next up previous contents
Next: Virtual Host 虛擬主機 Up: Apache 2.4 HTTP Server Previous: *建立 TLS 憑證   Contents

HTTPS 安全網站架設

  1. 安裝 mod_ssl 套件。
    [root@kvm5 ~]# yum install -y mod_ssl
    
  2. 編輯 httpd SSL 模組 mod_ssl 提供的設定檔 /etc/httpd/conf.d/ssl.conf,取消 SSLCertificateChainFile 註解。如果指定的憑證檔檔名想要改成比較好識別的方式,也可一併修改。
    [root@kvm5 ~]# vim /etc/httpd/conf.d/ssl.conf
    [root@kvm5 ~]# egrep '^SSL(Certi|Engine)' /etc/httpd/conf.d/ssl.conf
    SSLEngine on
    SSLCertificateFile /etc/pki/tls/certs/localhost.crt
    SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
    SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt
    
  3. 考試時不用自行產生憑證,請由 http://dywang.csie.cyut.edu.tw/materials/kvm5.crt 下載簽證檔; 請由 http://dywang.csie.cyut.edu.tw/materials/kvm5.key 下載簽證私鑰檔; 請由 http://dywang.csie.cyut.edu.tw/materials/kvm5.pem 下載簽證認證檔。 並分別存成 /etc/httpd/conf.d/ssl.conf 指定的位置及檔名。
    [root@kvm5 ~]# wget http://dywang.csie.cyut.edu.tw/materials/kvm5.crt \
    -O /etc/pki/tls/certs/localhost.crt
    [root@kvm5 ~]# wget http://dywang.csie.cyut.edu.tw/materials/kvm5.key \
    -O /etc/pki/tls/private/localhost.key
    [root@kvm5 ~]# wget http://dywang.csie.cyut.edu.tw/materials/kvm5.pem \
    -O /etc/pki/tls/certs/server-chain.crt
    
  4. 重新啟動 httpd 服務。
    [root@kvm5 ~]# systemctl restart httpd.service
    
  5. 使用 curl 以管理中心憑證 server-chain.crt 成功連線 https://kvm5.deyu.wang。
    [root@kvm5 ~]# curl --cacert /etc/pki/tls/certs/server-chain.crt https://kvm5.deyu.wang/
    web test
    
  6. 切換到 kvm7.deyu.wang 主機測試,先下載管理中心憑證 kvm5.pem。練習時可依指示使用 wget 下載。
    [root@kvm7 ~]# wget http://dywang.csie.cyut.edu.tw/materials/kvm5.pem
    
  7. 使用 curl 以管理中心憑證 kvm5.pem 成功連線 https://kvm5.deyu.wang。如果連線有問題,除了確定 kvm5.deyu.wang 防火牆有開啟 https 服務外,最重要的兩台主機都必須先校時,因為憑證都有設定有效期限,且練習的憑證往往都是最近才產生,只要系統時間不對可能就無法認證。
    [root@kvm7 ~]# curl --cacert kvm5.pem https://kvm5.deyu.wang
    web test
    
  8. 如果要用 firefox 連線,必須先下載網站提供的管理中心憑證,滙入到 firefox。勾選 Trust this CA to identify websites
    Edit → Preferences
    Advanced → Certificates tab
    View Certificates (Authorities) → Import button
    
    Image authorities
  9. google chrome 連線,必須先下載網站提供的管理中心憑證,以下列步驟滙入 chrome。勾選 Trust this certificate for identify websites。
    Settings → Show advanced settings...
    HTTPS/SSL → Manage Certificates...
    Authorities → Import button
    
    Image chromecertificate



2017-11-30