基于SSL的Apache服務(wù)器上自制證書(shū)的加密網(wǎng)站分析

摘? 要：網(wǎng)站發(fā)布中HTTP訪問(wèn)網(wǎng)站的安全性能不高，無(wú)法保證數(shù)據(jù)傳輸?shù)陌踩?，更多的網(wǎng)站采用HTTPS訪問(wèn)網(wǎng)頁(yè)，使用Apache服務(wù)器中提供的mod_ssl模塊，文章提出了一種強(qiáng)加密方式，通過(guò)自制證書(shū)實(shí)現(xiàn)身份認(rèn)證，可以有效防止目前的網(wǎng)站發(fā)布時(shí)出現(xiàn)數(shù)據(jù)泄漏或劫持等安全問(wèn)題，確保數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)恼_性，從而提高發(fā)布網(wǎng)站的安全性。

關(guān)鍵詞：HTTPS;證書(shū);SSL;Apache

中圖分類(lèi)號(hào)：TP309.7? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2020）17-0136-03

Abstract：In the process of browsing published webpage，the security performance of using HTTP to access webpage is not high，and the security of data transmission can not be guaranteed. In order to improve security，more webpage use HTTPS to access webpage. And mod_ssl module provided by Apache server is used，this paper proposes a strong encryption method by using self-made certificate to realize identity authentication，it can effectively prevent the security problems such as data leakage or hijacking when the current website is published，ensure the correctness of data transmission in the network，and thus improve the security of the published webpage.

Keywords：HTTPS;certificate;SSL;Apache

0? 引? 言

Apache HTTP服務(wù)器模塊mod_ssl提供了與OpenSSL的接口，它使用安全套接字層和傳輸層安全協(xié)議（SSL/TLS）提供了強(qiáng)加密。使用mod_ssl模塊之后，Apache可以支持HTTPS協(xié)議，可以基于SSL/TLS通過(guò)服務(wù)器證書(shū)實(shí)現(xiàn)對(duì)HTTP協(xié)議的加密，并且可以通過(guò)用戶證書(shū)實(shí)現(xiàn)身份認(rèn)證。在傳輸層上，為了確保服務(wù)器上的數(shù)據(jù)傳輸?shù)挠行?、正確性，防止中間節(jié)點(diǎn)的信息獲取、信息泄漏等，通過(guò)HTTPS加密和SSL認(rèn)證機(jī)制提供的數(shù)據(jù)傳輸加密相結(jié)合，在傳輸過(guò)程中保證了數(shù)據(jù)的完整性，并增加了服務(wù)器身份認(rèn)證功能這種強(qiáng)加密方式，有效防止了目前常見(jiàn)的安全事件的發(fā)生，例如數(shù)據(jù)泄漏、流量劫持、釣魚(yú)網(wǎng)站欺詐事件等。

由于一般書(shū)籍沒(méi)有給出自制證書(shū)的操作方法，本文根據(jù)作者多年從事Linux網(wǎng)絡(luò)服務(wù)器教學(xué)的研究和實(shí)踐，從實(shí)驗(yàn)的角度介紹了證書(shū)在網(wǎng)絡(luò)中實(shí)現(xiàn)認(rèn)證的原理和自制證書(shū)的關(guān)鍵技術(shù)。

1? 加密網(wǎng)站與非加密網(wǎng)站

1.1? 加密網(wǎng)站和非加密網(wǎng)站的說(shuō)明

以明碼傳送數(shù)據(jù)的HTTP所建立的網(wǎng)站屬于非加密網(wǎng)站，采用明碼傳輸?shù)臄?shù)據(jù)安全性無(wú)法得到保障，而HTTPS才是加密傳輸。在Apache服務(wù)器上建立網(wǎng)站的加密方法可以通過(guò)SSL加密實(shí)現(xiàn)，SSL具備了保護(hù)信息的保密性、完整性、不可否認(rèn)性等安全特征，從而保證了主機(jī)之間的通信免遭竊聽(tīng)、篡改和偽造。網(wǎng)站頁(yè)面沒(méi)有HTTPS會(huì)增加頁(yè)面會(huì)話劫持的風(fēng)險(xiǎn)，特別是在公共的未加密的網(wǎng)絡(luò)連接下。HTTPS對(duì)網(wǎng)站速度并沒(méi)有明顯的影響，甚至速度會(huì)更快，另外，還可以通過(guò)升級(jí)處理器來(lái)處理SSL加密的額外工作。

1.2? 配置Apache基于域名的SSL虛擬主機(jī)

一般的，一個(gè)證書(shū)DN（Distinguished Name）中包含一個(gè)唯一的CN（Common Name），當(dāng)證書(shū)CN與Apache所配置的SSL虛擬主機(jī)域名一致時(shí)，才能訪問(wèn)此虛擬主機(jī)。在HTTPS協(xié)議流過(guò)程中，服務(wù)器首先要與客戶端之間進(jìn)行服務(wù)器驗(yàn)證并協(xié)議安全會(huì)話，然后客戶端向服務(wù)器發(fā)送HTTP請(qǐng)求。因此，在客戶端開(kāi)始發(fā)送HTTP請(qǐng)求之前，服務(wù)器就已經(jīng)把證書(shū)發(fā)給了客戶端，若SSL協(xié)商之后客戶端發(fā)送的host：請(qǐng)求頭中的域名與SSL協(xié)商過(guò)程發(fā)來(lái)的證書(shū)CN一致，則基于該域名的HTTPS站點(diǎn)可被訪問(wèn)，否則不能被訪問(wèn)。要實(shí)現(xiàn)讓Apache支持HTTPS協(xié)議，必須要有mod_ssl模塊，以下是安裝mod_ssl模塊操作命令。

[root@localhost ～]# yum install mod_ssl? #安裝mod_ssl模塊

已加載插件：fastestmirror， langpacks

Loading mirror speeds from cached hostfile

* base： mirrors.aliyun.com

* extras： mirrors.aliyun.com

* updates： mirrors.aliyun.com

正在解決依賴關(guān)系

--> 正在檢查事務(wù)

---> 軟件包 mod_ssl.x86_64.1.2.4.6-93.el7.centos 將被 安裝

以IP地址10.0.2.15，默認(rèn)的本地域名為例，如圖1所示，默認(rèn)的證書(shū)安裝好后，在第一次啟動(dòng)時(shí)，打開(kāi)網(wǎng)站會(huì)出現(xiàn)一個(gè)證書(shū)文件配置，默認(rèn)的證書(shū)有效期限是1年。這就是默認(rèn)的SSL網(wǎng)站，你的重要信息可以放在這里，讓數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)酶影踩?。圖2為未進(jìn)行加密的使用HTTP訪問(wèn)的網(wǎng)站，提示連接不安全。

2? 建立自制證書(shū)的HTTPS

2.1? 建立證書(shū)文件

默認(rèn)的證書(shū)雖然可以讓你順利使用HTTPS，但只有1年的有效時(shí)間，為此我們可以自制證書(shū)，這個(gè)證書(shū)的制作僅用私有www網(wǎng)站的用途，沒(méi)有去CA認(rèn)證（Certificate Authority）注冊(cè)。下面操作是以IP地址10.0.2.15，更改域名www.example.com為例實(shí)現(xiàn)自制證書(shū)的流程步驟：

（1）首先要建立一把PrivateKey預(yù)備提供給SSL證書(shū)簽章要求所用。先到/etc/pki/TLS/certs/中去建立一把Apache使用的私鑰文件。

[root@localhost ～]# cd /etc/pki/tls/certs? #在此目錄下建立一把Apache使用的私鑰文件

[root@localhost certs]# make testcal.key? #編譯私鑰文件

umask 77 ; ＼

/usr/bin/openssl genrsa -aes128 2048 > testcal.key

Generating RSA private key， 2048 bit long modulus

...................................+++

...+++

e is 65537 （0x10001）

Enter pass phrase：? ? ? ? ? ? ? ? ? ? ? #設(shè)置私鑰密碼

Verifying - Enter pass phrase：? ? ? ? ? ? ?#確認(rèn)二次輸入私鑰密碼

[root@localhost certs]#

（2）其次，將剛剛建立的文件中的密碼取消掉，不要有密碼存在。

[root@localhost certs]# mv testcal.key testal.key.raw

[root@localhost certs]# openssl rsa -in testal.key.raw -out testcal.key

Enter pass phrase for testal.key.raw：? ? ? ? ? #輸入配置的之前私鑰密碼

writing RSA key

[root@localhost certs]# rm -f testal.key.raw? ? #刪除舊密鑰文件

[root@localhost certs]# chmod 400 testcal.key? #設(shè)置密鑰權(quán)限為400，且一定要為400

（3）SSL自制證書(shū)，建立所需要的最終證書(shū)文件。

[root@localhost certs]# make testcal.crt serial=2020090701? ?#建立證書(shū)生效起始時(shí)間序列好

umask 77 ; ＼

/usr/bin/openssl req -utf8 -new -key testcal.key -x509 -days 365 -out testcal.crt

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value，

If you enter '.'， the field will be left blank.

-----

Country Name （2 letter code） [XX]：CN? ? ? ? ? ? ? ? ?#國(guó)家名縮寫(xiě)

State or Province Name （full name） []：SICHUAN? ? ? ? ?#省市名

Locality Name （eg， city） [Default City]：SICHUAN

Organization Name （eg， company） [Default Company Ltd]：KSU# 證書(shū)發(fā)布的組織

Organizational Unit Name （eg， section） []：DIC? ? ? ? ? ? ? #證書(shū)發(fā)布的組織單位

Common Name （eg， your name or your server's hostname） []：www.example.com? #服務(wù)器的主機(jī)名，這個(gè)是關(guān)鍵，需要填寫(xiě)正確的主機(jī)名否則不能訪問(wèn)

Email Address []：xxhm97@qq.com? ?#郵件地址

這樣，CA證書(shū)制作完成。在keys目錄下，名字就叫testcal.crt;CA的私鑰是testcal.key，可以使用ll命令查看證書(shū)。

[root@localhost certs]# ll testcal*? #查看設(shè)置的證書(shū)

-rw-------. 1 root root 1403 9月? 14 09：43 testcal.crt? #最終的證書(shū)文件

-r--------. 1 root root 1675 9月? 14 09：36 testcal.key? #系統(tǒng)私鑰文件

2.2? 修改SSL.conf使用自制證書(shū)

當(dāng)建立好證書(shū)文件后，如果你想要修改證書(shū)年限，修改certs目錄下的makefile里面的內(nèi)容，把365天改大，例如改成3 000天，需要處理SSL.conf的內(nèi)容。

[root@localhost certs]# vim /etc/HTTPd/conf.d/SSL.conf

將語(yǔ)句：

SSLCertificateFile /etc/pki/TLS/certs/localhost.crt

修改為：

SSLCertificateFile /etc/pki/TLS/certs/testca.crt

將語(yǔ)句：

SSLCertificateKeyFile /etc/pki/TLS/private/localhost.key

修改為：

SSLCertificateKeyFile /etc/pki/TLS/certs/testca.key

保存后，重啟Apache服務(wù)器，然后使用HTTPS：//的網(wǎng)址，就能查閱剛建立的證書(shū)數(shù)據(jù)，在查閱前，需將緩存內(nèi)容清除，保證新的證書(shū)的顯示內(nèi)容如圖3所示。

2.3? 將加密首頁(yè)和非加密首頁(yè)相分離

雖然加密首頁(yè)和非加密首頁(yè)是相同的，用戶在使用時(shí)認(rèn)為沒(méi)什么區(qū)別，但作為網(wǎng)頁(yè)的發(fā)布方，為了數(shù)據(jù)的安全性，可以強(qiáng)制用戶使用HTTPS：//IP地址這種方式查閱重要的數(shù)據(jù)。在SSL模塊中默認(rèn)提供此功能，只要將HTTP：//與HTTPS：//的首頁(yè)分離即可。我們所要做的是在一般明碼傳輸網(wǎng)頁(yè)首頁(yè)不變更的情況下，把HTTPS：//的首頁(yè)放置在/var/www/HTTPS/目錄下，另外將SSL.conf內(nèi)容中的documentroot項(xiàng)修改成“/var/www/HTTPS”即可。已加密的安全連接的HTTPS網(wǎng)頁(yè)測(cè)試頁(yè)面如圖4所示。

3? 結(jié)? 論

在Windows環(huán)境下或者在Linux圖形環(huán)境下，不管使用何種瀏覽器，由于證書(shū)是自簽名證書(shū)，都會(huì)顯示證書(shū)不可信信息;在測(cè)試環(huán)境中，可以添加對(duì)此證書(shū)的額外信任從而瀏覽站點(diǎn)內(nèi)容。通過(guò)自制證書(shū)的解決策略，可以了解加密網(wǎng)站的生成方式，對(duì)發(fā)布和管理網(wǎng)站起到一定的作用。為了保證各企業(yè)數(shù)據(jù)信息通過(guò)網(wǎng)站安全地接入互聯(lián)網(wǎng)，在防護(hù)措施上可以考慮使用HTTPS和SSL加密保護(hù)方式發(fā)布網(wǎng)頁(yè)，完善對(duì)用戶重要的數(shù)據(jù)平臺(tái)、網(wǎng)站等，保障用戶隱私數(shù)據(jù)。

參考文獻(xiàn)：

[1] 梁如軍，王宇昕，車(chē)亞軍，等.Linux基礎(chǔ)及應(yīng)用教程（基于CentOS7）：第2版 [M].北京：機(jī)械工業(yè)出版社，2016.

[2] 鳥(niǎo)哥.鳥(niǎo)哥的Linux私房菜：服務(wù)器架設(shè)篇：第3版 [M].北京：機(jī)械工業(yè)出版社，2012.

[3] 楊云，馬立新.網(wǎng)絡(luò)服務(wù)器搭建、配置與管理——Linux版 [M].北京：人民郵電出版社，2011.

[4] 余柏山.Linux系統(tǒng)管理與網(wǎng)絡(luò)管理：第2版 [M].北京：清華大學(xué)出版社，2014.

[5] 賈鐵軍，蔣建軍.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用實(shí)踐教程：第3版 [M].北京：機(jī)械工業(yè)出版社，2018.

[6] 何玲.SSL VPN系統(tǒng)的研究及在校園網(wǎng)中的應(yīng)用 [D].天津：天津大學(xué)，2007.

作者簡(jiǎn)介：徐紅梅（1977—），女，漢族，北京人，副教授，碩士，研究方向：網(wǎng)絡(luò)技術(shù)。