简介
宝塔通过开启访问设备验证,使安装了SSL授权许可证书的才可以访问,没有得到访问授权许可证书的任何计算机都无法访问宝塔面板,可以提高服务器的安全性。
生成SSL证书
生成步骤可以查看这篇文章:http://www.884358.com/https-auth/
开启面板SSL
将上一步生成的server.key和server.crt的内容复制到对应的输入框中:
开启后,重新访问宝塔面板时,会有如下提示,原因为我们使用的是自签名证书,不被浏览器信任:
只需要点击“高级”-》“继续前往”即可:
开启访问设备验证
开启前需要先下载并安装客户端证书,否则开启后面板就打不开了。
配置证书
touch /etc/pki/CA/index.txt
echo 00 > /etc/pki/CA/crlnumber
openssl ca -gencrl -out client.crl -cert root.crt -keyfile root.key
执行以上命令后,将在当前目录生成一个client.crl文件,将该内容复制到注销列表(crl)窗口。
然后将root.crt的内容复制到证书(cert)窗口:
安装客户端证书
下载client.p12文件,双击该文件即可导入。
开启访问设备验证
开启后,访问面板时,将弹出窗口让选择证书文件,这时候选择刚导入的证书文件即可:
吊销证书
有人员离职、或者不再需要这个人访问宝塔面板时,需要将之前办法的客户端证书吊销:
openssl ca -revoke client.crt -cert root.crt -keyfile root.key
注:client.crt则为需要吊销的客户端证书
获取吊销列表:
openssl ca -gencrl -out client.crl -cert root.crt -keyfile root.key
然后将client.crl的内容复制到注销列表(crl)窗口
