楊海艷

摘要：Web服務(wù)器在默認(rèn)的情況下，都是使用的純文本協(xié)議HTTP。與其名稱描述的一樣，純文本協(xié)議不會對傳輸中的數(shù)據(jù)進(jìn)行任何形式的加密，其在安全方面有重大缺陷。經(jīng)過HTTP協(xié)議傳輸?shù)臄?shù)據(jù)就像是在裸奔一樣很容易被"中間人"竊取。惡意用戶甚至可以在傳輸路徑設(shè)置一個假冒的WEB服務(wù)器冒名頂替實際的目標(biāo)Web服務(wù)器。在這種情況下，用戶可能實際上與假冒者服務(wù)器進(jìn)行通信。這樣，惡意用戶可以通過精心設(shè)計的表單欺騙終端用戶獲取到敏感信息，如用戶名密碼。為了解決HTTP協(xié)議存在的安全隱患，我們可以在企業(yè)門戶站點(diǎn)如網(wǎng)上銀行、購物網(wǎng)站、金融證券交易網(wǎng)站、政府機(jī)構(gòu)網(wǎng)站等的web服務(wù)器上部署SSL證書應(yīng)用HTTPS加密協(xié)議。

關(guān)鍵詞：網(wǎng)站；安全訪問；數(shù)據(jù)加密；證書

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）18-0023-02

HTTPS加密協(xié)議是HTTP的安全版本，由ssl+http協(xié)議構(gòu)建，可進(jìn)行加密傳輸和身份認(rèn)證，比http協(xié)議更加安全。HTTPS能夠為站點(diǎn)提供至少以下2大保障。

1）確保所有經(jīng)過服務(wù)器傳輸?shù)臄?shù)據(jù)包都是經(jīng)過加密的。

2）對網(wǎng)站服務(wù)器真實身份進(jìn)行認(rèn)證，避免被假冒。

那么，站點(diǎn)如何實現(xiàn)HTTPS加密協(xié)議呢？首先您需要到合法CA機(jī)構(gòu)如沃通CA申請一張SSL數(shù)字證書。對于個人站點(diǎn)或者不涉及敏感信息的站點(diǎn)，可以申請沃通免費(fèi)SSL證書，對于全球性商業(yè)網(wǎng)站（銀行、購物、支付類），建議購買高級別的EVSS證書，不僅能保證站點(diǎn)數(shù)據(jù)安全，還能提高站點(diǎn)服務(wù)商的信譽(yù)。

HTTPS實際上應(yīng)用了Netscape的安全全套接字層（SSL）作為HTTP應(yīng)用層的子層。（HTTPS使用端口443，而不是像HTTP那樣使用端口80來和TCP/IP進(jìn)行通信。）SSL使用40位關(guān)鍵字作為RC4流加密算法，這對于商業(yè)信息的加密是合適的。HTTPS和SSL支持使用X.509數(shù)字認(rèn)證，如果需要的話用戶可以確認(rèn)發(fā)送者是誰。

如何在CentOS6.5中配置Apache的HTTPS服務(wù)，這將是本文要解決的重點(diǎn)問題，這里以自簽證書（僅用于測試）為例來搭建一個基于https訪問的網(wǎng)站。

如果CentOS已經(jīng)安裝了Apache Web服務(wù)器，我們需要使用OpenSSL生成自簽名證書。如果尚未安裝OpenSSL，它可以使用yum來安裝。

1 企業(yè)背景設(shè)計

web服務(wù)器需要為客戶機(jī)提供web服務(wù)，為了讓客戶機(jī)能夠定位到自己，web服務(wù)器需要一個固定的IP地址（192.168.1.254）。

使用setup命令配置IP地址或直接修改網(wǎng)卡的配置文件，來配置web服務(wù)器的IP地址：#vim/etc/sysconfig/network-scripts/ifcfg-eth0 ，配置完成后，需要重啟網(wǎng)絡(luò)服務(wù)：service network restart

搭建DNS服務(wù)，在本文中的dns解析情況如下所示：

www.yhy.com 192.168.1.254

2 方案設(shè)計

2.1安裝Apache，建立主頁測試文件

# yum install -y httpd （安裝Apache）

#echo “This is a www.yhy.coms httpstest webpage ”>/var/www/html/index.html

2.2 設(shè)計Apache SSL支持模塊

# yum install -y mod_ssl （默認(rèn)yum安裝httpd是沒有安裝該模塊的，安裝后自動生產(chǎn)/etc/httpd/conf.d/ssl.conf文件）

2.3 證書設(shè)計

使用命令產(chǎn)生一個自簽名的證書。首先，生成2048位的加密私鑰。

# openssl genrsa -out ca.key 2048

[root@300second certs]# make server.csr（建立服務(wù)器密鑰）

建立服務(wù)器證書

#openssl x509 -in server.csr -out server.pem -req -signkey server.key -days 365

#chmod 400 server.*（修改權(quán)限為400，只有擁有者可讀的權(quán)限）

把創(chuàng)建的證書文件復(fù)制到對應(yīng)目錄

# cp server.crt /etc/pki/tls/certs/

# cp server.key /etc/pki/tls/private/

# cp server.csr /etc/pki/tls/private/

3 方案實施

3.1設(shè)置SSL配置Apache支持https

# vim /etc/httpd/conf.d/ssl.conf（修改SSL的設(shè)置文件，制定www.abc.com站點(diǎn)https訪問時的相關(guān)信息）

# vim /etc/httpd/conf/httpd.conf （配置網(wǎng)站支持https）

NameVirtualHost *：443

SSLEngine on

SSLCertificateFile /etc/pki/tls/certs/server.crt

SSLCertificateKeyFile /etc/pki/tls/private/server.key

ServerAdmin email@yhy.com

DocumentRoot /var/www/html/

ServerName www.yhy.com

3.2設(shè)置Apache在系統(tǒng)啟動中運(yùn)行

#chkconfig –-levels 235 httpd on（設(shè)置apache服務(wù)開機(jī)立即啟動）

#/etc/init.d/httpd start 或service httpd start（啟動服務(wù)）

3.3強(qiáng)制Apache Web服務(wù)器始終使用HTTPS

如果由于某種原因，公司需要站點(diǎn)的Web服務(wù)器僅使用HTTPS，服務(wù)器需要將所有HTTP請求（端口80）重定向到HTTPS（端口443）。

1）強(qiáng)制網(wǎng)站使用HTTPS訪問，需要在虛擬主機(jī)中添加如下語句：

# vim /etc/httpd/conf/httpd.conf

ServerName www.yhy.com：80

Redirect permanent / https：//www.yhy.com

2）強(qiáng)制虛擬主機(jī)使用HTTPS，需要在虛擬主機(jī)中添加如下語句：

# vim /etc/httpd/conf/httpd.conf

ServerName www.yhy.com

Redirect permanent / https：//www.yhy.com/

3）重啟服務(wù)#service httpd restart 或#/etc/init.d/httpd restart

總之，站點(diǎn)存在用戶注冊登錄、購買支付等交互時，HTTPS訪問是大家一直推崇的訪問方式，可以提供服務(wù)器的安全性。另外，服務(wù)器SSL證書也可根據(jù)自己需求去選擇各種不同的SSL證書。

4 方案測試

在此可以查看證書信息和自建crt信息一致，點(diǎn)擊【是】，看到測試頁面：

https訪問的最終結(jié)果，但此網(wǎng)站還是可以通過http訪問。