╃苍狼山庄╃

转载自：http://blog.s135.com/startssl/

HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容请看SSL。

　　它是一个URI scheme（抽象标识符体系），句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。
阅读全文...

由于NT系统的易维护性，越来越多的中小企业在自己的网站上和内部办公管理系统上采用它，而且很多都是用默认的IIS来做WEB服务器使用。当然不能否认近来威胁NT系统的几个漏洞都是由于IIS配置不当造成的，而且可以预见，未来IIS还会被发现很多新的漏洞和安全问题，但只要我们做好合理的安全配置，还是可以避免很多安全隐患的。本文并没有系统的去讲如何全面安全的配置IIS，我只是从利用SSL加密HTTP通道来讲如果加强IIS安全的。
　　一、建立SSL安全机制
　　IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外，还有一种安全性更高的认证，就是通过SSL（Security Socket Layer）安全机制使用数字证书。SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个惟一的安全通道。
　　建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入https:// ，而不是http://。
　　简单的说默认情况下我们所使用的HTTP协议是没有任何加密措施的，所有的消息全部都是以明文形式在网络上传送的，恶意的攻击者可以通过安装监听程序来获得我们和服务器之间的通讯内容。这点危害在一些企业内部网络中尤其比较大，对于使用HUB的企业内网来说简直就是没有任何安全可讲因为任何人都可以在一台电脑上看到其他人在网络中的活动，对于使用交换机来组网的网络来说虽然安全威胁性要小很多，但很多时候还是会有安全突破口，比如没有更改交换机的默认用户和口令，被人上去把自己的网络接口设置为侦听口，依然可以监视整个网络的所有活动。
　　所以全面加密整个网络传输隧道的确是个很好的安全措施，很可惜的是现在网络上有关于具体给IIS配置SSL的文章并不是很多，我简单的摸索了下把我的经验拿出来给大家分享。
　　二、操作办法
　　以WIN2000服务器版本的来做例子讲解的，我们首先需要在控制面板里的填加删除WINDOWS组件中去安装证书服务，这个服务在默认安装中是没有安装在系统里的，需要安装光盘来安装。

由于我们是第一次配置，所以选择创建一个新的证书。用默认的站点名称和加密位长设置就可以了。颁发成功以后我们在颁发的证书里找到刚才颁发的证书，双击其属性栏目然后在详细信息里选择将证书复制到文件。我们需要把证书导出到一个文件，这里我们把证书导出到c: sql.cer这个文件里。重新回到IIS的WEB管理界面里重新选择证书申请，这个时候出来的界面就是挂起的证书请求了。

拷贝必需的/etc下的文件到chroot

#cp /etc/passwd /chroot/etc

#cp /etc/shadow /chroot/etc

#cp /etc/group /chroot/etc

#cp /etc/resolv.conf /chroot/etc

#cp /etc/hosts /chroot/etc

#cp /etc/localtime /chroot/etc

#cp /etc/localtime /chroot/etc

#cp /etc/ld.so.* /chroot/etc

测试chroot下的阿帕奇

#chroot /chroot /usr/local/apache/bin/apachectl start

现在再

#chroot /chroot /usr/local/apache/bin/apachectl stop

　　服务器就停下来了，如果不行的话，再次确认是否所有需要的库都拷到了/chroot/lib下了，如果仍然无帮助的话，或者可以以strace方式运行httpd，它的输出可能会有一些有价值的内容可以帮助确定是丢失了哪些库或者二进制文件。

　　然后我们可以做一些小工作了：默认情况下阿帕奇是以nobody用户及用户组运行的，不要更改它。

　　在passwdshadowgroup等文件中包含了大量系统信息，所以你可以替换掉它们。

　　建立一个用户名为httpd，UID为80

　　建立一个组名为httpd，GID为80

　　用下面的命令来将/chroot下的passwd,shadow,group替换掉

#echo "httpd:x:80:100:,,,:/home/httpd:/bin/false" > /chroot/etc/passwd

#echo "httpd:*LK*:11010:0:99999:7:::" > /chroot/etc/shadow

#echo "httpd:x:80:" > /chroot/etc/group

设定好文件的许可权限

#chmod 600 /chroot/etc/passwd shadow group

　　现在我们可以编辑apache的配置文件并进行需要的配置，文件在

/chroot/usr/local/apache/conf/httpd.conf，寻找到包含apache运行用户

及组的信息的行并改变它(approx. line 263)，当然是改成httpd/httpd。

　　一切运行正常后我们可以删除前面的那些服务器安装的东西——/usr/local下的，包括服务器以及那些内建的模块等等。

#rm -rf /usr/local/apache

#rm -rf /usr/local/mod_ssl-2.5.0-1.3.11/

#rm -rf /usr/local/mod_perl-1.21/

#rm -rf /usr/local/openssl-0.9.4/

#rm -rf /usr/local/rsaref

　　如果以后还想改变它们的配置，增加新的模块，那么将原先的apache留下来也行。

　　将阿帕奇设定为在开机时自启动，修改/etc/rc.d/rc.local并且加入以下行：

echo "Starting Apache-SSL"

/usr/sbin/chroot/apache/bin/apachectl startssl

　　如果一切都运行正常的话，那么恭喜你，你已经成功地运行了带SSL支持的阿帕奇了，这会使你的web server更加安全，如果你希望加入更多的模块实现其它功能的话，自己动手吧，最后要说明的是：在chroot环境中最好只有必需的一些二进制程序，而SUID程序还是干掉比较好些。

六、阿帕奇的配置

　　现在我们可以来看看阿帕奇的配置文件了——需要记住的是如果你对它做了更改，在未重新启动httpd守护进程前，它是不会发生作用的。好，现在我们可以进目录/usr/local/apache/conf看看了。

httpd.conf -

　　这是阿帕奇的主要配置文件，你可以在这里设定服务器启动时的基本环境，比如服务器的启动方式、端口号、允许的最多连接数等等，这一文件的注释非常详细，要看明白应该没什么问题。

access.conf -

　　这一文件是设定系统中的存取方式和环境的，但现在已经可以在httpd.conf中设定了，所以推荐你别动它，放空好了。

srm.conf -

　　这家伙主要做的是资源上的设定，你也可以放空，仅仅设定httpd.conf中的相关项。

　　现在重启web server来使改动生效：

#/usr/local/apache/bin/apachectl restart

七、将阿帕奇设定在chroot环境下

　　现在我们开始把刚才建立的东西移到chroot环境下——包括阿帕奇服务器以及所有需要的库文件。当然如前面所说的，这部份是可选的，如果你怕麻烦的话就算了，但转移后可以对你的web server多一个可靠的保护。

建立/chroot目录

#mkdir /chroot

建立一些必需的子目录

#mkdir /chroot/dev

#mkdir /chroot/lib

#mkdir /chroot/etc

#mkdir /chroot/bin

#mkdir /chroot/usr

#mkdir /chroot/usr/local

在我们的chroot建立/dev/null

#mknod -m 666 /chroot/dev/null c 1 3

将阿帕奇拷贝到/chroot目录中

#cp -rp /usr/local/apache/ /chroot/usr/local

拷贝必需的二进制文件

#cp /bin/sh /chroot/bin

确定哪些库是必需的——这取决于你编译时内建了哪些模块

#ldd /usr/local/apache/bin/httpd

将需要的库拷贝到chroot目录

#cp /lib/libm.* /chroot/lib/

#cp /lib/libgdbm.* /chroot/lib

#cp /lib/libdb.* /chroot/lib

#cp /lib/libdl.* /chroot/lib

#cp /lib/libc.* /chroot/lib

拷贝网络连接所需要的函数库

#cp /lib/libnss* /chroot/lib

五、软件包的安装

　　在实际安装前我们要决定我们将把web server安装在什么环境下，对于一个对安全有相当高要求的人来说，可以将服务器和软件安装于chroot环境，chroot改变root 目录并且仅在这一目录中执行程序，这提供了一个内建的小环境，即使入侵者已经通过cgi程序或者其它办法通过80端口获得了系统的进入权限，它也只能够在这一受限的环境中活动，从安全角度考量，这当然是最好的，但对系统管理员来说，这样安装相对麻烦一些，还必须把一些必要的库，perl以及相关工具也搬到chroot中，所以——你自己决定吧，这里我们介绍的是在chroot下安装。

展开这些软件包:

#gzip -d -c apache_1.3.11.tar.gz | tar xvf -

#gzip -d -c mod_ssl-2.5.0-1.3.11.tar.gz | tar xvf -

#gzip -d -c openssl-0.9.4.tar.gz | tar xvf -

#gzip -d -c mod_perl-1.21.tar.gz | tar xvf -

开始并且编译rsaref

#mkdir rsaref

#cd rsaref

#gzip -d -c ../rsaref20.tar.Z | tar xvf -

#tar xvf rsaref.tar

#cp -rp install/unix temp

#cd temp

#make

#mv rsaref.a librsaref.a

#cd ../../

编译OpenSSL

#cd openssl-0.9.4

#perl util/perlpath.pl /usr/bin/perl (Path to Perl)

#./config -L`pwd`/../rsaref/temp/

#make

#make test

#cd ..

将mod_perl加到Apache的编译选项里

#cd mod_perl-1.21

#perl Makefile.PL APACHE_PREFIX=/usr/local/apache

APACHE_SRC=../apache_1.3.11/src

USE_APACI=1

你会得到下面的提示:

Configure mod_perl with ../apache_1.3.11/src ? [y]

直接按enter就是默认的yes

然后Makefile会问你是否建立httpd，可以用n选择不。

#make

#make install

#cd ..

将mod_ssl加到Apache中

#cd mod_ssl-2.5.0-1.3.11

#./configure --with-apache=../apache_1.3.11

--prefix=/usr/local/apache

--with-ssl=../openssl-0.9.4

--with-rsa=../rsaref/temp

--activate-module=src/modules/perl/libperl.a

#cd ..

编译Apache:

#cd apache_1.3.11

在编译以前我们可以再做一件事——编辑包含http server版本号的文件，使想得到它的入

侵者摸不着脑袋长哪儿:)

# src/include/httpd.h

寻找下面的行 (approx. 454)并且改变server的名字及版本号——可以随便用你想改成的东西。

define SERVER_BASEVERSION "Apache/1.3.11"

现在你可以编译阿帕奇了

#make

现在你可以生成一个CA了(actual certificate).

#make certificate

按照该授权书的安装介绍做。

#make install

这将会把阿帕奇装在/usr/local/apache。

测试web server (还没装SSL)是否运行正常 ----调用web server:

/usr/local/apache/bin/apachectl start

当WEB服务器运行起来后，你可以用 lynx或者任意什么浏览器连接你的80端口，如果能看到apache的欢迎页，就OK了。

停止server:

/usr/local/apache/bin/apachectl stop

测试web server (同时起SSL) - 调用带SSL的WEB服务器

/usr/local/apache/bin/apachectl startssl

服务器运行时你用Netscape或者其它支持SSL的浏览器来看https://your.ip.here，看到欢迎页了么？

要停止SERVER：

/usr/local/apache/bin/apachectl stop

一、简介

　　这篇文章要说明的是如何将阿帕奇与SSL(Secure Socket Layer)结合起来安装配置。众所周知，在网络上以明文传递敏感信息是相当不安全的，因此SSL提供了一种加密手段，在底层上为上层协议提供服务和加密方案，因此当用户在以HTTP协议传输数据时，窥探者将难以获取数据的信息。当然加密只是在传输过程中的，对用户是完全透明的。

Let`s go!

二、准备工作

　　如果你的系统是从头装起的话，建议你留出一个叫/chroot的分区用来运行Apache。至于这个分区的大小，取决于你自已，一般来说，一个普通的网站有40M也就够了。但你的系统如果早就运行了Apache，你可以另外开辟一个分区，或者选择不用独立分区来安装，仅仅在根下面开一个目录。

　　另外我假定你的系统已经通过了一定的安全检测——在安装Apache之前(如果有其它漏洞存在的话，你认为运行在其上的Apache会怎样，所谓覆巢之下，焉有完卵:),检测至少要包括(但不仅限于)——移除不安全的SUID程序、升级某些守护进程，去掉不必要的服务。还假定你是的WEB SERVER是运行TCP/IP而且有自己的地址。

三、平台

　　以下测试都在下列平台下通过:

1、Slackware 4.x distribution using gcc 2.7.2.3 and Perl v5.005_02

2、Solaris 7 on Sparc using gcc v2.8.1 and Perl v5.005_03

四、获取所需要的软件

　　因为阿帕奇并没有在她的包里自己SSL，因此我们必须先下载到这些加密网页所必需的部分：

1、Apache Web Server - http://www.apache.org/dist/

不必多说，我们当然需要获得这个web server，现在的版本是1.3.11，阿帕奇是现在世界上使用最广泛的web server。

2、mod_ssl - http://www.modssl.org

　　这是一个为Apache1.3.x web server提供强力加密的的软件模块，它使用的是SSL v2和v3 以及TLS(Transport Layer Security)v1 协议。该软件包是在BSD的license下开发的，在非商业的情况下，你可以自由地使用它，要判断该使用哪一个版本的mod_ssl很简单，它的版本号是-格式的，也就是说，你如果用的是1.3.11的Apache,那么就该用2.50-1.3.11的mod_ssl。

3、mod_perl - http://perl.apache.org/dist/

4、Open SSL - http://www.openssl.org

　　这一软件包提供了SSL v2/v3(Secure Sockets Layer)及TLS v1(Transport Layer Security)协议的加密保护。

5、RSAref - 用搜索引擎查找一下"rsaref20.tar.Z"，应该就能找到了，我们将把这些程序安装于/usr/local目录下，增加功能模块可以给阿帕奇更强大的功能，如果你需要更多的模块的话，自己去获得它并且加载，比如mod_php这一模块也是现在流行的，可以使阿帕奇提供php脚本支持……