金鱼哥RHCA回忆录:RH358配置Web服务器--使用 Apache HTTPD 配置 HTTPS

金鱼哥 发表于 2022/05/07 10:24:31 2022/05/07
【摘要】 第八章 配置Web服务器--使用 Apache HTTPD 配置 HTTPS

介绍Https和证书如何配置实现Https访问。

🎹 个人简介:大家好,我是 金鱼哥,CSDN运维领域新星创作者,华为云·云享专家
📚个人资质:CCNA、HCNP、CSNA(网络分析师),软考初级、中级网络工程师、RHCSA、RHCE、RHCA、RHCI、ITIL😜
💬格言:努力不一定成功,但要想成功就必须努力🔥


1. 描述 TLS 协议:

  • TLS (Transport Layer Security)是HTTPS协议中用来保护web流量的真实性、保密性和完整性免遭攻击的协议。

  • TLS使用公钥加密建立安全的TLS会话。一个密钥能加密的,只有它匹配的密钥才能解密。

  • 每个服务器都必须安装TLS证书。该证书包含关于该证书属于哪个服务器、过期时间以及密钥对的一半的信息;公共密钥。它还由证书颁发机构**(CA)进行数字签名**,该签名可用于验证服务器证书的真实性。服务器还必须安装与证书的公钥相匹配的私钥

  • 当客户端连接到服务器并请求TLS会话时,它们执行一次初始握手,以就双方都可以支持的一组加密密码达成一致。服务器提供客户端客户机使用证书中的信息和CA的签名对其进行验证。然后客户端使用公钥与服务器进行安全通信,并使用它建立一个更快的会话密钥,该会话密钥可用于快速加密和解密数据,然后用于实际的安全会话。


2. 获取服务器证书

要获得新的服务器证书,通常需要创建一个未签名的证书签名请求(CSR)和匹配的私钥。然后,您需要向用户信任的CA提供该CSR,让用户满意地验证您控制该服务器,并安排他们签署CSR,将其转换为有效的证书。有许多商业ca对这种服务收费。Web浏览器通常预先配置为信任商业ca的签名。

出于测试目的,可以创建自签名证书。这是一个包含身份信息和公钥的证书,但它是由自己的私钥签名的。它可以用来建立加密的TLS连接,但是客户端将不能正确地验证证书,他们可能会拒绝连接到使用它们的站点,并显示其他错误和警告消息。


创建证书签名请求

可以使用Ansible生成私钥和匹配的CSR或匹配的自签名证书。您还可以使用openssl包中的工具来检查这些文件,并作为生成它们的另一种方法。

openssl_privatekey 模块用于创建 TLS 私钥,使用以下两种算法:RSA 或 ECDSA

RSA 支持更广泛,密钥较大,且较旧。

ECDSA 密钥较小并提供相似的安全性,较旧的 web 浏览器可能不支持。

为了安全起见,web服务器的私钥通常保存在/etc/pki/tls/private中,您应该确保它们只有根用户可读,并且具有SELinux类型cert_t。

下例创建 2048 位 RSA 私钥和 256 位 ECDSA:

- name: Make sure a RSA private key was generated
  openssl_privatekey:
path: /etc/pki/tls/private/ansible.rsa.key

- name: Make sure an ECDSA private key was generated
  openssl_privatekey:
    path: /etc/pki/tls/private/ansible.ecdsa.key
    type: ECC
    curve: secp256r1

生成私钥后,可使用 openssl_csr 模块来创建证书签名请求:

- name: CSR exists and is correct
  openssl_csr:
    path: /root/ansible.csr
    privatekey_path: /etc/pki/tls/private/ansible.key
    subject_alt_name: "DNS:demo.example.com,DNS:www.example.com"
    common_name: demo.example.com
    C: US
    ST: North Carolina
    L: Raleigh
    O: Example, Inc.
    backup: yes

- subject_alt_name 是⼀个逗号分隔的列表,列出虚拟主机的 ServerName 及其所有 ServerAlias 名称,名称以 DNS: 开头,表示它们是 DNS 名称。也可以使用 IP:172.25.0.10 指定 IP 地址

- 其他字段 C、ST、L 和 O 键代表所在国家/地区(双字符 ISO3166 格式)、州或省、所在地(城市)和组织

- common_name 是证书所属服务器的名称

可以使用以下命令检查CSR的内容:

[root@host ~]# openssl req -in ansible.csr -noout -text

当生成CSR并将其提交给CA进行签名时,不应该向CA提供您的私钥副本。当CA签署了你的CSR后,他们会给你一个完成的服务器证书,你可以把它安装到你的web服务器上。

还可以使用openssl_certificate Ansible模块创建一个用于测试的自签名证书。

- name: Make sure self-signed certificate is correct
  openssl_certificate:
    path: /etc/pki/tls/certs/ansible.crt
    privatekey_path: /etc/pki/tls/private/ansible.key
    csr_path: /root/ansible.csr
    provider: selfsigned
    selfsigned_not_after: +90d

selfsigned_not_after: +90d变量和值表示该证书在签署后90天内有效

注意:自签名证书需要使用自己的私钥来进行自签名。这与 CA所做的操作不同。证书颁发机构使用自己的私钥对用户的证书进行签名,不需要也不应为其提供私钥

可以用下面的命令检查这个TLS证书:

[root@host ~]# openssl x509 -in ansible.crt -noout -text

注意:为您的网站获得TLS证书的一种方法是使用非营利的LetsEncrypt CA服务。LetsEncrypt基于您控制DNS域或特定web服务器的证明来验证您的身份,并颁发短期TLS证书。


3. 配置基于 TLS 虚拟主机

Apache HTTP Server需要安装一个扩展模块来激活TLS支持。在Red Hat Enterprise Linux 8上,可以使用mod_ssl包安装该模块。

[root@host ~]# yum install mod_ssl

这个包自动启用httpd,默认虚拟主机监听端口443/TCP。这个默认的虚拟主机配置在/etc/httpd/conf.d/ssl.conf中。

使用TLS的虚拟主机与常规虚拟主机的配置方式相同,只是有一些附加参数。

<VirtualHost *:443>
  ServerName demo.example.com
  SSLEngine on    # 为虚拟主机启用 TLS
  SSLCertificateFile /etc/pki/tls/certs/demo.example.com.crt        #指定虚拟主机的证书的位置
  SSLCertificateKeyFile /etc/pki/tls/private/demo.example.com.key  #指定虚拟主机的私钥的位置
</VirtualHost>

这个例子缺少一些重要的指令,比如DocumentRoot,但是这些设置是从主配置继承的。

有许多设置可用来优化启用tls的虚拟主机的行为。它们可能控制TLS协议的版本以及支持什么会话加密协议。更详细的虚拟主机块如下所示:

<VirtualHost _default_:443>
  ErrorLog logs/ssl_error_log
  TransferLog logs/ssl_access_log
  LogLevel warn
  SSLEngine on
  SSLProtocol all -SSLv2 -SSLv3
# 指定httpd可以用来与客户端通信的协议列表。您至少应该禁用已知安全问题的SSLV2和SSLV3。
  SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
# 列出httpd在与客户端通信时可以使用的加密密码。密码的选择会严重影响性能和安全性。
  SSLHonorCipherOrder on
# 确保服务器选择ssLciphersuite列表中前面出现的密码。因此,应该首先列出最安全的密码。
  SSLCertificateFile /etc/pki/tls/certs/localhost.crt
  SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
  CustomLog logs/ssl_request_log \
           "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>

4. 将HTTP客户端重定向到HTTPS站点

通常,当HTTPS站点可用时,用户使用HTTP连接到一个网站。这不必要地降低了连接的安全性。

如果你关闭了站点的HTTP版本,这将提高安全性,但这样HTTP用户将无法连接到你的站点。一种更复杂的方法是使用HTTPS自动将任何通过HTTP连接到同一资源的客户机重定向。

要设置这些重定向,请为与TLS保护的虚拟主机相同的ServerName和serverAlias配置一个HTTP虚拟主机。得到的虚拟主机可能看起来像这样:

<VirtualHost *:80>
  ServerName www.lab.example.com
  Redirect "/" "https://www.lab.example.com"
</VirtualHost>

<VirtualHost *:443>
  ServerName www.lab.example.com
  SSLEngine On
  SSLProtocol all -SSLv2 -SSLv3
  SSLCipherSuite HIGH:MEDIUM:!aNull:!MD5
  SSLHonorCipherOrder on
  SSLCertificateFile /etc/pki/tls/certs/www.lab.example.com.crt
  SSLCertificateKeyFile /etc/pki/tls/private/www.lab.example.com.key
  DocumentRoot /srv/www/www.lab.example.com
</VirtualHost>

5. 课本练习

[student@workstation ~]$ lab web-https start


1. 同时安装httpd和mod_ssl包。

[root@servera ~]# yum -y install httpd mod_ssl

2. 创建内容目录,识别内容和适当的SELinux上下文。

[root@servera ~]# mkdir -p /srv/{www-a,servera}/www
[root@servera ~]# echo 'www-a' > /srv/www-a/www/index.html
[root@servera ~]# echo 'servera' > /srv/servera/www/index.html

[root@servera ~]# restorecon -Rv /srv/

3. 配置SSL虚拟主机

[root@servera ~]# vim /etc/httpd/conf.d/www-a.conf
<VirtualHost *:80>
ServerName www-a.lab.example.com
Redirect "/" "https://www-a.lab.example.com"
</VirtualHost>

<VirtualHost *:443>
  ServerName www-a.lab.example.com
  SSLEngine On
  SSLProtocol all -SSLv2 -SSLv3
  SSLCipherSuite HIGH:MEDIUM:!aNull:!MD5
  SSLHonorCipherOrder on
  SSLCertificateFile /etc/pki/tls/certs/www-a.lab.example.com.crt
  SSLCertificateKeyFile /etc/pki/tls/private/www-a.lab.example.com.key
  SSLCertificateChainFile /etc/pki/tls/certs/cacert.crt
  DocumentRoot /srv/www-a/www
</VirtualHost>

<Directory /srv/www-a/www>
  Require all granted
</Directory>

[root@servera ~]# cp /etc/httpd/conf.d/{www-a,servera}.conf
[root@servera ~]# sed -i 's/www-a/servera/g' /etc/httpd/conf.d/servera.conf

4. 复制已配置好的证书

[root@servera ~]# cd /etc/pki/tls/certs
[root@servera certs]# scp workstation:/home/student/www-a.lab.example.com.crt ./
root@workstation's password: redhat
[root@servera certs]# scp workstation:/home/student/servera.lab.example.com.crt ./
root@workstation's password:redhat
[root@servera certs]# scp workstation:/home/student/cacert.crt ./
root@workstation's password:redhat

[root@servera certs]# cd /etc/pki/tls/private
[root@servera private]# scp workstation:/home/student/www-a.lab.example.com.key ./
root@workstation's password: redhat
[root@servera private]# scp workstation:/home/student/servera.lab.example.com.key ./
root@workstation's password:redhat

5. 启动并启用httpd服务并打开相应的防火墙端口。

[root@servera ~]# systemctl enable --now httpd
[root@servera ~]# firewall-cmd --permanent --add-service=http --add-service=https
[root@servera ~]# firewall-cmd --reload

完成实验

[student@workstation ~]$ lab web-https finish


总结

  • 描述TLS协议。
  • 配置证书实现Https。
  • 将HTTP客户端重定向到HTTPS。

RHCA认证需要经历5门的学习与考试,还是需要花不少时间去学习与备考的,好好加油,可以噶🤪。

以上就是【金鱼哥】对 第八章 配置Web服务器–使用 Apache HTTPD 配置 HTTPS 的简述和讲解。希望能对看到此文章的小伙伴有所帮助。

💾红帽认证专栏系列:
RHCSA专栏:戏说 RHCSA 认证
RHCE专栏:戏说 RHCE 认证
此文章收录在RHCA专栏:RHCA 回忆录

如果这篇【文章】有帮助到你,希望可以给【金鱼哥】点个赞👍,创作不易,相比官方的陈述,我更喜欢用【通俗易懂】的文笔去讲解每一个知识点。

如果有对【运维技术】感兴趣,也欢迎关注❤️❤️❤️ 【金鱼哥】❤️❤️❤️,我将会给你带来巨大的【收获与惊喜】💕💕!

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区),文章链接,文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。