日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

88 FreeBSD連載:安全連接方式SSL

云知道

安全連接方式SSL通常的連接方式中,通信是以非加密的形式在網(wǎng)絡(luò)上傳播的,這就有可能被非法竊聽(tīng)到,尤其是用于認(rèn)證的口令信息 。為了避免這個(gè)安全漏洞,就必須對(duì)傳輸過(guò)程進(jìn)行加密 。對(duì)HTTP傳輸進(jìn)行加密的協(xié)議為HTTPS,它是通過(guò)SSL(安全Socket層)進(jìn)行HTTP傳輸?shù)膮f(xié)議,不但通過(guò)公用密鑰的算法進(jìn)行加密保證傳輸?shù)陌踩裕疫€可以通過(guò)獲得認(rèn)證證書(shū)CA,保證客戶連接的服務(wù)器沒(méi)有被假冒 。
使用公用密鑰的方式可以保證數(shù)據(jù)傳輸沒(méi)有問(wèn)題,但如果瀏覽器客戶訪問(wèn)的站點(diǎn)被假冒,這也是一個(gè)嚴(yán)重的安全問(wèn)題 。這個(gè)問(wèn)題不屬于加密本身,而是要保證密鑰本身的正確性問(wèn)題 。要保證所獲得的其他站點(diǎn)公用密鑰為其正確的密鑰,而非假冒站點(diǎn)的密鑰,就必須通過(guò)一個(gè)認(rèn)證機(jī)制,能對(duì)站點(diǎn)的密鑰進(jìn)行認(rèn)證 。當(dāng)然即使沒(méi)有經(jīng)過(guò)認(rèn)證,仍然可以保證信息傳輸安全,只是客戶不能確信訪問(wèn)的服務(wù)器沒(méi)有被假冒 。如果不是為了提供電子商務(wù)等方面對(duì)安全性要求很高的服務(wù),一般不需要如此嚴(yán)格的考慮 。
雖然Apache服務(wù)器不支持SSL,但Apache服務(wù)器有兩個(gè)可以自由使用的支持SSL的相關(guān)計(jì)劃,一個(gè)為Apache-SSL,它集成了Apache服務(wù)器和SSL,另一個(gè)為Apache mod_ssl,它是通過(guò)可動(dòng)態(tài)加載的模塊mod_ssl來(lái)支持SSL,其中后一個(gè)是由前一個(gè)分化出的,并由于使用模塊,易用性很好,因此使用范圍更為廣泛 。還有一些基于Apache并集成了SSL能力的商業(yè)Web服務(wù)器,然而使用這些商業(yè)Web服務(wù)器主要是北美,這是因?yàn)樵谀抢颯SL使用的公開(kāi)密鑰的算法具備專利權(quán),不能用于商業(yè)目的,其他的國(guó)家不必考慮這個(gè)專利問(wèn)題,而可以自由使用SSL 。
雖然通常mod_ssl以及其他復(fù)雜的Apache模塊都提供了詳細(xì)的編譯安裝說(shuō)明,并提供了非常有用的腳本程序和Makefile來(lái)幫助使用者進(jìn)行安裝 。然而為Web服務(wù)器增加一個(gè)模塊并不是一個(gè)簡(jiǎn)單而易于描述的任務(wù),幸運(yùn)的是,F(xiàn)reeBSD提供了Ports Collection,讓使用者不必關(guān)系每一步安裝細(xì)節(jié)就能安裝好這個(gè)模塊 。
如果不打算使用Ports Collection來(lái)安裝mod_ssl,那么事情就略微麻煩一些,必須自己手工下載Apache的源代碼,以及mod_ssl的代碼,按照說(shuō)明一步步的編譯安裝 。
Apache mod_ssl依賴于另外一個(gè)軟件:openssl,它是一個(gè)可以自由使用的SSL實(shí)現(xiàn),首先需要安裝這個(gè)Port(由于專利的影響,這些軟件無(wú)法制作為可以直接安裝的二進(jìn)制軟件包,必須使用Ports Collection安裝) 。openssl位于/usr/ports下面的security子目錄下,當(dāng)下載其源程序之前,需要設(shè)置環(huán)境變量USA_RESIDENT為NO,以避開(kāi)專利紛爭(zhēng) 。
# USA_RESIDENT=NO; export USA_RESIDENT# cd /usr/ports/security/openssl# make; make install安裝好openssl之后,就可以安裝Apache mod_ssl了 。然而為了安裝完全正確,需要清除原先安裝的Apache服務(wù)器的其他版本,并且還要清除所有的設(shè)置文件及其缺省設(shè)置文件,以避免出現(xiàn)安裝問(wèn)題 。最好也刪除/usr/local/www目錄(或更名),以便安裝程序能建立正確的初始文檔目錄 。如果是一臺(tái)沒(méi)有安裝過(guò)Apache服務(wù)器的新系統(tǒng),就可以忽略這個(gè)步驟,而直接安裝Apache mod_ssl了 。
刪除舊有文件之后,便可進(jìn)入相應(yīng)目錄,啟動(dòng)安裝和編譯進(jìn)程 。
# cd /usr/ports/www/apache13 mod_ssl# make ; make install# make certifaction=custom最后一個(gè)make用于生成認(rèn)證證書(shū),由于這個(gè)Port直接生成了httpd.conf等缺省文件(如果安裝的時(shí)候沒(méi)有httpd.conf等文件存在),因此可以直接啟動(dòng)新的服務(wù)器而不需要設(shè)置,如果啟動(dòng)過(guò)程因?yàn)樵O(shè)置文件的不合適而導(dǎo)致一些小問(wèn)題,請(qǐng)參照前面對(duì)標(biāo)準(zhǔn)Apache服務(wù)器的設(shè)置說(shuō)明作出相應(yīng)修改 。
# /usr/local/sbin/apachectl startssl此時(shí)使用start參數(shù)為僅僅啟動(dòng)普通Apache的httpd守護(hù)進(jìn)程,而不啟動(dòng)其SSL能力,而startssl才能啟動(dòng)Apache的SSL能力 。如果之前Apache的守護(hù)進(jìn)程正在運(yùn)行,便需要使用stop參數(shù)先停止服務(wù)器運(yùn)行 。

推薦閱讀