089 尚硅谷-Linux云计算-网络服务-Apache-https

大家好，欢迎大家继续收看上硅谷的Linux云计算视频，我是刘爽老师，那我们这节课呢，来讲一下我们的阿帕奇的，呃，这个和open派SSL的一个结合，也就是说我们呢，默认的这个阿帕奇的一个服务啊，它的一个传输的协议叫HTTP，但是这个TP默认它的传输呢，是一个铭文传输，那这个呢，其实我们现在互联网上有很多交易啊，在线支付呀等等的这种东西，那在这种HTP模式下，它是不安全的，我们为了安全起见，我们有一个。进阶版的协议叫HTPS啊，那HTPS呢，其实就是阿帕奇的HTP加上open SL实现了传输功能加密的这么一种机制，那这个东西其实大家回想一下，之前我们讲FTP的时候，我们是不是讲了一个FTB加。SSL那个和这个原理基本是一致的，都是利用open s SL来使用我们的证书来进行传输共程加密的，啊，来人行传输工程加密的，那这个实验也是我们阿帕奇里边的一个重点实验，OK。

好了，简单的介绍一下HTPS，我们称之为叫Harper test transfer secret，那安全的超文本传染协议啊，安全的传本传染协议。那这个呢，是因为呃，我们要实现一个数据传输的一个加密锁水，要这样做啊。主要是为了应对我们的。这种交易啊，这种。默写，OK。呃，做这个实验之前呢，我们先来做几个准备工作，第一个是先来检查你的阿帕奇是否是SSL。是否安装了SL的这个模块，以及模块是否启用那模是否启用这个呢？很简单啊，检查这些东西，直接去找阿帕奇就可以了，那直接找。VM一下我们的跟下user local，阿帕奇two下的ETC下的HTP。在里边直接搜SSL就可以了。

是开启了的，除此之外呢，应该还有，为啥上面还有这个load mode s mode，如果想用，则要把这个load mode mode开启，OK。这个地方就证明了我们的阿尔法奇是支持的啊，只是没开启，我们给它开启一下就可以了。然后呢，模块放到的位置是在user local阿的modes里边，我们来。在这里边我们找一下我们的。SSL。然后呢，检查模块是否启用的方式是用阿帕奇CTR-M。当然我们启用模块之后，我们还没有重启，我没有重启一下。Restart。然后用啊。

IPC大。对吧，所有的。我们来从这里边看一下，你看。开启了模块就变成12状态。就变就在这能查到了真的。PPT的。Rewrite。的别名目。Also。开启了冒号，那接下来第二步是什么呀，对吧。我们就是阿帕奇支持这个SL的第二步，什么？第二步是CA证书的申请，同样我再给大家提一下啊，生产环境中生产黄金中，真正的生产黄金融不是我们自己通过服务器来创建，而是要从专门的APP证书厂商去注册购买。啊，证书购买，然后呢，购买之后，嗯。去填写对应的。网站信息啊，公司信息等等之后，然后这个证书他会颁发给你，然后你再把证书放到服务器上才可以使用，为什么要这样做呢？因为浏览器它会干嘛呀，拿你的证书去进行校验啊，证书有效，然后才会这个。

就是。进行一个安全的传输，如果证书无效的话，可能这个传输就有问题了。但是我们啊，不不买我们不买。我们做实验的话，就直接通过我们自己的这个Linux服务器来自己创建这个证书就可以了啊，这个模式其实和之前我们的那个呃，FTP那个是一样的啊，就是open SL，然后先来创建密钥文件，再来通过密钥创建证书文件，然后再来通过命令进行对证书进行签字颁发。拿着我们的这个证书和密钥文件，生成一个签字证书。而最终使用的时候，其实就就是用什么，用密钥和签字证书，用他俩啊，用他俩，最终还是用他俩就可以了。好了，我们根据步骤来生成下就可以了，那这个地方我们来看一下啊，我们之前的时候在那个FDB当中生成到一个指定的位置，这个地方在阿坝奇里边也有一个位置啊，生成完密钥和证书文件之后，把这个对应的文件放到阿帕奇下边的一个叫CT的目录。

我们来看一下阿帕奇有没有这个目录啊。貌似没有没创建一下MK2C。CD到C12T0。那么在这个梦想来创建这个。正书文件，必要文件可以了，OK，第一步先来进行一个私钥文件的创建。我都改好了，文件名我都改好了，直接用就可以了。然后呢，再来进行公钥文件的创建，不是公钥就是证书文件的创建。证书员创建的时候呢，需要依次填写一些信息，那需要填国家、地区、城市组织，组织单位，Email等等，还有一个最重要的就是common这个地方要写你的名字或者域名，这个地方因为我们是做网站的，则必须要写域名。必须要写域名。写那个对应的域名啊，OK。

嗯，比如说我们写。CN。BJ。Organization。硅谷。云计算。然后这个地方写育苗写3W点。没写上呢，就写上谷的域名。At硅谷的。然后email随便写一个，呃，叫。写我的吧。下边的加密不加密啊，直接跳过就可以了。然后这是生成了我们的证书和密钥文件。然后再把。密钥文件和证书文件再生成签字证书。啊，再生成亲字证书就可以了。

这个证书我给他签了啊，一年的时间啊，一年之内是有效的。那好了，证书，嗯。呃，签字证书还密钥生成完了之后，接下来我们就要让阿帕奇。怎么去调用我们所。就是设置好的或者下载好的证书和密钥文件，OK。首先，第一步调用SS模块，并启用SSL独立配置软件。调S或者漏的帽子，这个我们已经开启了，这个好说。而第二个启用SS配置文件，这个是需要单独去找英科的SSL的这个配置文件的，OK。外慰一下，跟一下user local阿PA7。促下的ETC下的主配件搭G。L的。Secret。Slt SL connections。

调用E写的HTTPD-S。找到它保存退出一下。主配置文件调用子配置文件了，我们就需要去修改子配置文件啊，需要子配文件。然后呢，添加SSL协议，支持以下的内容，去掉不安全协议，我们一般只需要让他支持SSLV2和SSLV3就可以了啊。然后呢，下边呢，是修改加密套套件啊，加修改加密套件这个地方你就按我的来写就可以了啊，直接复制里。然后再一个就是。开启啊这种。密钥和证书认证方式啊，开启密钥证书认证方式。再一个就是我们的这个。签了字的。这种证书文件和。私要文件。EF下的HTPSSL。

它里边其实有一些东西是存在的啊，我们只需要改改就行了，有一些是不存在的，比如说你看它已经存在了这个加密套件，对吧，我们可以把它的加密套件给他注入掉啊，不用它的。然后呢，它的这个开关门是没开的啊，我们。再一个就是。再一个就是他，你看他的证书文件和密钥文件也都有的，我们都给它注入掉啊，你不用他。用自己的内容啊。我们把它本来就有的，但是我们需要往里写的内容都给他注入掉，然后我们来自己来写一下。我们就找个空白的位置写一下就可以了，就在这儿。要把我们的内容复制过来。

OK，前面的这个。2345。为了方便，其实该从外边改好了再进来啊。

加密的这个版本啊，加密的这个。然后开启加密，然后。签字证书以及这个私要文件，OK。就是我们要写入这个配置文件的信息啊，写入这个配置文件信息，然后呢，再一个就是添加主配置文件里边，在主推里边什么添加虚拟主机，为什么添加虚拟主机呢？这个地方很简单啊，因为本身啊，我们的这个阿尔法奇服务器不可能不接080呢，为啥。浏览器默认就访问八零，你不仅080，那浏览器相当于访问不了了，那并不是所有的人都会直接通过浏览器来访问这种我们的这个这个HTPS也是说并不是所有人都会，而是绝大多数人都不知道hps，而你访问这个网站的时候，它自动跳转到hps是最好的，所以说一个阿巴奇服务器既要监听巴黎港口，又要监听特。

HTPS端口，那HTPS端口什么是四三。你只需要再添一个微创后色就可以了，这个呀，直接在这个主配面里边操作就可以啊，直接在主配件里边操作就以。我们看一下这个地方是写的什么东西啊。Which host default。Document root是目录要和HP com复里边那个默认的一致，那也就是HCS，您说那这个不使用那个3W新浪和搜狐那个吗？这个不使用，那这个不使用，这个直接使用那个我们那个自带的那个就可以了啊。把这个内容。可能复制一下，先复制到。找到主播软件。

3G。在下边儿添加我们的。接下来之后呢，这个。有没有需要修改的啊，四三监听没有问题啊。嗯，其实这个地方的这个什么下划线default冒号四三，这个地方可以改成星四三啊。然后目录是HT3，嗯，HTCS是local house算。而这个证书文件这些东西的位置也指的是没有问题，都是C录下的。文件。有一个错误。报了一个。语法错误ONLINE86行。嗯，在这个子配一个86分有个错误。向s SL session。

缓存。Shm cb session catch not spot。Maybe you need to load，你需要去加载一下。So。Catch的mode需要加的这个模块。很简单啊，这个地方我应该写了。其实如果报这个错误的话，是因为某模块没加上啊。要么你就不不用这个模块把这个把。那个刚才那个注射料，要么你就把那个模块加上啊OK。模块名字叫mod so catch。搜一下。Mod。SOCACHE。SHMCB就这。把它取消注释。保存再来apap钢铁就没有问题了。然后呢，至此呢，我们所有的这个内容就已经。

就是所有的这个这个这个这个操作都已经改完了，然后我们需来验证一下，我们需要来验证一下。起完之后拿state去检查一下端口啊。记得有那个什么八零端口。右里有什么？右里有43端口，两个端口都得共存才行。然后呢，我们去访问一下这个两个页面啊。直接访问幺零就可以了。看是可以访问的。然后用HTPS访问一下试试。APS也能访问，应该也显示了box，只是这个地方证书有风险，为啥这个我说过，这个证书并不是我们那个通过，呃，就是专门的厂商注册，而是自己写的，你可以点开这种信息，这种信息里边你看是不是3WS，这看呗。证书的详细信息里边，是不是就是我们填那些信息啊。

谢谢。比如说我们这个加密是生效了的，那我们现在想实现一个功能，什么功能呢？就是让这个网站啊，它必须用HTPS，就是你即便在访问的时候用的是HTP协议在访问。HTTP在访问也必须自动跳转成HTPS，也就说我强制要求用户都必须用HTP。我进行。怎么办呢？这个地方就得涉及到一个跳转了，页面跳转，那页面跳转跳转规则怎么来设置呢？我们来看一下啊。强制跳转。有些时候为了安全，网站是不允许使用HTP访问的，仅允许使用HTPS这地方其实并不是仅允许，而是而是要求用户的HTTP跳转成hps，目的是为了更安全，怎么做呢？这个很简单啊。在我们的。这个主配软件里边，找到我们的那个就是八零端口那个监听那个位置啊，找到八零端口监听位置，然后呢，在那个director的那个标签里边啊，在那个标签里边，然后呢，写入这些信息，写入这些信息什么信息呢。

开启跳转功能。然后呢，检查跳转机制，检查什么呢？检查如果使用的是43进行访问。啊，访问是四三进访问什么。就是目标端口，如果是四三的话，则啊则。把什么把你访问的任何内容都跳转成HTTPS访问？这方是不是443啊，快点感叹号，如果开头不是443的话。如果不是443什么开头不是443的话，只要目标不是443，只要你访问的目标端口不是443，则都必须使用43端口话。然后并且301玉米调整。你把这个内容复制一下啊。

先粘到我这个。煮水给他试一下。那来说一下放哪儿啊放哪。放在那个监听的八零端口的那个directory的那个想。找一下我们那个do。啊，Doc。看这是不是有个director，呃，HTCS就在这里边写就可以了。别出了一个范围。

保存备注一下。检查一下配置文件的问题。重启也配你。这时候我们来。注意啊，这个时候并不是把八零去掉，而是八零还存在，而且443也存在，这个时候我们写了那个跳转规则，意思是当有用户通过不是443的端口来访问的时候，必须让他用443。你想通过八零访问我，我说那个对不起啊，你八零咱俩就别通信了，你用443给我通信吧，告诉你用443，然后你就拿443来和我通信。必须用四三，而不是八零也行，四三也行，不是两个都行，而是必须使用某一个看着啊，这个地方我现在用是不是这个，呃，19218810，看着刷新一下。跳成HTPS呀。上了hps呀。4HP。自动调整成IPS，这就是我们的这个。

进行强制跳转的这么一个实验，也是通过这个功能，这和我们之前讲的那个，呃，Rewrite，搜狐跳新浪是一样的原理啊，是一样的原理，OK。好了，接下来为了做实验方便啊，在做后边实验的时候建议把关掉啊。然后呢？把这个对应的跳转啊，虚拟主机啊，SCR都关闭掉啊，都关闭。为了方便。好了，我们这个实验就到这儿了。我们。下节课再讲其他，OK。