APPSRV、StorageSrv、INSIDECLI
服务
WEB服务
安装WEB服务。
服务以用户webuser系统用户运行。
限制WEB服务只能使用系统500M物理内存。
全站点启用TLS访问,使用本机上的“CSK Global Root CA”颁发机构颁发,网站证书信息如下:
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = *.chinaskills.com
客户端访问https时应无浏览器(含终端)安全警告信息。
当用户使用http访问时自动跳转到https安全连接。
搭建www.chinaskills.cn站点。
网页文件放在StorgeSrv服务器上。
在StorageSrv上安装MriaDB,在本机上安装PHP,发布WordPress网站。
MariaDB数据库管理员信息:User: root/ Password: 000000。 创建网站download.chinaskills.cn 站点。
仅允许ldsgp用户组访问。
网页文件存放在StorageSrv服务器上
在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf”,其中test.mp4 文件的大小为100M,页面访问成功 后能够列出目录所有文件;
安全加固,在任何页面不会出现系统和WEB服务器版本信息。CA(证书颁发机构)
CA根证书路径/csk-rootca/csk-ca.pem。
签发数字证书,颁发者信息:(仅包含如下信息)
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = CSK Global Root CA
上传需要使用的软件
APPSRV
ALT+P
这个也可以上传,后面是ROUTERSRV要用的,通过SCP传给ROUTERSRV
安装服务
APPSRV
yum install -y openssl httpd mariadb mariadb-server mod_ssl php* unzip -y #openssl CA证书,一般都自带,其他都是https服务需要用到的。STORAGESRV
yum install -y mariadb mariadb-server
限制物理内存
systemctl enable httpd
vim /etc/systemd/system/multi-user.target.wants/httpd.service
#添加下面一条
menmorylimit=500
#守护进程重新加载
systemctl daemon-reload
搭建www站点
APPSRV
创建系统用户
useradd -r webuser编辑http配置文件
vim /etc/httpd/conf/httpd.conf 66 User webuser 67 Group webuser # G 到最后一行 <virtualhost *:80> redirect permanent / https://www.chinaskills.cn/ #重定向 </virtualhost> <virtualhost www.chinaskills.cn:443> documentroot "/webdata/wordpress" servername www.chinaskills.cn sslengine on #启用ssl sslcertificatefile /csk-rootca/httpd.pem sslcertificatekeyfile /csk-rootca/httpd.key <directory /webdata/wordpress> require all granted #允许访问 </directory> </virtualhost>
web数据库MraiDB
STORAGESRV
启动服务,并设置开机自启动
systemctl restart mariadb systemctl enable mariadb数据库初始化配置
mysql_secure_installation #数据库初始化配置,只能使用一次 回车两次 到密码哪里 y 000000 000000 然后一直回车就行了数据库配置
mysql -uroot -p000000 #进入数据库 create database wordpress; grant all on wordpress.* to root@'%' identified by '000000'; Ctrl + C #保存并退出 systemctl restart mariadbAPPSRV
测试下能不能访问STORAGESRV上面的数据库
mysql -uroot -p000000 -h192.168.100.200
systemctl restart mariadb systemctl enable mariadb这里也可以启动数据库服务,不影响
www网页文件
APPSRV
解压wordpress到/webdata
unzip wordpress.zip -d /webdata编辑wordpress配置文件
cd /webdata/wordpress cp -a wp-config-sample.php wp-config.php vim wp-config.php
如果没有搭建download站点服务,可以跳过这里,配置CA
创建download站点
vim /etc/httpd/conf/httpd.conf
#安全加固,在任何页面不会出现系统和WEB服务器版本信息
serverSignature off
servertokens prod
#download站点服务
<virtualhost download.chinaskills.cn:443>
servername download.chinaskills.cn
documentroot /webdata/download
sslengine on
sslcertificatefile /csk-rootca/httpd.pem
sslcertificatekeyfile /csk-rootca/httpd.key
<directory /webdata/download>
options Indexes
authtype basic
authname "download"
authuserfile "/var/passwd"
require valid-user
</directory>
</virtualhost>
删除或者重命名WEB服务默认网页
mv /etc/httpd/conf.d/welcome.conf /etc/httpd/conf.d/welcome.conf.bak
目录文件和认证用户
mdir /webdata/download
cd /webdata/download
touch test.mp3
touch test.pdf
dd if=/dev/zero of=test.mp4 bs=100M count=1
useradd zsuser
useradd lsusr
useradd wuusr
htpasswd -c /var/passwd zsuser
htpasswd /var/passwd lsusr
htpasswd /var/passwd wuusr
建议这里留个快照,防止CA报错,因为http已经搭建完了,就等证书弄好,在启动http服务了
CA证书
APPSRV
创建根证书存放路径
mkdir /csk-rootca chmod 777 /csk-rootca编辑ssl证书配置文件,修改根证书的路径和名称。
vim /etc/pki/tls/openssl.cnf
配置CA(稳一点这里也可以留快照)
cp -a /etc/pki/CA/* /csk-rootca cd /csk-rootca touch index.txt echo "01" > serial openssl genrsa -out private/cakey.pem openssl req -new -x509 -key private/cakey.pem -out csk-ca.pem
生成http的证书
openssl genrsa -out httpd.key openssl req -new -key httpd.key -out httpd.csr
签发http证书
openssl ca -in httpd.csr -out httpd.pem y y
传递证书
APPSRV
将根证书给客户端,https证书给web服务器
mkdir /ca ##需要用到证书的主机创建放证书的文件夹 scp httpd.* 192.168.100.254:/ca scp httpd.* 192.168.100.200:/ca scp csk-ca.pem 192.168.0.190:/caINSIDECLI
客户端应用证书
cp -a /ca/csk-ca.pem /etc/pki/ca-trust/source/anchors/ update-ca-trust
启动服务
标签:WEB,csk,证书,CA,httpd,systemctl,ca From: https://www.cnblogs.com/Laken/p/18526856APPSRV
systemctl restart httpd systemctl enable httpd