Behind the Code » apache http://yinwm.com Thinking in Techique Fri, 06 Aug 2010 02:38:05 +0000 en hourly 1 http://wordpress.org/?v=3.0.1 让Apache使用操作系统的用户认证 http://yinwm.com/2008/09/%e8%ae%a9apache%e4%bd%bf%e7%94%a8%e6%93%8d%e4%bd%9c%e7%b3%bb%e7%bb%9f%e7%9a%84%e7%94%a8%e6%88%b7%e8%ae%a4%e8%af%81/ http://yinwm.com/2008/09/%e8%ae%a9apache%e4%bd%bf%e7%94%a8%e6%93%8d%e4%bd%9c%e7%b3%bb%e7%bb%9f%e7%9a%84%e7%94%a8%e6%88%b7%e8%ae%a4%e8%af%81/#comments Wed, 10 Sep 2008 02:59:41 +0000 yinwm http://yinwm.cn/wordpress/?p=53 Apache的认证体系很不错,但是他并不是和操作系统天然结合的。如果想要让Apache使用操作系统的用户进行认证,可以使用 mod_auth_shadow 或者 mod_authnz_external 来进行。
我使用的是 mod_auth_shadow,因为简单嘛。
下载之后自己进行编译,会有两个有用的文件,mod_auth_shadow.so 和 validate 。
配置Apache,我使用的是Apache 2.2
  1. 加载module,
    LoadModule auth_shadow_module /path-to/mod_auth_shadow.so

  2. 配置 VirtualHost
    添加如下几行
           AuthName what-ever-you-like
           AuthShadow on
           AuthType Basic
           require valid-user
  3. 还可以使用 require user/group
    require user user1 user2
    require group group1 group2
这样你就可以使用了。
注意,
其中的 validate 是进行真正认证的程序, mod_auth_shadow 是会通过 pipe 和 validate 进行交互的。 validate 的存放位置必须是 /usr/local/sbin/ 并且,由于 Apache 运行之后会切换成为其他的用户,所以你还要给 validate setuid 为 root。
chmod u+s validate
]]> http://yinwm.com/2008/09/%e8%ae%a9apache%e4%bd%bf%e7%94%a8%e6%93%8d%e4%bd%9c%e7%b3%bb%e7%bb%9f%e7%9a%84%e7%94%a8%e6%88%b7%e8%ae%a4%e8%af%81/feed/ 0 网络安全通讯(3)—-相信你的客户 http://yinwm.com/2008/03/%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e9%80%9a%e8%ae%af%ef%bc%883%ef%bc%89-%e7%9b%b8%e4%bf%a1%e4%bd%a0%e7%9a%84%e5%ae%a2%e6%88%b7/ http://yinwm.com/2008/03/%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e9%80%9a%e8%ae%af%ef%bc%883%ef%bc%89-%e7%9b%b8%e4%bf%a1%e4%bd%a0%e7%9a%84%e5%ae%a2%e6%88%b7/#comments Tue, 04 Mar 2008 00:54:04 +0000 yinwm http://yinwm.cn/wordpress/?p=40 在前两篇文章中
网络安全通讯(1)—-给你的Webserver启用SSL
网络安全通讯(2)—-让别人相信你的服务器
我们探讨了如何让你的客户相信你的服务器,这篇文章我们探讨一下你如何去相信你的客户。

在很多场景下,我们是需要关心客户的身份的,一个很安全的做法就是给你的客户发放一个签名的证书,让你的客户拿着证书来,这时候你验证了证书,你也就相信了你的客户。我们可以使用Apache提供的客户端验证(Client Certificate)功能。

  1. 生成客户端的私钥和CSR文件
    openssl genrsa -out client.key 1024
    openssl req -new -key client.key -out client.csr
  2. 用前面我们自己的CA签发客户的证书
    openssl x509 -req -days 360 -in client.csr -CA ca.crt -CAkey ca.key -CAserial ca.srl -out client.crt
  3. 此时客户端的证书已经制作完毕(和制作Server的一样),但是我们的浏览器需要pkcs12格式的文件,所以我们需要签一个pkcs12格式的文件
    openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12 -name your_certificate_client_name
    这里需要你的client的CSR文件设置的密码,还有your_certificate_client_name替换成你client的名字
  4. 打开Apache需要客户验证的设置
    SSLVerifyClient require
    SSLVerifyDepth  1
    SSLCACertificateFile “/path_to/ca.crt”
  5. 重新启动apache,尝试一下访问,此时访问并不成功Firefox会包一个-12227的错误,IE干脆显示不出来,说明客户端验证没有通过
  6. 把生成的客户端pkcs12文件导入到浏览器,
    Firefox Tools->Options->Advanced->Encryption->View Certificates->Your Certificates->Import
    IE Tools->Internet Options->Content->Certificates->Personal->Import
  7. 再次访问服务器,It works.

此时你的客户端(也就是浏览器)可以通过服务器的验证了。你也可以相信你的客户了。

]]> http://yinwm.com/2008/03/%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e9%80%9a%e8%ae%af%ef%bc%883%ef%bc%89-%e7%9b%b8%e4%bf%a1%e4%bd%a0%e7%9a%84%e5%ae%a2%e6%88%b7/feed/ 0 网络安全通讯(2)—-让别人相信你的服务器 http://yinwm.com/2008/03/%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e9%80%9a%e8%ae%af%ef%bc%882%ef%bc%89-%e8%ae%a9%e5%88%ab%e4%ba%ba%e7%9b%b8%e4%bf%a1%e4%bd%a0%e7%9a%84%e6%9c%8d%e5%8a%a1%e5%99%a8/ http://yinwm.com/2008/03/%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e9%80%9a%e8%ae%af%ef%bc%882%ef%bc%89-%e8%ae%a9%e5%88%ab%e4%ba%ba%e7%9b%b8%e4%bf%a1%e4%bd%a0%e7%9a%84%e6%9c%8d%e5%8a%a1%e5%99%a8/#comments Mon, 03 Mar 2008 08:00:59 +0000 yinwm http://yinwm.cn/wordpress/?p=39 上文(网络安全通讯(1)—-给你的Webserver启用SSL)我们讲解了我们如何能够保证我们的服务器和客户端之间的安全通讯。

但是有些时候,用户凭什么相信你呢,你总得想办法证明你的身份吧。该CA(Certificate Authority)出场了,CA是一个大家都相信的第三方,因为你的客户相信CA,而CA又说你(你的服务器)是可以被信任的,那么你的客户就会相信你。所以刚才那个自签名的证书可是不行,你需要ca用他的key给你签个名字,这样别人才相信不是。
Q:我们不认识CA怎么办?
A:去公认的CA申请啊!
Q:难道就我们自己用也要申请?
A:好吧,我们可以自己假装自己就是CA,只要大家相信你就好。

我们开始假装CA,创建自己的CA。

   1. 建立CA私钥
      openssl genrsa -out ca.key 1024
   2. 建立自己的CRT文件
      openssl req -new -x509 -key ca.key -out ca.crt -days 3600
   3. 用自己的CA文件签署刚刚的服务器CSR,生成服务器证书
      openssl x509 -req -days 360 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
      注意,这里的参数-CAcreateserial会建立一个serial文件ca.srl,用来记录ca的serial number,如果你已经有了这个文件,那么请使用-CAserial serial_file替换-CAcreateserial参数。
   4. 使用新的server.key和server.crt文件,重启apache,再次访问。看一下你的浏览器说什么,是不是此时的Issuer已经是你自己的CA了?

如果你是使用第三方的CA,你就需要把你的server.csr发给他们,然后他们会签一个证书发挥给你的。

此时我们的客户已经相信了你的服务器了。
好了本本没电了,明天我们再讨论如何相信你的客户吧。

]]> http://yinwm.com/2008/03/%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e9%80%9a%e8%ae%af%ef%bc%882%ef%bc%89-%e8%ae%a9%e5%88%ab%e4%ba%ba%e7%9b%b8%e4%bf%a1%e4%bd%a0%e7%9a%84%e6%9c%8d%e5%8a%a1%e5%99%a8/feed/ 0 网络安全通讯(1)—-给你的Webserver启用SSL http://yinwm.com/2008/03/%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e9%80%9a%e8%ae%af%ef%bc%881%ef%bc%89-%e7%bb%99%e4%bd%a0%e7%9a%84webserver%e5%90%af%e7%94%a8ssl/ http://yinwm.com/2008/03/%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e9%80%9a%e8%ae%af%ef%bc%881%ef%bc%89-%e7%bb%99%e4%bd%a0%e7%9a%84webserver%e5%90%af%e7%94%a8ssl/#comments Mon, 03 Mar 2008 06:07:05 +0000 yinwm http://yinwm.cn/wordpress/?p=38 互联网很危险,你还是回火星吧。
好吧,我们还有SSL,你可以等一下了。

先说一下这里面用到的库
OpenSSL 0.9.8g
Apache Httpd 2.2

SSL是一个可以保证你的通讯安全的机制,采用公钥私钥的非对加密机制,具体机制我就不说了,网上一抓一大把。
你可以使用openssl建立自己的密钥,并使用在Apache Webserver上,让你的服务器支持https。

  1. 建立你自己的服务器私钥,一个1024位的就够了
    openssl genrsa -des3 -out server.key 1024
  2. 生成CSR文件,Certificate Signing Request
    openssl req -new -key server.key -out server.csr
  3. 生成证书CRT文件,X509协议
    openssl x509 -req -in server.csr -signkey server.key -out server.crt
    注意,这是一个自签名的证书
  4. 修改你apache的ssl配置,
    SSLCertificateFile “/path-to/server.crt”
    SSLCertificateKeyFile “/path-to/server.key”
  5. 启动你的apache,使用https访问试试看,是不是要你确认是否允许证书通过

这时候,你的服务器已经支持SSL了,刚才浏览器问你是否通过你服务器提供的证书是表示客户端(浏览器)信任了你的服务器,这里也就是服务器认证。你们之间的通讯已经是加密的了。

]]> http://yinwm.com/2008/03/%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e9%80%9a%e8%ae%af%ef%bc%881%ef%bc%89-%e7%bb%99%e4%bd%a0%e7%9a%84webserver%e5%90%af%e7%94%a8ssl/feed/ 0