环境:centos-6.4-x86_64
软件:httpd-2.2.15-26.el6.centos.x86_6
Web服务器的实现,在windows下有iis,在linux/unix有apache和nginx。我们这里先来讲解一下apache也就是httpd来实现web服务。
再来介绍一下httpd和nginx的区别。httpd稳定性高,但是并发数少。而nginx的并发数多但是稳定性比较差。httpd在运行时会产生一个父进程,然后由父进程派发子进程,占用资源比较多。nginx运行是靠线程,占用资源少。
安装httpd,然后通过rpm –ql查看httpd的目录结构。
看图中有一个/etc/logrotate.d/httpd这是日志分割,避免日志太大导致服务不能运行。
接下来看一下httpd的配置文件,配置文件放在/etc/httpd/conf/httpd.conf
可以看到httpd的配置文件主要分为三个部分,第一部分主要是全局环境配置,一般不需要修改,第二部分是主要是默认的参数,第三部分是虚拟主机的。
接着往下在95行看到一个是关于模式的
Httpd的工作模式有两种,一种是prefork,另一种是worker。这两个的区别就是perfork模式是产生进程,而worker模式是线程。
再往下看在292行看到网站的根目录是/var/www/html
配置文件就先看到这里,接下来启动httpd
看到有一个小的错误,这个错误是指没有配置名字,默认使用127.0.0.1,这个并不影响服务器的运行,可以不用管。
接下来,我们在网站根目录下创建一个网页,可能不能访问。
然后通过浏览器来访问,看能不能成功
可以看到成功访问。
接着就来探讨一下站点的安全。
实现站点的安全有三种方式:
1、身份验证
2、来源控制
3、加密访问,也就是通过https协议来进行访问
对于第一种和第二种安全主要是在网站目录安全性来实现的。
实现方法在httpd的主配置文档中编写
<directory 站点目录>
验证方法
</directory>
这个比较简单这里就不详细介绍了,重点来讲解一下访问加密也是https的实现。
要实现https就要用到数字证书,数字证书要有颁发机构CA,我们就在本机上安装openssl来实现CA
首先安装openssl,接着编辑/etc/pki/tls/openssl.conf,主要修改一些默认值
修改匹配的规则,不然将无法给网站签发证书
就先修改这么多
然后创建index.txt和serial,并且给serial一个初值
CA也要自己的公钥,私钥和证书
使用openssl genrsa 1024 >private/cakey.pem 产生CA私钥
由于要保证私钥的安全性所以要修改权限
使用openssl req -new -key private/cakey.pem -x509 -out cacert.pem 产生证书
接下来就要配置网站的私钥 请求文件 和利用CA签发证书
切换到/etc/httpd目录下创建一个文件夹存放文件使用命令mkdir certs,然后切换到该目录中
产生私钥:openssl genrsa 1024 >httpd.key 然后修改权限为600
产生请求文件:openssl req -new -key httpd.key -out httpd.crq
然后签发证书:
openssl ca -in httpd.crq -out httpd.cert
然后根据提示输入y
我们在/etc/pki/CA目录下查看index.txt就可以看到一行记录
接着就要捆绑证书,绑定证书需要调用mod_ssl模块,首先要安装模块。装好之后编辑/etc/httpd/conf.d/ssl.conf
在文件的105行指出证书的位置,在112行指出key的位置。
在121行指出颁发机构的证书所在位置
然后重启httpd,然后测试。
访问的时候会说证书有问题,
这没有关系,我们先安装CA的证书。选择查看证书,证书路径
然后选择rootca.net这个证书,然后查看证书
然后安装证书
最后我们可以在受信任的根证书颁发机构中看到,对于证书名不一致是因为我们颁发给了www.abc.com,而访问的是192.168.29.20,所以问出现不一致,在这里就不再搭建dns服务器了,直接在本地hosts文件中指明就行了,文件所在地方C:\WINDOWS\system32\drivers\etc
然后测试
访问www.abc.com可以访问到。
