httpd2.2实现虚拟主机+证书认证+DNS

httpd2.2实现虚拟主机+证书认证+DNS

    目的：

    1、 在一台虚拟机上安装httpd2.2，在上面提供两个基于名称的虚拟主机：

      （1）www.X.com，页面文件目录为/web/vhosts/x；错误日志为/var/log/httpd/x.err，访问日志为/var/log/httpd/x.access；
      （2）www.Y.com，页面文件目录为/web/vhosts/y；错误日志为/var/log/httpd/y.err，访问日志为/var/log/httpd/y.access；
      （3）为两个虚拟主机建立各自的主页文件index.html，内容分别为其对应的主机名；
      （4）通过www.X.com/server-status输出httpd工作状态相关信息；

    2、为上面的第2个虚拟主机提供https服务，使用户可以通过https安全访问此web站点

    3、另一台虚拟机上搭建DNS，提供www.X.com和www.Y.com 域名解析

    4、搭建CA做证书认证

    提示：httpd服务为一台虚拟机，CA认证和DNS为另一台虚拟机

    环境：

    httpd服务器虚拟机：

        系统：CentOS6.9

        IP：172.18.76.161

        目的：实现目的1、2

        网络连接方式：桥接（可以使用仅主机）

        地址段：和本机一致

        防火墙、SElinux：关闭（命令：server iptables stop;setenforce 0）

    CA、DNS服务器虚拟机：

        系统：CentOS6.9

        IP：172.18.76.4

        目的：实现目的3、4

        网络连接方式：桥接（可以使用仅主机）

        地址段：和本机一致

        防火墙、SElinux：关闭（命令：server iptables stop;setenforce 0）

    本机：

        目的：测试实验是否成功

    实验步骤：

        1、搭建DNS

        (1)安装DNS：yum install bind

        (2)编辑配置文件/etc/named.conf

        

        (3)编辑配置文件/etc/named.rfc1912.zones

        

        (4)在/var/named/下创建a.com.zone和b.com.zone文件

        

a.com.zone

b.com.zone

        (5)开启DNS服务，命令：server named start,

        (6)测试DNS,命令：dig www.a.com ; dig www.b.com

        

         2、安装和配置httpd2.2

        (1)安装httpd；命令：yum install httpd

        (2)配置两台虚拟主机

         先注释掉主配置文件指向的目录，主配置文件：/etc/httpd/conf/httpd.conf

        

        在/etc/httpd/conf.d/目录下建自己的配置文件myhttpd.conf

        命令：vim /etc/httpd/conf.d/myhttpd.conf

        myhttpd.conf代码：     

        1 NameVirtualHost *:80
         2 <VirtualHost *:80>
         3 DocumentRoot /web/vhosts/x
         4 ServerName www.a.com
         5 ErrorLog /var/log/httpd/x.err
         6 CustomLog  /var/log/httpd/x.access common
         7 <Location /server-status>
         8 SetHandler server-status
         9 </Location>
        10 </VirtualHost>
        11 <VirtualHost *:80>
        12 DocumentRoot /web/vhosts/y
        13 ServerName www.b.com
        14 ErrorLog /var/log/httpd/y.err
        15 CustomLog  /var/log/httpd/y.access common
        16 </VirtualHost>

        (3)准备相应的目录和文件      

 

        (4)重启httpd服务，命令：server httpd restart；这时我们的网站可以正常访问了，如果用本机测试要让本机的DNS指向我们自己的DNS服务器，刚刚搭建的DNS的IP：172.18.76.4

        

        (5)浏览器输入地址测试

         现在是用的http://访问没问题，但用httpds访问会提示这个链接不安全

        3 安装mod_ssl和搭建CA

        (1)在httpd服务机器上安装mod_ssl；命令：yum -y install mod_ssl

        (2)在另一台虚拟机上搭建CA

            创建所需要的文件：
            touch /etc/pki/CA/index.txt 生成证书索引数据库文件
            echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号
            生成私钥：
             cd /etc/pki/CA/
            (umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)

            生成自签名证书：
            openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem

            

        (3)在httpd服务器生成私钥:
            (umask 066; openssl genrsa -out /etc/pki/tls/private/httpd.key 2048)
        (4)生成证书申请文件：
            openssl req -new -key /etc/pki/tls/private/httpd.key -days 365 -out /etc/pki/tls/httpd.csr

            

            将生成的申请文件传给CA服务器

            scp /etc/pki/tls/httpd.csr root@172.18.76.4:

        (5)CA签署证书，并将证书颁发给请求者
            openssl ca -in httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

            scp /etc/pki/CA/certs/httpd.crt root@172.18.76.161:/etc/pki/tls/certs/

            将根证书也给httpd服务器

            scp /etc/pki/CA/cacert.pem root@172.18.76.161:/etc/pki/tls/certs/            

        (6)在httpd服务器上配置文件：/etc/httpd/conf.d/ssl.conf

            

      

      

         重启httpd服务

        (7)本机浏览器安装证书

        这里配置了网站证书路径和CA证书路径，所以浏览器支持直接安装证书，直接安装就可以了，如果不能就可以选择手动导入根证书。

        在导入证书前要先将根证书（cacert.pem）传到桌面上，然后修改后缀为.crt。

        

         点击设置，里面有个Internet选项

            

        到此，实验成功结束。