实验十：搭建CA和HTTP站点

搭建CA和HTTPS站点

一、CA（证书颁发机构）
国家：CN
省份：HB
城市：WH
组织名称：LQ
组织单位名称：IT
服务器主机名：ca.maoqi.com
邮箱：root@maoqi.com

1. 开启DNS服务

2. 开启HTTP服务

3. 在DNS服务器上的正向解析数据库中添加ca.maoqi.com的解析内容

   vim /var/named/maoqi.com
   

   

4. 在主机CA上为主机CA生成私钥

   (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem)
   

   

5. 在主机CA上为主机CA生成自签名证书

   openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365
   

   

6. 在主机CA上为CA提供所需的目录及文件

   touch /etc/pki/CA/index.txt		//生成数据库文件
   echo 01 > /etc/pki/CA/serial	//生成序列号文件
   

二、https证书要求
国家：CN
省份：HB
城市：WH
组织名称：LQ
组织单位名称：IT
服务器主机名：web.maoqi.com
邮箱：root@maoqi.com

1. 在主机WEB上为主机WEB生成私钥，并将私钥存放在/etc/httpd/ssl目录中
   

2. 在主机WEB上为server.example.com站点生成自签名证书
   

3. 在主机web上将签署请求文件通过可靠方式发送给CA服务器。
   
   

4. 在主机CA上 对签署请求进行数字签名，并指明所生成的Web证书的存放路径
   

5. 在主机WEB上将CA主机上已经数字签名后的Web证书下载下来
   

6. 在主机WEB上安装apche http扩展模块mod_ssl

7. 在主机WEB上修改主配置文件，使用刚刚下载的web证书
   

8. 在主机WEB上的/var/www/html/目录内创建index.html文件

9. 在主机WEB上部署https站点
   ​

   systemctl restart httpd
   

10. 设置防火墙

    firewall-cmd  --add-service=https  --permanent
    firewall-cmd --reload
    

11. 在客户端上去下载CA服务器上的根证书
    

12. 在客户端的火狐浏览器导入证书

13. 访问https://web.maoqi.com
    

三、部署动态python站点，要求使用https://web.maoqi.com访问到动态网页。

1. 安装httpd mod_wsgi

   yum -y install httpd  mod_wsgi
   

2. 上传动态web内容–Python语言编写

   mkdir  /var/www/wsgi
   cd  /var/www/wsgi   	//然后将Python编写的动态web内容上传到该目录下
   

   注意，转移的文件ch可能没有执行权限，所以需要赋予文件执行权限

   chmod +x index.html
   

3. 部署虚拟主机

   vim  /etc/httpd/conf.d/httpd-vhosts.conf
   

   将httpd-vhosts.conf配置文件修改为以下配置

   <VirtualHost 192.168.100.100:443>DocumentRoot "/var/www/wsgi"ServerName server.maoqi.comSSLEngine onSSLCertificateFile /etc/httpd/ssl/httpd.crtSSLCertificateKeyFile /etc/httpd/ssl/httpd.key
   </VirtualHost>
   

   systemctl restart httpd
   

4. 验证
   访问https://web.maoqi.com