2024-03-04
分类:日常运维
阅读(93) 评论(0)
网站需要隐藏自己的服务器真实IP,但是有个很容易忽略的方式是在解析[域名](https://www.xiapilu.com/tag/35 "【查看含有[域名]标签的文章】")证书的时候,很容易被通过IP检查关联到自己的[域名](https://www.xiapilu.com/tag/35 "【查看含有[域名]标签的文章】")IP。这个时候如果一些不怀好心的人就针对这个IP进行攻击了,如果放置IP证书泄露呢,网上的教程蛮多,但是都是Nginx环境的,而且都是BT宝塔面板的教程的。对于使用[OpenLiteSpeed](https://www.xiapilu.com/tag/222 "【查看含有[OpenLiteSpeed]标签的文章】")或者[LiteSpeed](https://www.xiapilu.com/tag/223 "【查看含有[LiteSpeed]标签的文章】")很少,所以很多小伙伴都不知道怎么设置。这里搬主题就分享一下[OpenLiteSpeed](https://www.xiapilu.com/tag/222 "【查看含有[OpenLiteSpeed]标签的文章】")添加默认网站,防止IP证书泄露教程给到大家。
原文地址:[OpenLiteSpeed添加默认网站 防止IP证书泄露](https://www.banzhuti.com/openlitespeed-adds-default-site.html)
如何通过证书查询对应[域名](https://www.xiapilu.com/tag/35 "查看更多关于 域名 的文章")证书
----------------------------------------------------------------
搬主题简单一点的说,就是我们的网站[域名](https://www.xiapilu.com/tag/35 "【查看含有[域名]标签的文章】")在申请SSL证书的时候,都是SSL证书对应相应的[域名](https://www.xiapilu.com/tag/35 "【查看含有[域名]标签的文章】")的。比如你的[域名](https://www.xiapilu.com/tag/35 "【查看含有[域名]标签的文章】")是banzhuti.com,那么一般都是www.banzhuti.com及banzhuti.com两个[域名](https://www.xiapilu.com/tag/35 "查看更多关于 域名 的文章")都是对应的一个SSL证书的。而你的服务器源IP地址默认是与这些SSL证书一一对应的。
如果知道你的服务器有一堆IP地址后,又不确定具体是哪个,那么可以通过工具查看IP地址对应的SSL证书及[域名](https://www.xiapilu.com/tag/35 "查看更多关于 域名 的文章")。有的人会说,怎么这么容易知道服务器的IP地址呢,其实很多方法,这里搬主题就分享一下【[隐藏网站服务器主机源IP地址多种方法介绍](https://banzhuti.com/hide-web-server-host-source-ip.html)】,只要使用其中的Censys搜索就行了。
举例来说,使用Censys搜索,搜索相应的域名,比如著名的HOSTLOC论坛,通过Censys搜索如下
可以搜索你的域名之前有哪些IP与你相关,这里可以是你之前解析过的IP,也有上面说的SSL证书对应的IP证书。比如点击上面的IP,就看到IP对应的域名了。
以上方法也可以搜索你的网站。
如果验证的话,可以直接输入以上IP,在浏览器的地址上输入https://IP,然后就得到如下结果
就可以看到IP对应申请的域名证书了,那么这个IP就和源服务器有关系
既然有关系,那么Censys搜索在搜索各类IP的时候,自动就搜集这些IP对应的域名,然后保存起来。所以你在搜索域名的时候,自动显示哪些IP与你有关系。
接下来要让默认IP对应的SSL证书与自己真实域名无关联,这样后续被扫描的时候,那就不会关联上了。
使用BT宝塔面板及Nginx环境的方法
-------------------
1.首先我们创建一个空站点,域名随便填一个
2.将默认站点改为刚刚创建的站点
3.之后给这个网页加上一张空证书,我用的是亚洲诚信测试证书生成。域名的话随便填
4.上传生成的证书然后保存并开启强制ssl,在网站的域名管理添加你的ip。
懒得生成证书可以用我生成好的
证书:
```
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
秘钥
```
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
```
以上就是使用BT宝塔面板及Nginx环境的方法。
使用[OpenLiteSpeed](https://www.xiapilu.com/tag/222 "查看更多关于 OpenLiteSpeed 的文章")添加默认网站的方法 {#ftoc-heading-3}
--------------------------------------------------------------------------------------------------------
这里搬主题就专门介绍一下[OpenLiteSpeed](https://www.xiapilu.com/tag/222 "【查看含有[OpenLiteSpeed]标签的文章】")环境的,毕竟网上的教程很少。
首先我们登陆SSH工具,然后输入如下命令
```
mkdir -p /opt/signcert && cd /opt/signcert
```
然后回车
```
openssl req -x509 -newkey rsa:4096 -keyout openlitespeed-key.pem -out openlitespeed-cert.pem -nodes -days 365
```
这个时候就会生成自签名的SSL证书了。生成的时候在里面会让我们填信息,我们可以随便填,也可以不填直接回车就行了。生成完成即可
然后我们要登陆Open[LiteSpeed](https://www.xiapilu.com/tag/223 "【查看含有[LiteSpeed]标签的文章】")的后台面板,一般是7080端口。
然后点击【监听器】,找到对应的域名。点击SSL配置,将你生成的证书和私钥路径如下图填写在上面:
配置完上面这些后重启服务使其生效:
如果正常,你将可以在主面板的控制台看到监听器显示绿色:
这里解释一下为什么选择自签名的证书而不选择Let'encrypt这类证书呢?监听器这里配置自签名证书的目的是为了防止IP泄露SSL证书,导致别人可以通过这种方式反查到你的源站。
就类似于你平常给Nginx配置一个默认主机,然后给这个主机配置一个假证书,是一样的道理。
**Open[LiteSpeed](https://www.xiapilu.com/tag/223 "【查看含有[LiteSpeed]标签的文章】")的监听器相当于Nginx的默认主机**,它接管所有缺省主机名的请求,这样配置之后别人在访问你的服务器IP,显示的证书名是你自签的证书而不是你的真实域名证书。
接下来重启[OpenLiteSpeed](https://www.xiapilu.com/tag/222 "查看更多关于 OpenLiteSpeed 的文章")面板即可。我们可以直接在浏览器上输入自己的服务器源IP检测一下。
是不是也和这个域名无关了,都是自己的自定义信息。
以上就是[OpenLiteSpeed](https://www.xiapilu.com/tag/222 "查看更多关于 OpenLiteSpeed 的文章")添加默认网站,防止IP证书泄露教程。
![]()
众生皆苦,唯有自渡!
51工具盒子
