超文本传送协议(HyperText Transfer Protocol,HTML)是一种通信协议,它允许将超文本标记语言文档从web服务器传送到wel浏览器。

 

HTML的特点:
1.支持客户/服务器模式
2.简单快速:客户向服务器请求服务时,只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不同。由于HTTP协议简单使得HTTP服务器的程序规模小,因而通信速度很快。
3.灵活:HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。4.无连接:无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接。采用这种方式可以节省传输时间。
5.无状态:HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。 缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。

 

客户端浏览器以https的方式访问web服务器的过程:

image

客户端通过https方式访问服务器全过程描述:

1.客户机通过https访问web服务器,web服务器向客户机出示自己的证书

2. 客户机验证证书的有效性,包括发证时间,发证机关,执行者标识。

3.如果客户机验证证书通过,客户机随机产生128位的key,再利用证书文件传递的public key对该随即key机进行加密。

4.加密后传送至服务器端,服务器再利用自己的public key 对加密的key进行解密,得到客户机的随机key值。

5.这时两端的key值相同,利用该key进行加密通讯

 

linux下通过Apache  httpd软件实现https方式访问站点的实现:

1.由于案例最后要安装mod_ssl软件,而该软件具有依赖性,所以先配置yum(本地yum)。新建挂载点,挂载光盘,编辑/etc/yum.repos.d/rhel-debuginfo.repo

有关yum的详细配置请访问我的另一篇博文:http://jialiang10086.blog.51cto.com/4496483/960178 

image

image 

2.安装WWW服务器软件,在这里使用httpd-2.2.3-31.el5.i386.rpm,采用yum或者rpm安装

rpm -ivh httpd-2.2.3-31.el5.i386.rpm

yum install httpd

image

实现Apache 站点安全有三种方式:

   a. 身份验证

   b.来源控制

   c.ssl安全套接字层

下面一一实现上述3种方式:

A.身份验证

3.编辑/etc/httpd/conf/httpd.conf 文件,修改第327行 :将AllowOverride None 改为AllowOverride all ;更改后才能使身份验证配置生效

image

4.上步中修改 AllowOverride all  是在<Directory "/var/www/html">  </Directory>内,对应的是对访问/var/www/htm 目录内的网页时的主机进行身份验证。

   在/var/www/htm 中产生一个隐藏文件.htaccess ,在此文件中写入验证规则

image

image

5.产生上步中的 .password文件,并创建账户user1 和 user2 。htpasswd [–c] .htpassword user1

image

image

6.切换到/var/www/html 产生网页文件,重启httpd服务

image

image

image

 

 

B.来源控制

通过控制允许哪些用户可以访问站点,哪些不能访问站点来实现来源控制的目的

Order allow,deny
Allow from all

7.设置只允许192.168.101.11主机访问该站点,设置完成后重启httpd服务

image

8.测试 ,ip为192.168.101.11主机可以访问该站点。

image

9.ip为192.168.101.12 主机无法访问该站点

image

 

C.安全套接字层ssl

搭建证书服务器CA

10.编辑文件/etc/pki/tls/openssl.cnf

image

将88行到90 行的match  改为optional ,否则将只有和CA在同一个国家、省份、组织的主机才能从CA获得证书

image

修改CA默认的名称选项,当向该CA提出证书申请时显示为默认。

image

 

11.根据openssl.cnf文件的说明,需要创建三个目录:certs  newcerts  crl 和两个文件:index.txt  serial

image

12.CA 证书服务器产生自己的私钥cakey.pem 。 openssl genrsa 1024 &gt; private/cakey.pem

image

13.CA服务器根据自己的私钥产生自己的证书:openssl req -new -key private/cakey.pem -x509 -out cacert.pem -days 3650

image

该处的默认值即为第19步中修改的默认值

image

14.×××文件和私钥文件的权限为600

image

15.在WWW服务器的根目录/etc/httpd下新建文件夹certs,用来存放服务器的私钥,请求,以及证书

image

16.www服务器产生自己的私钥:openssl genrsa 1024 &gt; httpd.key

image

17 根据私钥httpd.key 来产生请求文件:openssl req -new -key httpd.key -out httpd.csr

image

image

image

18.CA服务器根据请求文件颁发证书:openssl ca -in httpd.csr -out httpd.cert

image

19.×××文件和私钥文件的权限为600

image

 

现在www服务器已经有自己的证书和私钥了,当客户端浏览器通过https的方式访问该web服务器,则该服务器需要将证书显示到客户端浏览器,这需要ssl和httpd相结合

20.安装mod_ssl 模块:yum install mod_ssl

image

21.安装后,会在/etc/httpd/conf.d下产生文件ssl.conf文件

image

22编辑ssl.conf文件

image

23.重启httpd服务

image

24.测试,显示有两个问题:一是颁发证书的机构不被信任,二是证书上显示的名字和该主机访问的名字不一致

image

25.如果想要信任某个证书颁发机构,只需将该颁发机构的证书导入浏览器,但是点击查看证书,证书路径中不显示颁发机构的证书

image

26  继续修改ssl.conf,×××链

image

27.重启httpd服务,再次进行测试

image

28.点击查看证书,安装证书

image

image

image

29安装后可在浏览器中查看

image

30.再次差可能访问情况,显示只有名称无效

image

31.修改hosts文件,将192.168.101.250的对应的域名设置为www.zzu.edu.cn

image

image

32.最后一步,修改httpd.conf 文件,禁用80 端口,以后只用https的方式访问

image

image

重启httpd

image

 

 

 

 

 

补充案例---基于IP地址的虚拟主机

基于IP地址的虚拟主机

多个ip 多个名字 端口号80 多个站点

实验要求:

基于ip的虚拟主机,三个站点及其ip地址和站点主目录分别为:

192.168.101.250 www.cisco.com /var/www/html

192.168.101.251 tec.cisco.com /var/www/tec

192.168.101.252 mkt.cisco.com /var/www/mkt

要求 www.cisco.com 站点可通过http方式访问,tec.cisco.com 和 mkt.cisco.com 通过https的方式访问

1.安装dns服务器

rpm -ivh bind-9.3.6-4.P1.el5.i386.rpm

rpm -ivh bind-chroot-9.3.6-4.P1.el5.i386.rpm

rpm -ivh caching-nameserver-9.3.6-4.P1.el5.i386.rpm

clip_image002

2.在/var/named/chroot/etc 下cp -p named.caching-nameserver.conf named.conf

clip_image004

clip_image006

clip_image008

3.编辑区域声明文件named.rfc1912.zones,声明区域cisco.com

clip_image010

4.切换到目录/var/named/chroot/var/named 下,cp -p localdomain.zone cisco.com.db

clip_image012

5.解析测试(如果在该dns服务器上测试,需要指明dns服务器地址/etc/resolv.conf 或setup

clip_image014

6.安装httpd 服务器,安装证书服务器省略

7.修改httpd的配置文件httpd.conf

<VirtualHost 192.168.101.250:80>

ServerAdmin webmaster@sina.com

DocumentRoot /var/www/html

ServerName www.cisco.com

ErrorLog logs/www_error_log

CustomLog logs/www_access_log common

</VirtualHost>

<VirtualHost 192.168.101.251:80>

ServerAdmin webmaster@sina.com

DocumentRoot /var/www/tec

ServerName tec.cisco.com

ErrorLog logs/tec_error_log

CustomLog logs/tec_access_log common

</VirtualHost>

<VirtualHost 192.168.101.252:80>

ServerAdmin webmaster@sina.com

DocumentRoot /var/www/mkt

ServerName mkt.cisco.com

ErrorLog logs/mkt_error_log

CustomLog logs/mkt_access_log common

</VirtualHost>

clip_image016

8.创建www ,tec ,mkt 的站点主目录及网页文件

clip_image018

clip_image020

clip_image022

9.添加网卡,设置ip地址

clip_image024

10.测试访问三个站点

clip_image026

clip_image028

clip_image030

11.分别为三个站点新建目录用来存放各自的私钥文件。请求文件,以及证书文件。由于本实验不要求www主站点使用https方式访问,所以该站点不用申请证书

clip_image032

12. tec站点产生私钥文件tec_httpd.key

clip_image034

13. tec 站点根据自己私钥产生请求文件

clip_image036

clip_image038

14.CA服务器为tec站点颁发证书

clip_image040

15.同理产生mkt的私钥和请求,和证书

clip_image042

clip_image044

clip_image046

clip_image048

16. 修改ssl.conf 文件 ,当客户端访问不同的站点时,加载不同的证书

clip_image050

虚拟站点一,不使用https方式,所以此处端口为80

clip_image052

虚拟站点二,使用https方式访问,端口号设置为443

clip_image054

该虚拟站点的证书文件、私钥文件、证书链位置,当客户端访问该站点时,将该证书发送给客户端

clip_image056

虚拟站点三,使用https方式访问,端口号设置为443

clip_image058

该虚拟站点的证书文件、私钥文件、证书链位置,当客户端访问该站点时,将该证书发送给客户端

clip_image060

17.编辑httpd.conf文件,该文件包含ssl.conf文件。

在此处,只监听192.168.101.250 的80 端口,如果直接写Linstn 80,则所有站点的80 端口都将开启,tec和mkt站点这时也将可以通过http方式访问,不安全。

clip_image062

由于在ssl.conf中定义了虚拟站点,所以在httpd.conf文档的最后不用再写虚拟主机。