page counter next up previous contents
Next: Virtual Host 虛擬主機 Up: Apache 2.4 HTTP Server Previous: *建立 TLS 憑證   Contents   DYWANG_HOME

HTTPS 安全網站架設

  1. 安裝 mod_ssl 套件。 
    [root@kvm5 ~]# yum install -y mod_ssl
  2. 編輯 httpd SSL 模組 mod_ssl 提供的設定檔 /etc/httpd/conf.d/ssl.conf,取消 SSLCertificateChainFile 註解。如果指定的憑證檔檔名想要改成比較好識別的方式,也可一併修改。 
    [root@kvm5 ~]# vim /etc/httpd/conf.d/ssl.conf
[root@kvm5 ~]# egrep '^SSL(Certi|Engine)' /etc/httpd/conf.d/ssl.conf
SSLEngine on
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt
  3. 考試時不用自行產生憑證,請由 http://dywang.csie.cyut.edu.tw/materials/kvm5.crt 下載簽證檔; 請由 http://dywang.csie.cyut.edu.tw/materials/kvm5.key 下載簽證私鑰檔; 請由 http://dywang.csie.cyut.edu.tw/materials/kvm5.pem 下載簽證認證檔。 並分別存成 /etc/httpd/conf.d/ssl.conf 指定的位置及檔名。 
    [root@kvm5 ~]# wget http://dywang.csie.cyut.edu.tw/materials/kvm5.crt \
-O /etc/pki/tls/certs/localhost.crt
[root@kvm5 ~]# wget http://dywang.csie.cyut.edu.tw/materials/kvm5.key \
-O /etc/pki/tls/private/localhost.key
[root@kvm5 ~]# wget http://dywang.csie.cyut.edu.tw/materials/kvm5.pem \
-O /etc/pki/tls/certs/server-chain.crt
  4. 重新啟動 httpd 服務。 
    [root@kvm5 ~]# systemctl restart httpd.service
  5. 使用 curl 以管理中心憑證 server-chain.crt 成功連線 https://kvm5.deyu.wang。 
    [root@kvm5 ~]# curl --cacert /etc/pki/tls/certs/server-chain.crt https://kvm5.deyu.wang/
web test
  6. 切換到 kvm7.deyu.wang 主機測試,先下載管理中心憑證 kvm5.pem。練習時可依指示使用 wget 下載。 
    [root@kvm7 ~]# wget http://dywang.csie.cyut.edu.tw/materials/kvm5.pem
  7. 使用 curl 以管理中心憑證 kvm5.pem 成功連線 https://kvm5.deyu.wang。如果連線有問題,除了確定 kvm5.deyu.wang 防火牆有開啟 https 服務外,最重要的兩台主機都必須先校時,因為憑證都有設定有效期限,且練習的憑證往往都是最近才產生,只要系統時間不對可能就無法認證。 
    [root@kvm7 ~]# curl --cacert kvm5.pem https://kvm5.deyu.wang
web test
  8. 如果要用 firefox 連線,必須先下載網站提供的管理中心憑證,滙入到 firefox。勾選 Trust this CA to identify websites
    Edit → Preferences
Advanced → Certificates tab
View Certificates (Authorities) → Import button
    Image authorities
  9. google chrome 連線,必須先下載網站提供的管理中心憑證,以下列步驟滙入 chrome。勾選 Trust this certificate for identify websites。 
    Settings → Show advanced settings...
HTTPS/SSL → Manage Certificates...
Authorities → Import button
    Image chromecertificate


De-Yu Wang 2020-05-19