http2.4版本基本配置应用

练习题:分别使用httpd-2.2和httpd-2.4实现;
1、建立httpd服务,要求:
(1) 提供两个基于名称的虚拟主机:
www1.stuX.com,页面文件目录为/web/vhosts/www1;错误日志为/var/log/httpd/www1/error_log,访问日志为/var/log/httpd/www1/access_log;
www2.stuX.com,页面文件目录为/web/vhosts/www2;错误日志为/var/log/httpd/www2/error_log,访问日志为/var/log/httpd/www2/access_log;
(2) 通过www1.stuX.com/server-status输出其状态信息,且要求只允许提供账号的用户访问;
(3) www1不允许192.168.1.0/24网络中的主机访问;
2、为上面的第2个虚拟主机提供https服务,使得用户可以通过https安全的访问此web站点;
(1) 要求使用证书认证,证书中要求使用国家(CN),州(Beijing),城市(Beijing),组织为(MageEdu);
(2) 设置部门为Ops, 主机名为www2.stuX.com;
首先,分析题目,我们要提供一台机器上实现两个https那就必须基于两个ip来实现,也就是说,要有两个网卡,同时,我们做实验,那就得提供一个CA。
前提准备:
centos7:http服务(ip:172.16.253.111/16,172.16.200.200/16)
centos6:CA证书机构(172.16.252.194/16 )
1、我们首先搭建一个私有CA,然把给httpd服务签一个证书,然后把CA的证书给导入到要访问httpd服务器的客户端上。
(1)创建所需要的文件/CA 目录下
touch index.txt
touch serial
echo 01 > serial
(2)CA自签证书:
(3)、为自己创建密钥:
(umask 077; openssl genrsa -out private/cakey.pem 2048)
2、openssl req -new -x509 -key /etc/pki/CA/priviate/cakey.pem -days 3600 -out /etc/pki/CA/cacert.pem
(4)发证
用到证书http服务的主机生成证书请求:
(umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365
scp /etc/httpd/ssl/httpd.csr root@172.16.252.194:/tmp //传输证书请求
把请求文件传输给CA
CA签署证书,并将证书发还给请求者:
openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
查看证书中的信息:
openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -text|-subject|-serial
3、接下来就搭建httpd服务:
yum install httpd mod_ssl //httpd的ssl是以模块的方式提供的
mkdir /web/vhosts/www{1,2} -pv //创建文件目录
htpasswd -b -c /etc/httpd/ssl/.htpasswd x y //给x用户y密码,-b 没有这文件自动创建
http2.4版本基本配置应用
#NameVirtualhost *:80 //2.2版本的httpd上添加此项内容,2.4的版本就不用添加此项,服务会自动识别
<VirtualHost 172.16.200.200:80> //这里是基于IP地址来做的虚拟主机
ServerName www1.stu19.com //服务器的名称
DocumentRoot “/web/vhosts/www1” //此虚拟机的物理地址
<Directory “/web/vhosts/www1”> //在2.4的版本中,是要显示的给目录施加权限,要不然是拒绝访问
Options None //目录访问权限的指令
Allowoverride None //本目录的权限设置不允许被目录下的.htaccess配置文件的内容覆盖
<RequireAll> //在2.4的版本中需要这写来指定给予哪些用户访问的权限
require all granted //给予所有人权限
# require not ip 172.16.251.150 //不允许这个ip地址的访问
</RequireAll> //标签结尾符
</Directory> //目录标签结尾符
<Location /server-status> //允许mod_status模块产生状态报告
SetHandler server-status //打开内键处理器
Allowoverride None
AuthType Basic //添加认证方式,以basic的方式来进行用户权限控制
AuthName “Pleas input the user & passwd,OK?” //提示信息
AuthUserFile “/etc/httpd/ssl/.htpasswd” //用户帐号和密码存放的文件位置
require valid-user //允许文件中的所有用户访问
</Location> //标签结尾
CustomLog logs/www1/access_log common //定义正常访问日志的格式和位置,logs是相对位置
ErrorLog logs/www1/error_log //错误日志位置
</VirtualHost> //标签结尾
修改/etc/httpd/conf.d/ssl.conf文件,将:
SSLCertificateKeyFile /etc/httpd/ssl/httpd.key
SSLCertificateFile /etc/httpd/ssl/httpd.crt
这两个选项一定要改成你的证书和密钥的位置,这样才能以https的方式来访问。
还剩一个操作,我就不做了。同理,只需要在多复制一个ssl.conf文件出来对应www2.stu19.com,并且在去签一个www2.stu19.com的证书,并对应虚拟主机的配置就可以的。(中间遇到一个坑,最新的chrome5.8是不支持SSLv3的,所以,用老的浏览器,或者别的浏览器去做https)

原创文章,作者:dance_man,如若转载,请注明出处:http://www.178linux.com/77549

(1)
dance_mandance_man
上一篇 2017-06-05 16:44
下一篇 2017-06-05

相关推荐

  • Linux 第十天: Linux文件查找和压缩

      Linux 第十天: Linux文件查找和压缩                     使用Linux的时候, 经常需要查找文件, 在Linux中, 有很多方法可以做到这一点.…

    Linux干货 2016-08-18
  • 接51CTO:13 用户组和权限管理3

    用户组和权限管理3 一、杂项知识整理 1、硬链接:写源文件可以是相对地址,相对于链接文件。例如 [root@localhost testdir]# ln ../etc/fstab aaa ln: 无法创建硬链接"aaa" => "../etc/fstab…

    Linux干货 2016-08-04
  • 第三周 用户和组管理

    1、列出当前系统上所有已经登录的用户的用户名,注意:同一个用户登录多次,则只显示一次即可。 [root@localhost ~]# who root     pts/0        2017-12-16 22:46 (192.168.43.233) root     pts/1        2017-12-16 22:46 (192.168.43.233…

    2017-12-16
  • 本地yum仓库配置以及创建yum仓库

    如何使用光盘当做本地yum仓库?     1.挂载光盘至某目录,例如/media/cdrom      [root@CentOS7 ~]# mount /dev/cdrom /media/cdrom/ mount: /dev/sr…

    Linux干货 2016-08-23
  • linux-第一周

    inux命令:(type)                  1,集成在bash中的命令,内部命令。依赖于shell类型。                  2,在文件系统路径下有…

    Linux干货 2017-05-20
  • python基础_1

    变量/常量 常量:一旦赋值,就不能对它从新复制。python不存在常量 字面常量:一个单独出现的量,未赋值给任何变量或者常量 变量:就是一个名字,在固执符号的左边,这个名字可以指复制符号右边的内容。 变量列子: i = 3 print(i)  注:python 是强类型语言,是动态类型语言。(强类型指类型之间不能相互计算/动态类型是指变量是可以赋值…

    Linux干货 2017-10-10