FreeBSD 6.0架设管理与应用（十四）

第十四章 网页服务器进阶应用
网页服务器架设之后，世界各地的使用者都可以经由因特网连到您的主机，如何维护网站安全是一大课题。管理者更需要知道网站的使用情形，系统资源、网络频宽是否足够。本章将说明网页服务器使用上常见的管理议题，并介绍一些好用的管理工具。读完本章后，您将进一步了解下列主题：

• 如何使用 SSL 建立安全的 HTTP 联机。
  
• 使用密码保护目录存取权限。
  
• 如何在一台主机上提供不同网址的网页。
  
• 如何管理一般使用者的个人网页。
  
• 加速 PHP scripts 的处理速度。
  
• 分析网页的使用情形。
  
• 网站使用流量分析。

14.1 HTTP 安全与 SSL 协定
当我们使用网络服务时，经由网络传送的数据都有可能被他人拦截窃听。简单的说，当您从网页上输入账号密码时，如果有人在您所使用的计算机和服务器之间拦截，就可以轻易的从网络封包中窃听到您所输入的数据。
随着网络的蓬勃发展，在线交易的使用量日益增加，对于数据的保护更是重要。如果一个在线交易的网站使用普通的 HTTP，则使用者输入的账号密码、交易数据、信用卡号等等都有可能会外泄，更别说交易数据被假造的风险了。为了解决 HTTP 的网络安全，发展出许多加密、认证的机制。其中最常见的就是使用金钥加密法的 HTTP over SSL (Secure Socket Layer)，又称为 HTTPS，目前国内许多网络银行都是使用 HTTPS 作为交易安全的第一道关卡。
SSL 的加密方式是由服务器端提供了一组加解密用的金钥，在服务器端所使用的是私密金钥 (Private key)，而客户端所使用的是公开金钥 (Public key)。在联机建立后，HTTP 服务器会将公开金钥传给客户端使用。公开金钥加密过的资料只能由私密金钥解密，在客户端要送出数据之前，会先使用公开金钥进行加密的动作，而服务器收到数据后，会使用私密金钥进行解密。
在 Apache 2 中，预设安装即支持 SSL，我们只需产生一组金钥，并设定启动 SSL 即可。
14.1.1 产生金钥
正确的凭证产生方法是先产生服务器用的公钥及 CSR (Certificate Signing Request)，接着将 CSR 送给专门做凭证签发的公正单位做签章。或者，我们也可以自己做为一个凭证签发单位，自己为自己签发凭证。但由于我们自己产生的凭证不具公信力，所以使用者使用 HTTPS 连到网站时，会出现下列的警告讯息：
图 14-1

这个警告讯息并不影响加密，不过如果您所架设的是商用网站，您还是得交由公正单位作签证。
如果您要使用自我签发的凭证，第一步是要产生签发单位凭证，我们先建立一个目录名为 ssl，并将产生的凭证放在该目录下：
# mkdir ssl
# cd ssl
# openssl genrsa -out ca.key 1024
# openssl req -new -key ca.key -out ca.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有