首页 > 其他分享 >WEB+CA

WEB+CA

时间:2024-11-04 22:20:30浏览次数:1  
标签:WEB csk 证书 CA httpd systemctl ca

APPSRV、StorageSrv、INSIDECLI

服务

WEB服务
安装WEB服务。
服务以用户webuser系统用户运行。
限制WEB服务只能使用系统500M物理内存。
全站点启用TLS访问,使用本机上的“CSK Global Root CA”颁发机构颁发,网站证书信息如下:
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = *.chinaskills.com
客户端访问https时应无浏览器(含终端)安全警告信息。
当用户使用http访问时自动跳转到https安全连接。
搭建www.chinaskills.cn站点。
网页文件放在StorgeSrv服务器上。
在StorageSrv上安装MriaDB,在本机上安装PHP,发布WordPress网站。
MariaDB数据库管理员信息:User: root/ Password: 000000。

​ 创建网站download.chinaskills.cn 站点。
​ 仅允许ldsgp用户组访问。
​ 网页文件存放在StorageSrv服务器上
​ 在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf”,其中test.mp4 文件的大小为100M,页面访问成功 后能够列出目录所有文件;
​ 安全加固,在任何页面不会出现系统和WEB服务器版本信息。

CA(证书颁发机构)
CA根证书路径/csk-rootca/csk-ca.pem。
签发数字证书,颁发者信息:(仅包含如下信息)
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = CSK Global Root CA

上传需要使用的软件

APPSRV

image-20241029204152026

image-20241029204203630

ALT+P

image-20241029204305776

image-20241029204323199

这个也可以上传,后面是ROUTERSRV要用的,通过SCP传给ROUTERSRV

安装服务

APPSRV

yum install -y openssl httpd mariadb mariadb-server mod_ssl php* unzip -y 
#openssl CA证书,一般都自带,其他都是https服务需要用到的。

STORAGESRV

yum install -y mariadb mariadb-server

限制物理内存

systemctl enable httpd
vim /etc/systemd/system/multi-user.target.wants/httpd.service
#添加下面一条

menmorylimit=500
#守护进程重新加载
systemctl daemon-reload

搭建www站点

APPSRV

创建系统用户

useradd -r webuser

编辑http配置文件

vim /etc/httpd/conf/httpd.conf

66 User webuser
67 Group webuser
# G   到最后一行
<virtualhost *:80>
redirect permanent / https://www.chinaskills.cn/	#重定向
</virtualhost>

<virtualhost www.chinaskills.cn:443>
documentroot "/webdata/wordpress"
servername www.chinaskills.cn
sslengine on	#启用ssl
sslcertificatefile /csk-rootca/httpd.pem
sslcertificatekeyfile /csk-rootca/httpd.key
<directory /webdata/wordpress>
require all granted	#允许访问
</directory>
</virtualhost>

web数据库MraiDB

STORAGESRV

启动服务,并设置开机自启动

systemctl restart mariadb
systemctl enable mariadb

数据库初始化配置

mysql_secure_installation #数据库初始化配置,只能使用一次
回车两次
到密码哪里
y
000000
000000
然后一直回车就行了

数据库配置

mysql -uroot -p000000 #进入数据库
create database wordpress;
grant all on wordpress.* to root@'%' identified by '000000';
Ctrl + C #保存并退出
systemctl restart mariadb

APPSRV

测试下能不能访问STORAGESRV上面的数据库

mysql -uroot -p000000 -h192.168.100.200

image-20241029204126134

systemctl restart mariadb
systemctl enable mariadb

这里也可以启动数据库服务,不影响

www网页文件

APPSRV

解压wordpress到/webdata

unzip wordpress.zip -d /webdata

编辑wordpress配置文件

cd /webdata/wordpress
cp -a wp-config-sample.php wp-config.php
vim wp-config.php

image-20241029204105225

如果没有搭建download站点服务,可以跳过这里,配置CA

创建download站点

vim /etc/httpd/conf/httpd.conf

#安全加固,在任何页面不会出现系统和WEB服务器版本信息
serverSignature off
servertokens prod
#download站点服务
<virtualhost download.chinaskills.cn:443>
servername download.chinaskills.cn
documentroot /webdata/download
sslengine on
sslcertificatefile /csk-rootca/httpd.pem
sslcertificatekeyfile /csk-rootca/httpd.key
<directory /webdata/download>
options Indexes
authtype basic
authname "download"
authuserfile "/var/passwd"
require valid-user
</directory>
</virtualhost>

删除或者重命名WEB服务默认网页

mv /etc/httpd/conf.d/welcome.conf /etc/httpd/conf.d/welcome.conf.bak

目录文件和认证用户

mdir /webdata/download
cd /webdata/download
touch test.mp3
touch test.pdf
dd if=/dev/zero of=test.mp4 bs=100M count=1

useradd zsuser
useradd lsusr
useradd wuusr
htpasswd -c /var/passwd zsuser
htpasswd /var/passwd lsusr
htpasswd /var/passwd wuusr

建议这里留个快照,防止CA报错,因为http已经搭建完了,就等证书弄好,在启动http服务了

CA证书

APPSRV

创建根证书存放路径

mkdir /csk-rootca
chmod 777 /csk-rootca

编辑ssl证书配置文件,修改根证书的路径和名称。

vim /etc/pki/tls/openssl.cnf

image-20241029204048651

image-20241029204037244

配置CA(稳一点这里也可以留快照)

cp -a /etc/pki/CA/* /csk-rootca
cd /csk-rootca
touch index.txt
echo "01" > serial
openssl genrsa -out private/cakey.pem
openssl req -new -x509 -key private/cakey.pem -out csk-ca.pem

image-20241029204015919

生成http的证书

openssl genrsa -out httpd.key
openssl req -new -key httpd.key -out httpd.csr

image-20241029204000369

签发http证书

openssl ca -in httpd.csr -out httpd.pem
y
y

传递证书

APPSRV

将根证书给客户端,https证书给web服务器

mkdir /ca	##需要用到证书的主机创建放证书的文件夹
scp httpd.* 192.168.100.254:/ca
scp httpd.* 192.168.100.200:/ca
scp csk-ca.pem 192.168.0.190:/ca

INSIDECLI

客户端应用证书

cp -a /ca/csk-ca.pem /etc/pki/ca-trust/source/anchors/
update-ca-trust

启动服务

APPSRV

systemctl restart httpd
systemctl enable httpd

标签:WEB,csk,证书,CA,httpd,systemctl,ca
From: https://www.cnblogs.com/Laken/p/18526856

相关文章

  • scala的包及其导入
    Scala的包的定义:Scala的包用于解决类的命名冲突和类的文件管理。在引入类时加上包名可以区分不同的类,解决类名冲突的问题。 Scala的包创建步骤: 1.创建包:在src上右键,新建软件包2.填写包名:小写3.在包上右键,创建类。自动加入包名4.导入:import包名.类名  导入......
  • 如何定义ggplot2 的scale_fill_manual() 中参数 values 的命名向量?
    需求背景对R语言中,ggplot2的scale_fill_manual()函数的values参数理解不到位,它这里需要的是一个命名向量,无法在c()函数内部直接创建一个向量。举例说明,以不同分类数据的条形图来作为图例。比如我有14个不同物种,绘制其不同颜色的条形图,注意颜色不能随便定义,需要指定每个......
  • 【AI试衣整合包及教程】CatVTON带你进入AI换装新时代
    在这个数字科技飞速发展的时代,每一次技术创新都在重塑我们的生活方式。今天,让我们一同走进CatVTON的世界,一款由中山大学、美图公司及鹏城实验室联手打造的轻量化AI虚拟换装工具,它正以其独特魅力,引领着虚拟试衣技术的新潮流。从梦想照进现实:CatVTON的故事想象一下,只需要几张......
  • Mit6.S081笔记Lab5: Lazy Page Allocation 惰性分配
    课程地址:https://pdos.csail.mit.edu/6.S081/2020/schedule.htmlLab地址:https://pdos.csail.mit.edu/6.S081/2020/labs/lazy.html我的代码地址:https://github.com/Amroning/MIT6.S081/tree/lazyxv6手册:https://pdos.csail.mit.edu/6.S081/2020/xv6/book-riscv-rev1.pdf相关翻......
  • Educational Codeforces Round 162 (Rated for Div. 2) - VP记录
    Preface这次状态不是很好,B题做的稍微久了一点。D题一眼秒出做法,可惜很多细节没考虑到导致WA了三发。下次应当在做题的时候多多考虑细节,手推数据。而不要想着撞大运撞对。A.MovingChips每一次移动可以补齐一个\(0\),所以找\(1\)中穿插的\(0\)的数量即可,注意两边的\(......
  • CAD、BOM、PLM、PDM……国产工业软件为何被“卡脖子”
    卡脖子,不挣钱——工业软件成为开发禁区国内一直流传着芯片“卡脖子”的说法,但CAD、PDM、PLM等工业软件“卡脖子”的状况也由来已久了,二三十年来,这一直是行业内人人皆知的现实。工业软件是中国工业体系中最大的短板之一,尤其是核心工业软件,更是大家避之不及的开发禁区。原因很......
  • 解决 Unexpectedlexicaldeclarationincaseblock的问题
    亲测可用,若有疑问请私信使用新版的es-lint的时候扫描旧的项目,发现报了Unexpectedlexicaldeclarationincaseblock(no-case-declarations)这么一个错误提示当时很奇怪,就去查了一下文档,发现中文文档中解释比较简单该规则禁止词法声明(let、const、function和class)出......
  • ‌webdriver.Chrome()参数简介
    webdriver.Chrome()参数‌如下:‌executable_path‌:指定ChromeDriver的路径,若未设置且系统环境变量中已配置,则会自动寻找。‌options‌:通过webdriver.ChromeOptions()创建,用于设定浏览器的启动选项,如无痕浏览、禁用图片等。‌port‌:设置WebDriver服务的端口,默认是0,表示使用任意......
  • PLC QCA7005调试笔记
    方案选择SOC方案选择不多,暂时只发现高通和联芯通两家。模块方案较多,基本都是基于高通方案实现的。想要获取高通原厂的技术支持比较困难,但考虑到产品的稳定性还是选择了高通。高通:https://www.qualcomm.com/products/internet-of-things/networking/wi-fi-networks/qca7005联......
  • 【嵌入式Web服务器】嵌入式Web框架选型
    1.业界流行的嵌入式端Web服务器在嵌入式平台中,内置Web界面通常用于设备配置、监控和控制。以下是一些流行的嵌入式平台Web界面框架:uIPWeb服务器框架一个非常轻量级的Web服务器框架,专为嵌入式系统设计,支持小型TCP/IP协议栈。ESP8266/ESP32Web框架针对ESP8266和ESP32......