Openssl是SSL的开源实现(可以免费下载应用程序),是一种安全机密程序,主要用于提高远程登录访问的安全性。也是目前加密算法所使用的工具之一,功能很强大。 Openssl为网络通信提供安全及数据完整性的一种安全协议,包括了主要的密码算法、常用的密钥和证书封装管理功能(CA)以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用,例如我们将会使用Openssl实现私有CA,香港虚拟主机,并实现证书颁发。
SSL:(Secure Socket Layer)安全套接字层,通过一种机制在互联网上提供密钥传输。其主要目标是保证两个应用间通信数据的保密性和可靠性,可在服务器端和用户端同时支持的一种加密算法。目前主流版本SSLV2、SSLV3(常用)。下面通过此图来了解如何实现SSL功能,在介绍之前,我们来说说SSL提供哪些功能:
解说SSL会话过程:
那如何通过Openssl构建私有CA呢,在配置之前我们来介绍下关于Openssl的基本使用:
构建基于Openssl创建私有CA,并完成SSL/TLS机密机制:配置环境:三台虚拟机172.16.88.1/16)CA证书颁发机构并提供HTTP功能–Linux测试端(192.168.0.203/24)–Windows xpSeq1:在CA证书颁发机构,使用Openssl生成一对密钥(私钥和公钥)
Seq2: 编辑Openssl主配置文件:# vim /etc/pki/tls/openssl.conf
Seq3:下面就开始为CA自身,签署证书:
Seq4:为CA准备目录及文件
Seq5:配置安装HTTP服务及安装mod_ssl模块提供TLS/SSL功能
Seq6:进行简单的测试:
nniiijj:
ok!!HTTP服务正常工作。Seq7:为HTTP服务器端配置密钥并向CA发送证书颁发请求
Seq8:CA为HTTP服务颁发数字证书:
Seq9:查看CA的颁发的证书信息:
Seq10:配置SSL的主配置文件(/etc/httpd/conf.d/ssl.conf)
Seq11:启动httpd服务,虚拟主机,并查看相应的443端口是否属于正常打开状态# service httpd restart ##重新读取配置文件
Seq12:将CA的公钥信息下载到windows 客户端并重命名为cacert.crt,并安装此证书然后测试。
然后使用https://www.example.com是否可以正常访问:
本文出自 “See you next year CA” 博客,请务必保留此出处
,免备案空间积极的人在每一次忧患中都看到一个机会,
