)配置域名tec.abc.com虚拟主机
题目要求tec.abc.com站点要使用https来连接,则此连接就要使用端口443,并且站点要有证书颁发给客户端,让客户端信任此证书,还必须有CA认证中心来认证,其图如下
1> CA认证中心配置
CA认证中心配置文件在目录/etc/pki中,主配置文件为/etc/pki/tls/openssl.cnf,打开主配置文件,修改如下
[root@localhost pki]# vim /etc/pki/tls/openssl.cnf
如下内容
修改之后,因为红色注释部分的目录和文件都是需要手动创建的,所以要先创建
因为CA认证中心是最高的级别,所以它不能让另外的机构为它签发证书来承认它的可信任性,但是,它又要被另外的机构信任,所以它就需要为自己签发证书,这个过程叫做自签发.下面开始自签发配置
1>> 使用openssl 来生成密钥,默认它的密钥要放在目录/etc/pki/CA/private下
2>> 生成可信任证书
在/etc/pki/CA下生成证书
由于系统默认的是CA认证中心只能匹配自己所在的省市签发证书,但作为一个顶级CA认证中心来说可能要为整个国家任何地方的机构认证,应修改/etc/pki/tls/openssl.cnf,去掉匹配关系.修改成如图
这样就可以为任何地方的机构签发证书.
3>>到此CA自签发完成,CA认证中心创建成功.
2>web申请CA证书
一个网站如果想要使用https进行连接,就必须让客户端对这个网站进行认证,因此web本身应该有CA签发的证书,以达到让客户端信任的目的.以下是web申请CA证书
1>> web的认证需要软件mod_ssl 来实现
安装:[root@localhost CA]# yum install mod_ssl
2>>生成web端私钥,放在/etc/httpd/certs/目录中
3>>利用这个私钥来创建待认证公钥
4>> 让CA认证中心来签发证书
下面选择两个y就可以了.
5>> 下面将配置应用到tec.abc.com域名
[root@localhost certs]# vim /etc/httpd/conf/httpd.conf
添加如下内容,下面的ip地址可以修改成
6>> 重启httpd服务器
[root@localhost conf]# service httpd restart
停止 httpd: [确定]
启动 httpd: [确定]
3> 客户端认证配置
使用windows2003访问
在地址栏中输入:https://tec.abc.com后会出现下面的图
说明现在系统没有安装用于认证的根证书,我们可以点击"查看证书"来进行安装
把此证书放在根证书列表中
安装之后刷新一下浏览器,就可以得到网站内容
在使用http进行连接时,是不能连接成功的
至此tec.abc.com成功完成要求.
