如何搭建HTTPHTTPS服务

1.

安装http程序,配置站点

# yum install -y httpd

# vim/etc/httpd/conf/httpd.conf

2.

为服务器申请数字证书；

(1)CA服务器端：创建私有证书颁发机构

~]# cd /etc/pki/CA

~]#(umask 077openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

~]#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out/etc/pki/CA/cacert.pem -days 3655

~]#mkdir -pv /etc/pki/CA/{certs,crl,newcerts}

~]#touch /etc/pki/CA/{serial,index.txt}

~]#echo 01 >/etc/pki/CA/serial

(2)https服务器端：发起创建证书请求

~]# mkdir /etc/httpd/ssl

~]# cd /etc/httpd/ssl

~]#(umask 077openssl genrsa -out /etc/httpd/ssl/https.key 2048)

~]#openssl req -new -key /etc/httpd/ssl/https.key -out /etc/httpd/ssl/https.csr -days 365

(3)将https服务器的请求生成文件发送给CA进行签署操作

~]# scp … …/tmp

~]# openssl ca -in/tmp/https.csr -out /etc/pki/CA/certs/https.crt -days 365

(4)将签署后的证书返回给https服务器即可使用

~]# scp … …

3.

配置httpd支持使用ssl，及使用的证书；

(1)安装并查看mod_ssl模块

[root@localhost~]# yum -y install mod_ssl

[root@localhost~]# rpm -ql mod_ssl

[root@localhost~]# httpd -M | grep ssl

4.

修改配置文件：/etc/httpd/conf.d/ssl.conf

[root@localhost ~]# vim /etc/httpd/conf.d/ssl.conf修改部分配置

DocumentRoot

定义默认虚拟主机的文档页面

ServerName

定义默认虚拟主机的服务名

SSLCertificateFile

定义证书文件路径

SSLCertificateKeyFile

定义私钥文件

注释：

1)/etc/httpd/conf.d/ssl.conf中定义启动mod_ssl.so模块，且定义监听端口

5.<VirtualHost _default_:443>定义默认虚拟主机，当根据FQDN请求有多个站点的主机，均未找到时候会返回默认主机定义的页面。

6.

测试基于https访问相应的主机；

# openssls_client [-connect host:port] [-cert filename] [-CApath directory] [-CAfilefilename]

openssl s_client-connect172.16.249.209:443

伴随互联网的快速发展，网站建设的成本越来越低，大家对网站建设等需求越来越多。网站架设服务器之后，互联网数据能够更好的存放，确保网站的运营效率与正常运作。服务器作为互联网数据中心，是重要的硬件设备。通常情况下，大家通过租用和托管形式，搭建起独立的服务器。服务器一般存放在内地、香港、美国等地区，对于一般人来说花费较高，性价比较低。国内服务器都需要备案，具体审核流程非常严格，大约需要一个月时间。下面介绍一下在线搭建服务器的步骤！

一、通过渠道购买服务器，设置系统环境

大家通过阿里云、腾讯云等渠道购买服务器，选择价格合适的，签订服务器合同之后，开始配置系统环境。登录服务器，打开Kiwivm控制面板，支持远程SSH登录。为了运行安全，限制IP，那些允许的IP才能访问服务器，输入控制命令，然后配置JAVA与MYSQL。

二、获取域名

目前，免费域名有很多，大家申请免费域名，先注册用户，在选择域名即可。域名解析，让网站服务器与域名绑定，设定好DNS解析。

三、完成CA认证

如今，互联网渗透到我们生活的方方面面，大家注重日常隐私与安全，在网站购物与游戏时，万分小心，以免个人地址、电话等隐私泄露。网站搭建好服务器、域名之后，需要完成SSL认证，实现HTTP加密协议，免费申请DV证书等，从而完善整体的布局。其实，域名验证包括三部分，第一步下载文件、上传到服务器的指定目录下，完成验证，第二步上传域名验证文件到主机，第三步下载免费的SSL。经过以上步骤，网站搭建完毕！

数网站的URL都是以HTTP开头，HTTP协议我们比较熟悉，信息通过明文传输，与服务器间传输数据更快速准确，但是HTTP明显是不安全的。

当我们在使用邮件或者是在线支付时，都是使用HTTPS。HTTPS传输数据需要使用证书并对进行传输的信息进行了加密处理，相对HTTP更安全。

一、生成根证书

生成根证书应该有许多种：

1、如果操作系统是server，可以搭建CA服务器

参考文章：《搭建CA服务器》

我搭建了，但因为刚开始的时候思路没有整理清晰，乱试一气，没有试成功。但现在想起来，应该也可以的

用makecert.exe

这是微软为WIN7或以前的操作系统准备的证书生成工具，挺好用的。现在WIN10和win2016 server之后用的是一个叫：New-SelfSignedCertificate 的工具，在power shell里面运行的命令。

itisscg.exe

这是一个用.NET开发的证书生成工具，图形界面。这个工具小巧玲珑，只有200多K，需要.NET4.6的支持

客户端导入根证书

将根证书文件拷贝到客户端机器，在“本机”的“受信任的根证书颁发机构” 里导入即可。

完成以上3个步骤，已经大功告成。但是，开发阶段，一个网站往往需要多张证书：

网站多张证书

依我看，开发过程中，一个网站往往有两张以上的证书。为什么这么说呢？我们开发的时候，访问本机的网站，一般都用localhost，而别人访问我们，肯定要用IP。虽然证书里的subject alternative name 支持多个域名和IP，但如果是localhost与IP混在一起的话，谷歌浏览器支持，IE又不干了，它会警告说这张证书是颁布给别的网站的。所以localhost要与IP分开成两张证书。

---