全国统一热线：400-028-
密　码:
Domain Trader
VPS SERVER
CLOUD HOST
您当前的位置：&>&&>&
CNNIC服务器证书是由自主研发的一款证书产品，是国内第一款具有自主知识产权且已得到全球各个浏览器信任的产品。使用服务器证书可以保障用户与网站间信息加密传输，同时，更采取了国际强身份认证的技术及理念，即在浏览器地址栏出现安全锁的基础上，免费提供一款能够方便网民识别的签章，进一步提升该服务器证书的身份识别功能。CNNIC服务器证书功能有，通过加密通道对用户与网站服务器之间的信息交互提供保护；2.为网站提供身份认证，通过浏览器地址栏安全锁标识和网页上的可信签章标识，提高网站可信度；通过浏览器对证书的信任识别，有效避免钓鱼网站、仿冒网站威胁。申请购买流程：用户提交申请资料给注册商，注册商初审资料。审核注册商申请和用户资料。审核通过后，发送下载证书所需信息给用户。用户根据提示进行验证，下载证书并安装。CNNIC服务器分为标准证书和高级证书：购买之后，标准证书：证书中显示企业名称、地址等信息。高级证书：证书中显示企业名称、地址等信息。&浏览器地址栏显示绿色，地址栏直接显示企业名称。申请和购买CNNIC服务器认证到&
版权申明：本站文章部分自网络，如有侵权，请联系028-5 ，我们收到后立即删除，谢谢！
特别注意：本站所有转载文章言论不代表本站观点！本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。
Copyright & &&版权所有
电话总机：028- (20线)
400电话：400-6234人阅读
网络安全（10）
1、写这篇博客的初衷是因为最近iOS9出来了，苹果官方默认要求使用HTTPS，所以自己想整一个HTTPS服务器，也想好好了解一下HTTPS通信，也知道了HTTPS其实就是在HTTP的基础上加上了SSL/TLS。具体想了解SSL/TLS原理的请浏览和。中途看了很多博客，也花了不少时间，所以想记录一些东西。
2、这篇博客的内容主要是讲升级openssl、如何自己创建证书、配置证书到服务器和自建CA。其中对证书不太了解的，可以看这篇文章。本篇博客其中第2步和第3步已经重复，只需要选择其中一步操作就可以搭建HTTPS服务器，当然搭建都是不受信任的，如果是架设网站还是需要到权威的CA机构申请证书。本来还有生成iOS客户端的证书和使用证书连接服务器相关的内容，由于篇幅的原因就把它放在下一篇吧。
3、本人使用了Mac10.10.5和Ubuntu 14.04.1进行配置搭建，本篇博客主要以Unbuntu 14.04.1系统为主。而本人这个Ubuntu 14.04.1是阿里云一键安装的，而且没有更改里面的服务器设置，所以诸多的配置可能与一般Linux系统不太相同（与我电脑上的Linux mint就很大不同）。不过，我会在最后说明一下Mac和Linux配置一些不同的地方，其实都是一些相关路径的不同。当然，有可能你的Apache安装路径与我说的几种路径都不同，没关系，对照着修改也应该没什么问题。
1、安装升级openssl
首先，查看下当前设备的openssl版本，如果版本在openssl1.0.1g以上，请略过
openssl version -a
#OpenSSL 1.0.1f 6 Jan 2014
如果是处于1.0.1-1.0.1f的版本，那就赶快升级到1.0.1g版本以上吧！因为这些版本存在漏洞，详情请见
从上面信息可以看出我们的系统版本是1.0.1f，openssl需要升级，那我们先来下载源代码
wget http://www.openssl.org/source/openssl-1.0.1g.tar.gz
下载完之后，解压并进行安装
tar -zxvf openssl-1.0.1g.tar.gz
openssl-1.0.1g
./config shared zlib
make && make install
安装的过程中，碰到了一个问题 make: *** [install_docs] Error 255 解决这个问题请使用make
install_sw安装，详情见
随后，进行相关的设置
#修改历史的OpenSSL文件设置备份
mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/include/openssl /usr/include/openssl.old
#设置软连接使其使用新的OpenSSL版本 刚刚安装的OpenSSL默认安装在/usr/local/ssl
ln -s /usr/local/ssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
#更新动态链接库数据
echo &/usr/local/ssl/lib& && /etc/ld.so.conf
ldconfig -v
最后查看一下版本
openssl version
OpenSSL 1.0.1g 7 Apr 2014
1.0.1g版本安装成功
2、创建用私钥签名的证书，配置到Apache服务器
首先，生成私钥，创建请求证书，使用私钥对证书进行签名
genrsa -des3 -out private.key 2048&
-des3代表加上了加密，后面的2048是代表生成的密钥的位数，1024已经不是很安全，详情请见
生成证书请求&
req -new -key private.key -out server.csr&
这一步需要填写一些信息，其中Common
Name (e.g. server FQDN or YOUR name) []这个需要填写你的域名或服务器地址。
生成服务器的私钥，去除密钥口令&
rsa -in private.key -out server.key
使用私钥为证书请求签名，生成给服务器签署的证书，格式是x509的PEM格式&
x509 -req -in server.csr -out server.crt -outform pem -signkey server.key -days 3650
-outform pem指定证书生成的格式，默认是pem，所以这个命令也可以写作成sudo
openssl x509 -req -in server.csr -out server.crt -signkey server.key -days 3650。
将证书copy到Apache配置路径下
mkdir /alidata/server/httpd/conf/ssl
cp server.key /alidata/server/httpd/conf/ssl/server.key
cp server.crt
/alidata/server/httpd/conf/ssl/server.crt
其次，配置Apache服务器
编辑/alidata/server/httpd/conf/httpd.conf文件
#LoadModule ssl_module modules/mod_ssl.so
#LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
#Include conf/extra/httpd-ssl.conf
将这三行前面的#去掉
编辑/alidata/server/httpd/conf/extra/httpd-ssl.conf文件，找到SSLCertificateFile、SSLCertificateKeyFile，修改它们两对应的文件
SSLCertificateFile &/alidata/server/httpd/conf/ssl/server.crt&
SSLCertificateKeyFile &/alidata/server/httpd/conf/ssl/server.key&
编辑/alidata/server/httpd/conf/vhosts/phpwind.conf文件，这里我没有更改阿里云的配置，如果你不是阿里云服务器，找到对应的httpd/conf/extra/httpd-vhosts.conf文件进行修改。这个文件我主要加了下面的内容：
&VirtualHost *:443&
SSLCertificateFile
/alidata/server/httpd/conf/ssl/server.crt
SSLCertificateKeyFile /alidata/server/httpd/conf/ssl/server.key
ServerName 182.92.5.161
DocumentRoot /alidata/www
&/VirtualHost&
最后，咱们重启Apache服务器，输入链接查看是否配置成功。
3、自建CA，用CA证书进行签名，配置到Apache服务器
第一步、使用CA.sh创建CA根证书
修改openssl的配置文件sudo
vim /usr/local/f，修改default_bits=1024为default_bits=2048，使其openssl加密使用2048位，原因前面已经说过。
随后创建一个目录，并且将生成CA证书的脚本CA.sh复制到这个目录
cp /usr/local/ssl/misc/CA.sh CA.sh
CA.sh这个脚本如果找不到，可以使用&openssl
version -a查看openssl对应的目录，而CA.sh一般就在这个目录的子目录misc目录下。
之后执行./CA.sh
-newca命令&
CA.sh会使用/usr/local/f中的配置来创建私钥和证书，这正是我们第一步为啥需要修改这个文件的原因。
创建CA证书过程中，不输入信息，直接回车，填写加密私钥的密码和生成CA证书的相关信息。
创建完之后会生成demoCA目录。这个目录有
cacert.pem
index.txt.old
index.txt.attr
其中cacert.pem是CA的证书，private存放CA的私钥，newcerts存放CA签名的备份。到这里，我们的CA已经建好了，下面我们可以通过CA来对我们的证书进行签名了。
第二步、使用CA根证书为服务器证书签名
openssl genrsa -des3 -out private.key 2048
#生成证书请求
sudo openssl req -new -key private.key -out server.csr
#生成服务器的私钥，去除密钥口令
sudo openssl rsa -in private.key -out server.key
#使用CA进行签名，生成server.crt
cp server.csr newreq.pem
./CA.sh -sign
mv newcert.pem server.crt
或者上面三步都不需要，直接使用下面一步
openssl ca -in server.csr -out server.crt
更多openssl ca 命令请见
第三步、配置服务器：
cp server.crt ssl/server.crt
cp server.key ssl/server.key
cp demoCA/cacert.pem ssl/ca.crt
cp -r ssl /alidata/server/httpd/conf/
编辑/alidata/server/httpd/conf/extra/httpd-ssl.conf文件，找到SSLCertificateFile、SSLCertificateKeyFile、SSLCACertificatePath、SSLCACertificateFile进行修改
# 指定服务器证书位置
SSLCertificateFile &/alidata/server/httpd/conf/ssl/server.crt&
# 指定服务器证书key位置
SSLCertificateKeyFile &/alidata/server/httpd/conf/ssl/server.key&
# 证书目录
SSLCACertificatePath &/alidata/server/httpd/conf/ssl&
# 根证书位置
SSLCACertificateFile &/alidata/server/httpd/conf/ssl/ca.crt&
修改vhost配置vim
/alidata/server/httpd/conf/vhosts/phpwind.conf
&VirtualHost *:443&
SSLCertificateFile
/alidata/server/httpd/conf/ssl/server.crt
SSLCertificateKeyFile /alidata/server/httpd/conf/ssl/server.key
SSLCACertificatePath /alidata/server/httpd/conf/ssl
SSLCACertificateFile /alidata/server/httpd/conf/ssl/ca.crt
ServerName 182.92.5.161
DocumentRoot /alidata/www
&/VirtualHost&
最后，咱们重启Apache服务器，在浏览器输入链接查看是否配置成功。可以在浏览器上查看证书信息，与第二步不同之处在于此时的证书有两个。
最后，与Mac和寻常Linux系统一些区别
一、与MAC的几点不同
1、首先安装openssl，参考我的&
2、Mac上对应的Openssl的路径是/System/Library/OpenSSL/&
3、Mac上对应的Apache的路径是/etc/apache2/&
4、Mac上重启服务器使用/usr/sbin/apachectl
restart，阿里云服务器使用/etc/init.d/httpd
restart或者service
httpd restart&
5、Mac上vhost配置的路径是/etc/apache2/extra/httpd-vhosts.conf
二、与寻常Linux系统的不同
主要借鉴这篇文章&
1、linux上Apache的路径是/usr/local/apache&
2、linux上vhost配置的路径是/usr/local/apache/conf/extra/httpd_vhosts.conf
1、对HTTPS的理解&
它的基本原理是服务器拥有一个私钥，客户端拥有公钥，当然它们是使用证书管理的。每次通信它们通过证书进行身份认证。身份认证之后客户端发送一个“对话密钥”给服务器。传输“对话密钥”时，客户端公钥通过不对称加密算法进行加密了的，只有服务器才能解密。然后双方使用这个&对话密钥&对内容进行对称加密，双方之间传输内容。
2、对openssl、SSL/TLS的相关理解&
openssl是一套工具，它是一个开源库，可以对相关内容进行加密和解密，也可以生成证书并且进行数字签名。它创建的x509证书有PEM和DER两种编码，而且它们还可以导出p12文件。它使用的加密算法有对称加密，也有不对称加密。
3、HTTPS相关理论知识博客，值得细读&
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：283141次
积分：7424
积分：7424
排名：第2460名
原创：447篇
转载：205篇
评论：28条
(10)(29)(20)(15)(26)(35)(12)(41)(7)(17)(4)(9)(5)(5)(18)(9)(4)(2)(9)(9)(31)(34)(17)(42)(44)(12)(2)(15)(15)(30)(46)(18)(17)(1)(2)(29)(4)(7)