Mac配置本地https服务

一、搭建Web服务器

Mac有自带Apache服务,所以这里我们只需要简单的在终端中敲击一行命令,就能启动Web服务了。

sudo apachectl start

这时我们在浏览器中输入http://127.0.0.1/,如果出现It Works!,那么恭喜你Web服务器启动成功。
Web默认访问的文件目录是:/Library/WebServer/Documents/,可以打开目录,对 index.html 文件进行编辑修改。

开启Web服务器.png
默认Documents文件路径.png

二、自签名证书

1、自签名证书

1)、 新建文件夹

先在桌面创建个CustomSSL文件夹,用来放生成的私钥证书文件
打开终端cd到CustomSSL文件夹

cd desktop/CustomSSL

2)、 在SSL文件夹中生成私钥

openssl genrsa -out server.key 2048

这样是生成rsa私钥,openssl格式,2048位强度。server.key是密钥文件名

3)、 生成自签名证书

openssl req -new -sha256 -x509 -days 365 -key server.key -out server.crt

req是证书请求的子命令,-sha256表示算法,-x509表示输出证书,-days365 为有效期,此后根据提示输入证书拥有者信息;

其中要输入国家、省份、地区、公司、邮箱等信息,按照个人情况随便填下就行。
Common Name 应该与域名保持一致(如我的电脑搭建的服务器IP地址为10.73.20.19)

生成自签名证书.png

2、配置Apache服务器SSL

1)、放入证书

server.crtserver.key两个文件拷贝
放到/etc/apache2/目录

apache2配置文件.png

2)、修改配置文件

  • 编辑/etc/apache2/httpd.conf文件

搜索下面内容,并去掉注释符号#

LoadModule ssl_module libexec/apache2/mod_ssl.so
Include /private/etc/apache2/extra/httpd-vhosts.conf
Include /private/etc/apache2/extra/httpd-ssl.conf
LoadModule socache_shmcb_module libexec/apache2/mod_socache_shmcb.so
  • 打开/etc/apache2/extra/httpd-ssl.conf文件

去掉以下两项注释并检查是否与之前安装私钥和证书的路径一致

SSLCertificateFile "/private/etc/apache2/server.crt"
SSLCertificateKeyFile "/private/etc/apache2/server.key"
编辑httpd-ssl.conf文件.png
  • 编辑/etc/apache2/extra/httpd-vhosts.conf文件

<VirtualHost *:80> .....</VirtualHost> 后面添加一段如下内容:

<VirtualHost *:443>
    SSLEngine on
    SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
    SSLCertificateFile /private/etc/apache2/server.crt
    SSLCertificateKeyFile /private/etc/apache2/server.key
    ServerName 10.73.20.19 
    DocumentRoot "/Library/WebServer/Documents"
</VirtualHost>

注意 ServerName 填写域名与所需访问一致

3)、重启服务器

sudo apachectl restart

访问 https://10.73.20.19/
提示不安全什么的(因为自己的证书没添加到浏览器信任列表),继续访问

HTTPS访问校验.png

HTTPS访问成功.png

HTTPS可以用啦!此处应有掌声👏👏👏👏

三、CA签发证书

1、生成CA根证书

1)、创建CA文件夹

先在桌面的 CustomSSL 文件夹里创建个 CA 文件夹,用来存放放自己作为 CA 生成的私钥证书文件
打开终端 cd 到 CA 文件夹

cd desktop/CustomSSL/CA

2)、私钥

openssl genrsa -des3 -out ca.key 4096

这里使用-des3进行加密,需要四位以上密码

3)、证书

openssl req -new -x509 -days 365 -key ca.key -out ca.crt

按1自签名证书流程,得到ca.key和ca.crt

2、创建服务器私钥

openssl genrsa -out server.key 4096

3、生成证书请求文件CSR

openssl req -new -key server.key -out server.csr
生成CA根证书命令.png

4、自己作为CA签发证书

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -days 365

然后需要输入生成ca.key时设置的密码

5、遇到问题

问题1

问题1.png

/System/Library/OpenSSL/oppenssl.cnf 替换目录中的 /private/etc/ssl/openssl.cnf 文件

问题2

问题2.png

提示找不到 ./demoCA/index.txt ,这时需要创建添加相应的目录
执行以下命令创建

mkdir -p ./demoCA/newcerts
touch demoCA/index.txt
touch demoCA/serial
echo 01 > demoCA/serial
创建demoCA目录文件.png

重新执行命令

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -days 365

输入ca.key密码
然后会打印出证书详细进行确认

生成CA签发的服务器证书.png

输入两次y,得到最终生成的所有文件,图示server.crt即自己作为CA签发的服务器证书

6、测试

1)、测试CA生成服务器证书可用性

  • 前往 /etc/apache2/ 文件夹
  • 删除原来自签名证书两个文件
  • 发现 https://10.73.20.19/ 已经不能访问(能访问有可能是缓存,可以刷新或重启Apache)
  • 将 CA 生成的 server.keyserver.crt 两个文件拷贝进去
  • https://10.73.20.19/ 又可以访问成功(👏👏👏👏👏)
测试CA生成服务器证书可用性.png

2)、测试CA根证书可用性

  • 新打开 https://10.73.20.19/,由于自己的CA根证书未在信任列表,会有警告
  • 双击 ca.crt 安装(我这里使用的是Mac电脑)
  • 到钥匙串访问,找到安装的证书,右键点击 → 显示简介 → 设置始终信任
  • 发现 https://10.73.20.19/ 不再警告(👏👏👏👏👏)

四、自定义web工作路径

Web默认访问的文件目录是:/Library/WebServer/Documents/,每次编辑修改文件时都需输入密码验证,给编程开发带来诸多不便,为此需要更改DocumentRoot属性,使其指向自定义的文件

1、修改 httpd.conf 配置

编辑 /etc/apache2/httpd.conf 文件, 搜索找到 <Directory "/Library/WebServer/Documents">, 修改为:

DocumentRoot "/Users/zjh48/CustomWeb"
<Directory "/Users/zjh48/CustomWeb">
    Options Indexes MultiViews
    AllowOverride None
    Require all granted
    Allow from all
</Directory>

其中 /Users/zjh48/CustomWeb 为自己自定义的目录

修改httpd.conf配置.png

2、修改 httpd-vhosts.conf 配置

编辑 /etc/apache2/extra/httpd-vhosts.conf 文件, 将 DocumentRoot 修改为自定义的路径:/Users/zjh48/CustomWeb

修改httpd-vhosts.conf配置.png

3、遇到问题

访问拒绝错误.png

如遇到这个问题,请再次检查下 httpd.confhttpd-vhosts.conf 都已按上述配置。之后还有问题,请挨个查看文件目录的属性,是否是拒绝访问的,如是拒绝访问,可修改为只读。

桌面权限.png

如桌面 Desktop 其他人是无法问权限的,可改为"只读"模式

4、测试

重启服务 sudo apachectl restart,然后访问链接:https://10.73.20.19/

访问定义web路径.png

恭喜!!!您已完成所有配置🎉🎉🎉


参考链接:
OpenSSL证书生成及Mac上Apache服务器配置HTTPS
Mac 下 更改 apache DocumentRoot 路径