当前位置: 首页 > news >正文

Web 服务详解:HTTP 与 HTTPS 配置

news 2025/8/14 16:25:16

Web 服务详解:HTTP 与 HTTPS 配置

一、HTTP 服务概述

HTTP(Hypertext Transfer Protocol,超文本传输协议)是用于在网络上传输网页数据的基础协议,默认使用80 端口,以明文形式传输数据。常见的 HTTP 服务软件包括:

  • httpd(Apache):最流行的开源 Web 服务器,功能丰富,配置灵活。
  • Nginx:轻量级高性能 Web 服务器,擅长处理高并发请求。
  • Tomcat:支持 Java Servlet 和 JSP 的应用服务器,常用于部署 Java Web 应用。

本文重点讲解httpd(Apache) 的配置与使用。

二、httpd(Apache)核心配置

1. 关键文件与目录

路径 / 文件

作用描述

/etc/httpd/conf/httpd.conf

httpd 主配置文件,包含全局参数(端口、日志等)。

/var/www/html/

默认网页存放目录,访问服务器 IP 时默认加载此目录下的index.html。

/usr/share/doc/httpd-2.4.6/httpd-vhosts.conf

虚拟主机配置模板文件。

/etc/httpd/conf.d/

虚拟主机配置文件存放目录(httpd 会自动加载此目录下的.conf文件)。

2. 虚拟主机配置

虚拟主机(Virtual Host)允许在一台服务器上通过不同的标识(IP、端口、域名)提供多个网站服务,常见配置方式有三种。

前提条件
  • 已安装 httpd 服务:yum -y install httpd
  • 启动服务并关闭防火墙 / SELinux:
systemctl start httpd 
systemctl enable httpdsystemctl stop firewalld
systemctl disable firewalldsetenforce 0
  • 准备测试网页目录及文件:
# 创建两个测试目录mkdir -p /var/www/one /var/www/html# 写入测试内容echo "abcd" > /var/www/one/index.htmlecho "Welcome to luoqi" > /var/www/html/index.html
方式 1:相同 IP,不同端口

通过不同端口区分不同网站(如 80 端口和 8080 端口)。

  • 复制虚拟主机模板文件:
cp -p /usr/share/doc/httpd-2.4.6/httpd-vhosts.conf /etc/httpd/conf.d/
  • 编辑虚拟主机配置文件:
vim /etc/httpd/conf.d/httpd-vhosts.conf
  • 添加以下配置:
# 80端口对应/var/www/one目录<VirtualHost 192.168.100.10:80>DocumentRoot "/var/www/one" # 网页目录</VirtualHost># 监听8080端口Listen 8080# 8080端口对应/var/www/html目录<VirtualHost 192.168.100.10:8080>DocumentRoot "/var/www/html"</VirtualHost>
  • 重启服务生效:
systemctl restart httpd
  • 验证:
    • 访问 http://192.168.100.10 → 显示 /var/www/one 内容

    • 访问 http://192.168.100.10:8080 → 显示 /var/www/html 内容

方式 2:不同 IP,相同端口

服务器绑定多个 IP,通过不同 IP 区分网站(均使用 80 端口)。

  • 为服务器添加第二个 IP(以ens33网卡为例):
vim /etc/sysconfig/network-scripts/ifcfg-ens33

添加以下内容:

IPADDR1=192.168.100.50 # 第二个IPPREFIX1=24
  • 重启网络服务:
systemctl restart network
  • 编辑虚拟主机配置文件:
vim /etc/httpd/conf.d/httpd-vhosts.conf
  • 添加以下配置:
# IP 192.168.100.10 对应/var/www/one目录<VirtualHost 192.168.100.10:80>DocumentRoot "/var/www/one"</VirtualHost># IP 192.168.100.50 对应/var/www/html目录<VirtualHost 192.168.100.50:80>DocumentRoot "/var/www/html"</VirtualHost>
  • 重启服务并验证:

访问 http://192.168.100.10 → 显示 /var/www/one 内容

访问 http://192.168.100.50 → 显示 /var/www/html 内容

方式 3:相同 IP、端口,不同 FQDN(域名)

通过不同域名(如one.example.com和html.example.com)区分网站,需配合 DNS 服务解析域名到同一 IP。

  • 配置 DNS 正向解析(参考 DNS 服务配置):

在 DNS 服务器的example.com区域文件中添加:

one IN A 192.168.100.10 # one.example.com 解析到服务器IPhtml IN A 192.168.100.10 # html.example.com 解析到服务器IP

重启 DNS 服务:systemctl restart named

  • 编辑虚拟主机配置文件:
vim /etc/httpd/conf.d/httpd-vhosts.conf
  • 添加以下配置:
# 域名 one.example.com 对应/var/www/one目录<VirtualHost 192.168.100.10:80>DocumentRoot "/var/www/one"ServerName one.example.com # 绑定域名</VirtualHost># 域名 html.example.com 对应/var/www/html目录<VirtualHost 192.168.100.10:80>DocumentRoot "/var/www/html"ServerName html.example.com # 绑定域名</VirtualHost>
  • 重启服务并验证:

访问 http://one.example.com → 显示 /var/www/one 内容

访问 http://html.example.com → 显示 /var/www/html 内容

三、HTTPS 服务概述

HTTPS(HTTP Secure)是 HTTP 的加密版本,通过SSL/TLS 协议对传输数据加密,默认使用443 端口,确保数据传输的安全性(防止窃听、篡改)。

核心特点

  • 加密机制:HTTPS = HTTP + SSL/TLS,通过证书实现身份验证和数据加密。
  • 端口:默认 443 端口(需在防火墙开放)。
  • 证书:需通过 CA(证书颁发机构)签署的证书验证服务器身份,避免 “中间人攻击”。

四、HTTPS 加密原理(SSL/TLS 握手流程)

  1. ClientHello:客户端向服务器发送支持的 SSL/TLS 版本、加密算法列表,及随机数random_c。
  2. ServerHello:服务器确认使用的版本和算法,返回随机数random_s、服务器证书(含公钥)。
  3. ClientKeyExchange:客户端验证证书有效性后,生成预主密钥pre_master,用服务器公钥加密后发送。
  4. 会话密钥生成:服务器用私钥解密pre_master,双方基于random_c + random_s + pre_master生成会话密钥,后续通信使用该密钥加密。

五、HTTPS 配置(基于 httpd 与自建 CA)

1. 环境准备

  • CA 服务器:IP 192.168.100.10,负责生成根证书和签署服务端证书。
  • Web 服务器:IP 192.168.100.20,部署 httpd 并配置 HTTPS。
  • DNS 服务器:已配置域名解析(如ca.example.com指向 CA 服务器,sl1.example.com指向 Web 服务器)。

2. 自建 CA(证书颁发机构)

(1)openssl 配置文件关键参数​

openssl 的主配置文件为/etc/pki/tls/openssl.cnf,其中与 CA 相关的重要参数如下:​

####################################################################​[ CA_default ]​​dir = /etc/pki/CA # 所有CA相关文件的存放根目录​certs = $dir/certs # 证书所在目录​database = $dir/index.txt # 证书数据库文件目录​new_certs_dir = $dir/newcerts # 新生成证书的存放目录​​certificate = $dir/cacert.pem # CA自签名证书(根证书)​serial = $dir/serial # 证书序列号文件​private_key = $dir/private/cakey.pem# CA私钥文件路径​​
步骤 1:配置 CA 目录与文件

CA 相关文件默认存放在/etc/pki/CA/,需创建必要文件(参考/etc/pki/tls/openssl.cnf配置):

# 进入CA目录cd /etc/pki/CA/# 创建私钥(权限需严格限制,仅root可读写)(umask 077; openssl genrsa -out private/cakey.pem)# 生成自签名根证书(CA证书)openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365# 按提示输入信息
(国家:CN,
省份:HB,
城市:WH,
组织:LQ,
主机名:ca.example.com等)# 创建证书数据库和序列号文件touch index.txt # 证书索引数据库echo 01 > serial # 证书序列号(初始为01)
(2)openssl 关键命令选项说明​
  • -x509:生成自签名证书格式,专用于创建私有 CA。​
  • -new:生成新证书的签署请求。​
  • -key:指定生成请求时用到的私钥文件路径。​
  • -out:指定生成后的文件存放路径,如果是自签名操作,将直接生成签署过的证书。​
  • -days:指定证书有效期,默认是 365 天。

3. Web 服务器配置 HTTPS

步骤 1:生成服务端私钥与证书请求
# 在Web服务器上安装httpd和SSL模块yum -y install httpd mod_ssl# 创建存放证书的目录mkdir /etc/httpd/ssl# 生成服务端私钥(umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key)# 生成证书请求文件(CSR)openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365# 输入信息需与CA一致,主机名填Web服务器域名(如sl1.example.com)
步骤 2:向 CA 提交证书请求并获取签名证书
# 将CSR文件发送到CA服务器scp /etc/httpd/ssl/httpd.csr root@ca.example.com:/etc/pki/CA/# 在CA服务器上签署证书cd /etc/pki/CA/openssl ca -in httpd.csr -out httpd.crt -days 365# 提示时输入"y"确认签署# 将签署好的证书发送回Web服务器scp httpd.crt root@192.168.100.20:/etc/httpd/ssl/
步骤 3:配置 httpd 支持 HTTPS
  • 编辑 SSL 配置文件:
vim /etc/httpd/conf.d/ssl.conf

修改证书和私钥路径:

SSLCertificateFile /etc/httpd/ssl/httpd.crt # 服务端证书SSLCertificateKeyFile /etc/httpd/ssl/httpd.key # 服务端私钥
  • 配置 HTTPS 虚拟主机(绑定 443 端口):
vim /etc/httpd/conf.d/httpd-vhosts.conf

添加以下内容:

<VirtualHost 192.168.100.20:443>DocumentRoot "/var/www/test" # HTTPS网页目录ServerName sl1.example.com # 绑定域名SSLEngine on # 启用SSLSSLCertificateFile /etc/httpd/ssl/httpd.crtSSLCertificateKeyFile /etc/httpd/ssl/httpd.key</VirtualHost>
  • 创建测试网页:
mkdir /var/www/testecho "HTTPS Test Page" > /var/www/test/index.html
  • 重启 httpd 服务:
systemctl restart httpd

4. 客户端验证 HTTPS

  1. 在客户端导入 CA 根证书(信任自建 CA):
# 从CA服务器下载根证书scp root@192.168.100.10:/etc/pki/CA/cacert.pem /tmp/

(Windows/Linux 客户端需在浏览器中导入该证书,信任 CA)

  1. 访问 HTTPS 网站:

浏览器输入 https://sl1.example.com,确认连接加密(显示锁图标),页面显示 /var/www/test 内容。

六、总结

  • HTTP 服务:通过 httpd 的虚拟主机功能,可基于 IP、端口、域名部署多个网站,核心是配置DocumentRoot和绑定标识。
  • HTTPS 服务:在 HTTP 基础上添加 SSL/TLS 加密,需通过 CA 签署证书实现身份验证,配置重点是证书路径和 SSL 引擎启用。

实际生产环境中,建议使用可信 CA(如 Let's Encrypt)颁发的证书,并合理配置防火墙和 SELinux 规则,保障服务安全。

http://www.dtcms.com/a/327812.html

相关文章:

  • SuperMap GIS基础产品FAQ集锦(20250804)
  • Java 中 Set 接口详解:知识点与注意事项
  • LangChain SQLChatMessageHistory:SQL数据库存储聊天历史详解
  • Day05 店铺营业状态设置 Redis
  • MQTTX使用wss的连接报错
  • Java -- List接口方法--遍历--ArrayList的注意事项
  • 贪心----4.划分字母区间
  • 方格网法土方计算不规则堆体
  • [ 前端JavaScript的事件流机制 ] - 捕获、冒泡及委托
  • 少数民族文字OCR识别技术实现及应用场景剖析
  • JMeter并发测试与多进程测试
  • __base__属性
  • ETCD的简介和使用
  • 42.【.NET8 实战--孢子记账--从单体到微服务--转向微服务】--扩展功能--集成网关--网关集成认证(一)
  • 1513-map 的三种声明定义方式 使用方式
  • BN层:深度学习中的“数据稳定器”,如何解决训练难题?
  • 基于C#的二手服装交易网站的设计与实现/基于asp.net的二手交易系统的设计与实现/基于.net的闲置物品交易系统的设计与实现
  • 嵌入式Linux学习 -- 软件编程3
  • UNet改进(32):结合CNN局部建模与Transformer全局感知
  • Docker 101:面向初学者的综合教程
  • 【C#】从 Queue 到 ConcurrentQueue:一次对象池改造的实战心得
  • 激活函数篇(2):SwiGLU | GLU | Swish | ReLU | Sigmoid
  • 如何查看当前Redis的密码、如何修改密码、如何快速启动以及重启Redis (Windows)
  • 鹧鸪云:光伏施工流程管理的智能“导航仪”
  • 云平台监控-云原生环境Prometheus企业级监控实战
  • 【Redis与缓存预热:如何通过预加载减少数据库压力】
  • RoboNeo美图AI助手
  • 如何单独修改 npm 版本(不改变 Node.js 版本)
  • npm、pnpm、yarn区别
  • 深度解析Mysql的开窗函数(易懂版)