呂阿谷的部落格

在 SSL 的部分 C7 並未做出很大的改變，這跟 apache server比較有關，

所以我照搬 C6.5 的設定過來。

打造能使用SSL安全連線的網頁伺服器

現在要設定 web server的安全性設定很簡單，幾個步驟即能達成，

首先先安裝相關需要的工具，執行以下指令安裝網頁伺服器的SSL模組與 openssl 認證工具：

  yum install mod_ssl openssl

現在要利用 OpenSSL 來產生一張自我簽署的憑證。如果你在一台生產用的伺服器上做這個動作，

你應該會想從一個被信賴的憑證機構取得一條金鑰，

但假若你只是用在一個私人網站上或 作測試之用，自我簽署的憑證已經足夠了。

要建立金鑰，你必須是 root 用戶。

  
    

    先進入憑證所需的目錄，執行：
    

    

  

  cd /etc/pki/tls/certs

  

  

   產生私鑰

  

  openssl genrsa -out bell.key 2048


  

  產生 CSR
  

  

  openssl req -new -key bell.key -out ca.csr
  

  

  

產生自我簽署的金鑰
  

  
openssl x509 -req -days 365 -in bell.csr -signkey bell.key -out bell.crt

  

  

  將 bell.crt 檔案與 bell.key 檔案搬到 /etc/pki/tls/private/ 
  

  

  
PS：範例中例的 
  bell.key 
  
    bell.csr 
  
  
    bell.crt 
  
  只是示範，檔名可以隨自己喜好，

  例如 ca.key ca.csr ca.crt，只要後面設定時能正確對應即可。
  

  

  


這時候相關憑證已正確l建立完畢，接下來修改ssl設定檔，

編輯 /etc/httpd/conf.d/ssl.conf
  

  

  修改
  

  

  
    SSLCertificateFile /etc/pki/tls/
    private
    /
    bell.crt
  

  SSLCertificateKeyFile /etc/pki/tls/private/bell.key
  

  

  

  這裡的設定必須對應你前面所製造出來的認證金鑰名稱，如果你改用別的名字，

就要相對修改正確的路徑與檔案名稱。
  

  

  修改完之後重新啟動httpd:
  

  

  systemctl restart httpd (與 C6.5 最大的不同)
  

  

  

  剛才的設定即可生效。
  

  

  這時可以利用瀏覽器開啟網頁，記得要用 https:// 這樣的開頭，

表示這是ssl安全連線，預設的port是443，
  

  

  如果你有使用防火牆，記得要將對應的port做設定，

否則會連不到，因為port被擋住了。
  

  

  

  

  https://ip(or domain name)/owncloud/
  

  

  登入你的自有雲，管理頁面的警告訊息不再出現，以後的連線盡量使用ssl比較安全。
  

  

  

  不過因為這是自我建立的憑證，非經第三方認證過的憑證，

如網路銀行，證券公司的憑證都是需要花錢買授權認證的，

  
    

  
  所以在瀏覽器上會出現警示，底下是google瀏覽器的警示畫面：
  

  

  

  

  

  

  底下是firefox的警示畫面：
  

  

  

  

  

  底下是 IE 的警示畫面：
  

  

  

  

  

  參考資料：
  

  

  centos 論壇
  

  

  
    http://wiki.centos.org/zh-tw/HowTos/Https
  
  

  

  鳥哥
  

  

  
    http://linux.vbird.org/linux_server/0360apache.php#www_ssl_own