HTTP 之 HTTPS实现

1 概述HTTPS（全称：httpover ssl，Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。 它是一个URI scheme（抽象标识符体系），句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司(Netscape)进行，并内置于其浏览器Netscape Navigator中，提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。https性能相对http差，所以https在保护隐私上有提高了，但是性能降低了 2 SSL会话的简化过程(1) 客户端发送可供选择的加密方式，并向服务器请求证书(2) 服务器端发送证书以及选定的加密方式给客户端(3) 客户端取得证书并进行证书验证如果信任给其发证书的CA,执行以下五步：(a) 验证证书来源的合法性；用CA的公钥解密证书上数字签名(b) 验证证书的内容的合法性：完整性验证(c) 检查证书的有效期限(d) 检查证书是否被吊销(e) 证书中拥有者的名字，与访问的目标主机要一致(4) 客户端生成临时会话密钥（对称密钥），并使用服务器端的公钥加密，此数据发送给服务器，完成密钥交换(5) 服务用此密钥加密用户请求的资源，响应给客户端.注意：SSL是基于IP地址实现,单IP的主机仅可以使用一个https虚拟主机3 https实现3.1 开启dns在dns服务器上配置对这台https服务器的解析3.2 服务器安装mod_ssl安装语句yum -yinstall mod_ssl；安装该模块后，会修改配置文件，会自动增加LoadModule ssl_module modules/mod_ssl.so在httpd的子配置文件/etc/httpd/conf.d/ssl.conf里，同时也打开了443端口，同时指定了证书的路径原因是安装的时候，会跑安装脚本，生成私钥文件/etc/pki/tls/private/localhost.key，同时也生成证书文件/etc/pki/tls/certs/localhost.crt，这个证书文件是自签名的，此时https网站已经可以访问，但是由于这个https服务器的证书文件不能使用，有问题，颁发给的机构不对，不是站点名称。所以证书要重新向CA申请。获取CA颁发的证书后才能证书使用https站点。3.3 服务器生成证书请求文件在服务器创建证书签署请求，这里是客户端生成证书请求文件，Common Name要和网站的域名一样，可以使用泛域名,如*.ghbsunny.com。其他的相关信息，根据根CA的配置文件/etc/pki/tls/openssl.cnf的policy规定的，默认证书要求countryName，stateOrProvinceName，organizationName要和根CA一致3.4 服务器向根CA申请证书http服务器将生成的证书申请文件发给CA3.5 CA签证这里要注意要指定证书的有效期，签发完成后，根CA颁发服务器的证书给到服务器，同时把根的证书cacert.pem也一起发给服务器服务器。3.6 配置httpd支持使用ssl和使用的证书http服务器上ssl.conf配置文件指定服务器证书的路径，服务器私钥路径，同时指定更根CA的证书的路径配置文件：/etc/httpd/conf.d/ssl.conf，一般只需要修改以下的选项DocumentRoot #调整加密主站点的路径，没有调整的话，默认就是http主配置的站点,如果#这里可以调整DocumentRoot和 http不一样，那么就会导致http 和 https的主站点目录不一样。因为这里配置文件配置了虚拟主机，基于443端口，所以出现了一台机器两个主站点，默认http和https是同一主站点

DocumentRoot  "/var/www/html"

ServerName

ServerName www.ghbsunny.com:443

SSLCertificateFile

SSLCertificateFile  /etc/pki/tls/certs/cent63.crt

SSLCertificateKeyFile

SSLCertificateKeyFile  /etc/pki/tls/private/client.192.168.32.63.key

SSLCertificateChainFile

SSLCertificateChainFile   /etc/pki/tls/certs/cacert.pem

日志路径
#以下定义了log的文件，路径是/etc/httpd/logs，和http的log区分开

ErrorLog  logs/ssl_error_log
TransferLog  logs/ssl_access_log

3.7 测试基于https访问相应的主机a 浏览器导入证书,可以正常使用b openssl测试

openssl s_client [-connect host:port] [-cert filename] [-CApathdirectory][-CAfilefilename]

例子

openssl s_client -connect www.ghbsunny.com:443

注意，本地的这台dns要指向能够解析www.ghbsunny.com 的dns服务器
c curl测试：

curl  -cacert  cacert.crt  https://www.ghbsunny.com:443[/code]其中，cacert.crt是给http服务器颁发证书的根服务器的证书文件 4 http重定向https重定向是指将http请求转发至https的URL。这里建议将http和https的主站点设置为同一个站点。因为跳转是会将设置目录下的所有http请求进行跳转，如果https没有http站点的目录，比如http默认主站点是/var/www/html/，但是https下的主站点是/var/www/https,而且没有/var/www/https/web1的站点，当有请求http://www.ghbsunny.com/web1,则跳转会显示网页不存在而导致网页打不开建议使用HSTS技术进行跳转基于redirect跳转Redirect技术跳转的时候，默认客户端发送不加密的请求到服务器端，然后服务器端告诉客户端说，网站已经转到加密站点，然后客户端再发一个加密请求的站点过来，服务器才返回https的结果给客户端，中间经过4步。.重定向格式如下Redirect [status] URL-path URL URL-path指网站上的站点路径.status状态：有两个值 Permanent 和 Temp
.Permanent:Returnsa permanentredirect status (301) indicating that the resource has moved permanently
.Temp:Returnsa temporary redirectstatus (302). This is the default
基于HSTS跳转目前主流是采用HSTS（HTTP StrictTransport Security）技术进行跳转服务器端配置支持HSTS后，会在给浏览器返回的HTTP首部中携带HSTS字段。浏览器获取到该信息后，会将所有HTTP访问请求在内部做307跳转到HTTPS。而无需任何网络过程。当客户端第一次发http请求过来，服务器端响应https的结果给客户端，只有两步，这个是相对安全的机制，下次客户端浏览器再次访问的时候，浏览器端自动会将http转换为https，然后以https发请求给服务器基于HSTS preload listHSTS preload list是Chrome浏览器中的HSTS预载入列表，在该列表中的网站，使用Chrome浏览器访问时，会自动转换成HTTPS。Firefox、Safari、Edge浏览器也会采用这个列表。这个是在浏览器配置的，是要网站向google申请，谷歌浏览器才会支持例子.基于redirect示例：
vim /etc/httpd/conf.d/rediect.conf
Redirect   temp  /var/www/html vim' target='_blank'>https://www.magedu.com/
基于HSTS示例：
vim /etc/httpd/conf.d/hsts.conf
Header always setStrict-Transport-Security "max-age=15768000"
#以上这段代码，告诉客户端浏览器下次访问的时候以https来访问
#max-age=15768000在这段时间内访问都自动调整为https来访问
RewriteEngine on
RewriteRule ^(/.*)$ https://%{HTTP_HOST}$1  [redirect=301]