@@@@http配置文件的指令是不区分大小写的,参数区分大小写。
一、在172.16.20.3上面配置CA:
1)在/etc/pki/CA/private下面创建一个密钥cakey.pem。制作做成如下:
#cd /etc/pki/CA/private
#(umask 077; openssl genrsa -out private/cakey.pem 2048)
2)将/etc/pki/tls/https://www.doczj.com/doc/c614350115.html,f 里面的信息做下修改,做一个自签证书的默认信息。
#vim /etc/pki/tls/https://www.doczj.com/doc/c614350115.html,f
dir = etc/pki/CA
countryName_default = CN
stateOrProvinceName_default = HENAME
localityName_default = zhengzhou
https://www.doczj.com/doc/c614350115.html,anizationName_default = magedu
organizationalUnitName_default = tech
3)、生成自签证书。
#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
4)、以上是创建CA所需要的文件和目录。
#mkdir /etc/pki/CA/{certs,crl,newcerts}
#touch /etc/pki/CA/index.txt
#echo 01 >/etc/pki/CA/serial
二、www服务器申请证书的过程:
1)www服务器如要要让客户使用https访问网站的话需要安装mod_ssl.
#yum install -y mod_ssl
2)创建www服务器的密钥存放位置和证书存放位置。
#mkdir /etc/httpd/ssl
3)创建密钥
#cd /etc/httpd/ssl/
#(umask 077; openssl genrsa 1024 > httpd.key)
4)从密钥中提取我们的证书申请。
#openssl req -new -key httpd.key -out httpd.csr 创建申请证书。
三、服务器发送申请书httpd.csr发给CA让他签署 (实验中两台主机是可以通信的,所以用远程传输过去。发送的方式有很多种)
#scp httpd.csr 172.16.20.3:/tmp
四、CA机构进行签署再发给服务器:
1)查看www服务器发过来的申请证书内容
#openssl -in /tmp/httpd.csr -text
2)签发证书并确认。
#openssl ca -in /etc/httpd/ssl/httpd.csr -out /etc/httpd/ssl/httpd.crt -days 3655
3)发给www服务器端。
scp /tmp/httpd.crt 172.16.20.1:/tmp
五、www服务器对发过来的证书配置:
#mv /tmp/httpd.crt /etc/httpd/ssl/httpd.crt
#cp /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf.bak
#vim /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/httpd/ssl/httpd.crt
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key
六、重新启动下我们的www服务器
#service httpd restart
七、使用浏览器输入我们的www服务器的地址
https://172.16.20.1
八. CA 的日常操作
1、创建私钥
openssl genrsa -des3 -out client.key 1024 (创建密钥)
2、查看创建的密钥
openssl rsa -noout -text -in client.key (查看创建的密钥)
3、创建请求文件
openssl req -new -key client.key -out client.csr(创建请求文件)
4、查看创建的请求文件
openssl req -noout -text -in client.csr (查看创建的请求)
5. 根据证书申请请求,签发证书
openssl req -in req.pem -text -noout 、(查看申请书)。
6、执行签发命令:
openssl ca -in test.req -out test.crt
7、执行以下语句来查看生
成的证书的内容:
openssl x509 -in cert.pem -text -noout
8、 吊销证书(作废证书)
openssl ca -revoke cert.pem
9、准备公开被吊销的证书列表时,可以生成证书吊销列表(CRL)
openssl ca -gencrl -out testca.crl
10、可以用以下命令检查testca.crl 的内容:
openssl crl -in testca.crl -text –noout
Openssh安装之后给我提供一个命令ssh-keygen ,这个指令是用来可以生成密钥的。
OpenSSH的使用双机互信配置:
[root@node1~]# ssh-keygen -t rsa -f ~/.ssh/id_rsa -P ''
将基于密钥通话的公钥传递给node2节点,第一次需要输入node2的登录密钥。
[root@node1 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@172.16.20.4
Node2节点上创建密钥文件。
[root@node2~]# ssh-keygen -t rsa -f ~/.ssh/id_rsa -P ''
将基于密钥通话的公钥传递给node1节点,第一次需要输入node1的登录密钥。
[root@node2 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@172.16.20.2
指令的使用方法如下:
ssh-keygen
-t 后面跟的是那种加密类型可以是RSA 和DES
-f 后面跟我们要讲一对密钥放置的位置。如果我们不跟的话默认刚在该家目录的.ssh/下。
-N 后跟密码,是给我们的密钥添加密码的。
如果将我们的生成的公钥放到远程登录服务器上?我们可以文件传输工具(ssh-copy-id,scp)
ssh-copy-id /path/to/pubkey user@remote
scp /path/to/file user@remote:/directory/
一、ssh远程控制主机命令使用:
●登录远程主机
ssh user@https://www.doczj.com/doc/c614350115.html,
●在远程主机上运行命令
ssh user@https://www.doczj.com/doc/c614350115.html, ”command”
scp的基本用法
● 像cp一样使用
scp /path/to/file /path/to/new_file
● 拷贝远程机器上的文件到本地机器
scp user@remote:/path/to/file /local/directory/
● 拷贝本地机器上的文件到远程机器
scp /path/to/file user@remote:/directory/
● 拷贝远程机器上的文件到另一台远程机器
scp user1@remote1:/path/to/file user2@remote2:/some/directory/
● 拷贝远程机器上的一个目录到本地机器
scp -r user@remote:/path/to/file /local/directory/
● 应用程序客户端在远程而服务器端在本地
ssh -R port:host:hostport user@remote
● 提供SSH的安全性
ssh -X user@remote
使用密钥认证权限的设定:
●~/
目录权限不能高于0755
●~/.ssh
目录权限不能高于0700
●~/.ssh/id_dsa.pub
文件权限不能高于0600
●~/.ssh/authorized_keys
文件权限不能高于0644
openssh软件客户端配置文件
●~/.ssh/config
●/etc/ssh/ssh_config
openssh软件服务器端配置文件
●/etc/ssh/sshd_config