Apache 部署SSL数字证书及安全性设置

在旅途 2019-06-27

原文阅读:Apache 部署SSL数字证书及安全性设置

Apache 部署SSL数字证书及安全性设置

Apache作为最常见的一种Web服务器,其普及度、易用性及稳定性都非常高,Apache也可以部署基于HTTPS的安全Web服务器,本文介绍如何在Apache上部署签发的SSL数字证书。

一、准备材料

1. CSR证书请求文件和私钥文件

私钥通常是在准备CSR证书请求文件时生成,使用openSSL生成存在CSR文件的同级目录中 - 生成CSR证书请求文件 ,使用在线工具会将随机生成的私钥+CSR发送到邮箱中,使用IIS生成CSR要求在完成证书请求后提取私钥 - SSL/TLS多种证书类型的转换。将CSR提交给infiniSign申请证书,将私钥自行妥善保管。

2. 签发证书

签发证书也就是经过CA验证过域名或者企业信息后所签发的域名证书,例如Web服务器会使用 www.yourdomain.com 作为主要网站,那么该证书验证的域名就是 www.yourdomain.com ,通过CA签发的证书需要购买数字证书,最低¥39/年的Comodo PositiveSSL就是一款的入门级SSL数字证书,立即前往购买

3. 证书链

一个完整的证书链应该由证书 + 中级证书A + 中级证书B + ... +根证书构成,所以通常,由CA签发的证书压缩包中会有1个或者多个中级证书,另外多家CA的中级证书在官网上有下载,关于合并中级证书请参考:SSL证书链不完整导致浏览器不受信任

二、安装部署

1. 单主机

将第一部的私钥 server.key、证书 server.crt、证书链 server-chain.crt 三个文件放入服务器中任意目录,编辑/etc/httpd/conf.d/ssl.conf文件,配置以下代码(自行修改路径)

# 签发证书
SSLCertificateFile /etc/pki/tls/certs/server.crt
# 私钥
SSLCertificateKeyFile /etc/pki/tls/private/server.key
# 合并后的证书链
SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt

保存后重启httpd服务,使SSL配置生效

2. 多个虚拟主机

和Apache的80端口的Web虚拟主机配置类似,将三个文件放入指定目录后,编辑/etc/httpd/conf.d/ssl.conf文件,配置以下代码(自行修改路径)

<VirtualHost *:443>
    SSLEngine on
    SSLCertificateFile /etc/pki/tls/certs/server.crt
    SSLCertificateKeyFile /etc/pki/tls/private/server.key
    SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt
    <Directory /var/www/html/subhost>
        AllowOverride All
    </Directory>
    ServerAdmin [[email protected]](mailto:[email protected])
    DocumentRoot /var/www/html/subhost
    ServerName www.yourdomain.com
</VirtualHost>

3. 安全性配置

关闭SSLv2和SSLv3的安全漏洞

目前已知的SSLv2和SSLv3安全漏洞需要关闭,可使用在线工具检查服务器部署中的SSLv2和SSLv3是否关闭,关闭方法如下:

Apache 2.2.22以前版本:SSLProtocol TLSv1
Apache 2.2.23及以后版本:SSLProtocol ALL -SSLv2 -SSLv3
Apache + mod_nss:NSSProtocol TLSv1.0,TLSv1.1

配置加密套件

推荐的简单配置(满足苹果ATS对SSL/TLS的安全检测要求

SSLCipherSuite ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;

兼容性配置

SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLHonorCipherOrder on

4. 注意事项

  • XP不支持SNI单服务器多虚拟主机下证书部署
  • 中级证书通常会在签发证书的邮件中提供
  • 以上配置/etc/httpd/conf.d/ssl.conf中可以配置为全局,也可以在虚拟主机中配置

参考文章:

https://blog.longwin.com.tw/2014/11/apache2-nginx-disabled-sslv2-sslv3-2014/

在旅途

在旅途

相关推荐

数字证书、签名到底是什么?这篇文章讲得太好了

大家好,我是明哥。前段时间整理了关于数字证书和数字签名的一些内容,今天整理一下发出来。因此当你访问一个支持 https 的网站时,是需要先进行 SSL/TLS 握手建立连接的。SSL/TLS 握手的目的是为了 安全 地协商出一份对称加密的密钥,有了这个密钥

WalkMoreSlowly / 0评论 2020-10-18

HTTPS的由来详述,数字证书实现HTTPS

最近看过几篇文章,内容是关于“全民HTTPS”的。为什么HTTPS,突然会受到如此多业内人士的青睐呢?它与HTTP又有怎样的区别呢?带着这个问题,我查看了很多网上的资料,但是太多的专业词汇,让我感到头疼,很难理解。所以,我又耐着性子,参照翟志军的《也许,这

kenson / 0评论 2020-06-12

数字签名和数字证书

  对要传输的内容,使用私钥加密的话,则只能用公钥解密。比较典型的有RSA加密,算法安全性依赖于:大素数难以分解。因此其算法复杂度比较大,加解密效率相对来说不高。  3. A收到B的回复,使用公钥PuB对内容进行解密,得到明文,然后验证数字签名以及数据的完

Happyunlimited / 0评论 2019-12-09

SSH-利用数字证书登录Ubuntu

首先, 有2种不同的路径.可以用Ubuntu服务器上的OpenSSH生成一对Public和Private的Key, 也可以用Windows上的Putty生成. 本质也没什么区别,都是服务器上放Public Key, 客户端放Private的key. 下面假

LiHansiyuan / 0评论 2009-12-14

SSL 与 数字证书 的基本概念和工作原理(转)

SSL是让人头大的东西,看起来很复杂,我学过信息安全课,但是对SSL仍然是模糊一片。对于数字证书也是一知半解,从来没有去认真研究过。其实这些跟操作系统,计算机体系结构一样,是基础知识,即使你不是专门研究信息安全的,即使你平时用不到,这些东西也应该是必须了解

fzxhsaj / 0评论 2015-04-08

win8.1系统总是安装不上支付宝数字证书的解决方法图文教程

  现如今网上购物已经成为一种潮流,不出门就可以买到任何东西,如果要在淘宝网上购物,必须安装支付宝数字证书,不然无法完成支付,可是一些用户说在win8.1系统中总是安装不上支付宝数字证书,怎么办呢?大家先不要着急,大家只要参考下文教程设置,即可轻松安装上支

laoyiss / 0评论 2016-12-28

win10系统无法安装支付宝数字证书故障原因及解决方法

正常登录进支付宝,会提示你不支持当前环境。其实是支付宝的 BUG,我们换个地方安装就可以搞定了。最好别用新版的Chrome,用32位的IE或者360浏览器等。故障原因分析二:一般常规浏览器都可以装,如果还是装不了,那建议用32位IE浏览器。

83206837 / 0评论 2016-05-26

数字证书及安全加密(二)tomcat单向SSL验证及服务调用

本篇博文内容包括:tomcat单/双向SSL验证配置及使用java程序访问https服务。创建了别名为server的证书,文件名为server.keystore,密码为server,密钥算法为RSA。生成时需要输入多项证书信息,因不影响本次时间测试,不在此

80467809 / 0评论 2014-01-04

Win7系统下支付宝和数字证书不能正常安装该如何设置

随着现在网络科技的发达,在电脑上网上购物和使用支付宝在线支付已经是很流行的事情了,不过有很多人在装了win7系统之后却发现支付宝的数字证书总是不能正常安装,出现这样问题是因为win7系统的安全性上面有了很大的提高,那么要如何解决呢?现在就随win7之家小编

yangmin / 0评论 2014-09-27

数字签名与数字证书技术简介 .

数字签名、数字证书等技术,是现代信息安全的核心技术,可谓使用面十分广泛。其基本理论本身并不复杂,本文希望通过深入浅出的介绍,能够让大家有一些基本了解。现在假设Alice要给Bob发送一份文件,文件内容非常机密。Alice不希望文件在发送的过程中被人截取而泄

gcttong00 / 0评论 2014-05-20

ca认证过程

CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。。如果用户想得到一份属于自己的证书,他应先向CA提出申请。在CA判明申请者的身份后,便为他分配一个公

闫新宇 / 0评论 2011-12-09

CA认证简单介绍和工作流程 博客分类: 企业应用

工作算法数据结构.CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。。如果用户想得到一份属于自己的证书,他应先

tuonioooo / 0评论 2011-10-08

SSL协议与数字证书原理

SSL在TCP之上建立了一个加密通道,通过这一层的数据经过了加密,因此达到保密的效果。SSL缺省只进行server端的认证,客户端的认证是可选的。3.Client在收到这个消息后会生成一个秘密消息,用SSL服务器的公钥加密后传过去。4.SSL服务器端用自己

ahahage / 0评论 2012-02-04

CA认证简单介绍和工作流程

CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。。如果用户想得到一份属于自己的证书,他应先向CA提出申请。在CA判明申请者的身份后,便为他分配一个公

微分 / 0评论 2010-08-10

网上银行安全证书工作原理

数字证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的数据文件。认证中心的数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户的数字签名可以保证数字信息的不可否认性。  公开密钥体系解决了密钥发布的管理问题,

MaQing / 0评论 2010-07-30

SSL协议与数字证书原理

SSL在TCP之上建立了一个加密通道,通过这一层的数据经过了加密,因此达到保密的效果。SSL缺省只进行server端的认证,客户端的认证是可选的。2.SSL的服务器端会回应一个Serverh*llo,这里面确定了这次通信所需要的算法,然后发过去自己的证书。

scuyxi / 0评论 2012-08-04

SSL 与 数字证书 的基本概念和工作原理(转)

SSL是让人头大的东西,看起来很复杂,我学过信息安全课,但是对SSL仍然是模糊一片。对于数字证书也是一知半解,从来没有去认真研究过。其实这些跟操作系统,计算机体系结构一样,是基础知识,即使你不是专门研究信息安全的,即使你平时用不到,这些东西也应该是必须了解

fzxhsaj / 0评论 2015-04-08

NginX下Openssl的构建和部署数字证书,支持HTTPS

./config --prefix=/usr/local/openssl #这个地方很特别,是config 不是configure哦。openssl req -nodes -newkey rsa:1024 -out myreq.pem -keyout p

houjinkai / 0评论 2019-06-26

对称加密、非对称加密、数字签名、数字证书、SSL是什么

首先说一下,本文不是原创,而且文字较多,如果以前你根本就没有听说过这些名词,我建议你不要看这个,因为看了也是看不懂,不如找一下阮一峰的博客,他采用类比法来讲解这些名词,更加容易懂,这不是开玩笑的。如果加密和解密使用的是同一个密钥,那么这就 是“对称密钥加解

郭岚 / 0评论 2019-06-26

数字证书原理

在公开密钥密码体制中,常用的一种是RSA体制。公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。4.难以对指定的摘要生成一个报文,而由该报文可以算出该指定的摘要;

wangxiaohua / 0评论 2010-07-21

怎么利用数字证书完成身份验证、客户和服务器端的加密和解密。

希望能得到你们的帮助。现在的想法,是利用数字证书来完成用户的身份验证,此用户是不是我们信任的用户。服务器端模拟CA。我的思路是,先在信任的用户端发放一个唯一标识的数字证书。还有在服务器端利用一个根证书来签名的话,生成的数字证书都是trustedCertEn

musicman / 0评论 2007-01-24

ionic 签名

给apk签名一共要用到3个工具,或者说3个命令,分别是:keytool、jarsigner和zipalign,下面是对这3个工具的简单介绍:。1)keytool:生成数字证书,即密钥,也就是上面说到的扩展名为.keystore的那类文件;2)jarsign

琪凡睿 / 0评论 2016-11-18

在Eclipse中对Android应用签名

大部分时候,开发者会直接在Eclipse中对Android应用签名,在Eclipse中对Android应用签名的步骤如下。②如果系统中开没有数字证书,可以再窗口中选中"Createnewkeystore"单选按钮,并按格式填写数字证书的

yinsui / 0评论 2014-09-09

签名详解

Android使用Java的数字证书相关的机制 来给apk加盖数字证书,要理解android的数字证书,需要先了解以下数字证书的概念和java的数字证书机制。Android系统要求每一个安装进系统的应用程序都是经过数字证书签名的,数字证书的私钥则保存在程序

wuleihenbang / 0评论 2013-01-11

android 签名

Android使用Java的数字证书相关的机制 来给apk加盖数字证书,要理解android的数字证书,需要先了解以下数字证书的概念和java的数字证书机制。Android系统要求每一个安装进系统的应用程序都是经过数字证书签名的,数字证书的私钥则保存在程序

leafact / 0评论 2012-10-18

android签名

Android使用Java的数字证书相关的机制来 给apk加盖数字证书,要理解android的数字证书,需要先了解以下数字证书的概念和java的数字证书机制。Android系统要求每一个安装进系 统的应用程序都是经过数字证书签名的,数字证书的私钥则保存在程

WYHHealer / 0评论 2012-07-29

支付宝数字证书怎么删除?数字证书卸载方法教程

支付宝数字证书是保护资金安全的利器,支付宝规定:一旦安装数字证书后,只能在已经安装数字证书的电脑上进行支付操作,换到一台陌生电脑后需要重新安装数字证书才能支付。下面小编就为大家介绍支付宝数字证书删除卸载方法,希望能对大家有所帮助!删除成功后你将在步骤三中看

zbllilac / 0评论 2015-03-08

你了解SSL数字证书吗?

SSL 证书就是遵守 SSL 安全套接层协议的服务器数字证书。由于此协议很好地解决了互联网明文传输的不安全问题,很快得到了业界的支持,并已经成为国际标准。SSL 证书由浏览器中“受信任的根证书颁发机构”在验证服务器身份后颁发,具有网站身份验证和加密传输双重

yanghj00 / 0评论 2018-06-09

Linux 内核 4.3.2 维护版修复了 X.509 数字证书 BUG

仅仅在 linux 的第一个 4.3 内核维护版本更新后一天,著名的内核维护者 Greg Kroah-Hartman 就 公布了关于 4.3.2 维护版本的的详细信息。根据他发布的公告,Linux 内核 4.3.2 版本修复了 X.509 证书的数字验证

Pipcie / 0评论 2015-12-13

黑客窃取 Opera 签名的数字证书

挪威浏览器开发商Opera证实内网遭黑客入侵, 它是在6月19日探测到攻击。目前没有证据显示用户数据泄漏,但攻击者窃取了Opera 代码签名证书,然后用于签名恶意程序,使之伪装成Opera发行的软件。Opera警告,在6月19日UTC时间 01.00 到0

leveretz / 0评论 2013-06-28

轻松学会Linux系统下的中文数字证书制做

  数字证书采用PKI公开密钥基础架构技术,利用一对互相匹配的密钥进行加密和解密。但在内部系统应用中,不需要专门CA的认证证书,可自己建立认证服务器。可以用Windows 2003 Server证书颁发机构作为CA,用Java制作中文申请后向Windows

Avril / 0评论 2007-10-12

Android 签名详解

Android使用Java的数字证书相关的机制来 给apk加盖数字证书,要理解android的数字证书,需要先了解以下数字证书的概念和java的数字证书机制。Android系统要求每一个安装进系 统的应用程序都是经过数字证书签名的,数字证书的私钥则保存在程

xiafeixiao / 0评论 2014-07-28

51CTO专栏:李洋谈Android应用程序签名概述

如果只能用一句简单的话语来回答这个问题的话,我会说:“这是Android系统所要求的”。Android系统要求每一个安装到系统的应用程序都是经过数字证书签名的,数字证书的私钥则保存在程序开发者的手中。如果新版程序和旧版程序的数字证书不相同,则Android

wdd / 0评论 2011-11-03

扫码支付新规: 单日限额500元

用户资金被盗刷、手机扫码中毒等二维码支付乱象有望得到遏制。央行日前发布《条码支付业务规范(试行)》,同时配套印发安全技术和受理终端技术两个规范文件,确定于2018年4月1日起实施。《规范》明确,非银行机构提供条码付款服务、条码支付收单等业务应分别取得网络支

vczh的日常 / 0评论 2018-01-01

Tomcat服务器的数字证书 HTTPS 连接!

SUN公司提供了制作证书的工具keytool, 在JDK 1.4以后的版本中都包含了这一工具,它的位置为。keytool -genkey -alias tomcat -keyalg RSA使用keytool生成一个名字为tomcat的证书,存放在.keys

稀土 / 0评论 2017-11-04