前言:在httpd中使用已经被私有CA签署的证书,对外提供一个https服务
1:配置httpd支持使用ssl,及使用的证书
yum -y install mod_ssl
2:通过rpm -ql mod_ssl查看mod_ssl给httpd添加的配置文件
[root@www ~]# rpm -ql mod_ssl
/etc/httpd/conf.d/ssl.conf
/etc/httpd/conf.modules.d/00-ssl.conf
/usr/lib64/httpd/modules/mod_ssl.so
/usr/libexec/httpd-ssl-pass-dialog
/var/cache/httpd/ssl
3:配置文件:/etc/httpd/conf.d/ssl.conf
# https请求的站点目录
DocumentRoot "/var/www/html"
# 注意:这里定义的www.uplooking.com这个FQDN与vhost.conf中定义的FQDN没有联系,也就是说,/etc/httpd/conf.d/ssl.conf文件中也可以定义FQDN的访问模式,但是是基于https的,监听的端口为443,并且在/etc/httpd/conf.d/ssl.conf文件中只能定义一个FQDN,而vhost.conf文件中可以定义多个FQDN
# 指定基于https的FQDN
ServerName www.uplooking.com
# 这是服务器端在CA签证后返回的证书
SSLCertificateFile /etc/httpd/ssl/httpd.crt
# 这是服务器端通过openssl生成的密钥
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key
4:测试基于https访问web服务,看看是否可以解码ssl会话(需要修改/etc/hosts文件)
openssl s_client -connect www.uplooking.com:443 -CAfile /etc/pki/CA/cacert.pem
5:使用浏览器访问https:
6:将cacert.pem导入到浏览器,再次反问