广告获取失败,未能查看原内容

点击广告图片10秒后，可查看原内容

文中首先解释了加密解密的一些基础知识和概念，然后通过一个加密通信过程的例子说明了加密算法的作用，以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释，并讨论一下windows中数字证书的管理，最后演示使用makecert生成数字证书。如果发现文中有错误的地方，或者有什么地方说得不够清楚，欢迎指出！

1、基础知识

      这部分内容主要解释一些概念和术语，最好是先理解这部分内容。

1.1、公钥密码体制(public-key cryptography)

公钥密码体制分为三个部分，公钥、私钥、加密解密算法，它的加密解密过程如下：

• 加密：通过加密算法和公钥对内容(或者说明文)进行加密，得到密文。加密过程需要用到公钥。

• 解密：通过解密算法和私钥对密文进行解密，得到明文。解密过程需要用到解密算法和私钥。注意，由公钥加密的内容，只能由私钥进行解密，也就是说，由公钥加密的内容，如果不知道私钥，是无法解密的。

公钥密码体制的公钥和算法都是公开的(这是为什么叫公钥密码体制的原因)，私钥是保密的。大家都以使用公钥进行加密，但是只有私钥的持有者才能解密。在实际的使用中，有需要的人会生成一对公钥和私钥，把公钥发布出去给别人使用，自己保留私钥。

1.2、对称加密算法(symmetric key algorithms)

在对称加密算法中，加密使用的密钥和解密使用的密钥是相同的。也就是说，加密和解密都是使用的同一个密钥。因此对称加密算法要保证安全性的话，密钥要做好保密，只能让使用的人知道，不能对外公开。这个和上面的公钥密码体制有所不同，公钥密码体制中加密是用公钥，解密使用私钥，而对称加密算法中，加密和解密都是使用同一个密钥，不区分公钥和私钥。

        // 密钥，一般就是一个字符串或数字，在加密或者解密时传递给加密/解密算法。前面在公钥密码体制中说到的公钥、私钥就是密钥，公钥是加密使用的密钥，私钥是解密使用的密钥。

1.3、非对称加密算法(asymmetric key algorithms)

在非对称加密算法中，加密使用的密钥和解密使用的密钥是不相同的。前面所说的公钥密码体制就是一种非对称加密算法，他的公钥和是私钥是不能相同的，也就是说加密使用的密钥和解密使用的密钥不同，因此它是一个非对称加密算法。

1.4、RSA简介

RSA是一种公钥密码体制，现在使用得很广泛。如果对RSA本身有兴趣的，后面看我有没有时间写个RSA的具体介绍。

RSA密码体制是一种公钥密码体制，公钥公开，私钥保密，它的加密解密算法是公开的。 由公钥加密的内容可以并且只能由私钥进行解密，并且由私钥加密的内容可以并且只能由公钥进行解密。也就是说，RSA的这一对公钥、私钥都可以用来加密和解密，并且一方加密的内容可以由并且只能由对方进行解密。

1.5、签名和加密

我们说加密，是指对某个内容加密，加密后的内容还可以通过解密进行还原。 比如我们把一封邮件进行加密，加密后的内容在网络上进行传输，接收者在收到后，通过解密可以还原邮件的真实内容。

这里主要解释一下签名，签名就是在信息的后面再加上一段内容，可以证明信息没有被修改过，怎么样可以达到这个效果呢？一般是对信息做一个hash计算得到一个hash值，注意，这个过程是不可逆的，也就是说无法通过hash值得出原来的信息内容。在把信息发送出去时，把这个hash值加密后做为一个签名和信息一起发出去。 接收方在收到信息后，会重新计算信息的hash值，并和信息所附带的hash值(解密后)进行对比，如果一致，就说明信息的内容没有被修改过，因为这里hash计算可以保证不同的内容一定会得到不同的hash值，所以只要内容一被修改，根据信息内容计算的hash值就会变化。当然，不怀好意的人也可以修改信息内容的同时也修改hash值，从而让它们可以相匹配，为了防止这种情况，hash值一般都会加密后(也就是签名)再和信息一起发送，以保证这个hash值不被修改。至于如何让别人可以解密这个签名，这个过程涉及到数字证书等概念，我们后面在说到数字证书时再详细说明，这里您先只需先理解签名的这个概念。

2、一个加密通信过程的演化

      我们来看一个例子，现在假设“服务器”和“客户”要在网络上通信，并且他们打算使用RSA(参看前面的RSA简介)来对通信进行加密以保证谈话内容的安全。由于是使用RSA这种公钥密码体制，“服务器”需要对外发布公钥(算法不需要公布，RSA的算法大家都知道)，自己留着私钥。“客户”通过某些途径拿到了“服务器”发布的公钥，客户并不知道私钥。“客户”具体是通过什么途径获取公钥的，我们后面再来说明，下面看一下双方如何进行保密的通信：

2.1 第一回合：

“客户”->“服务器”：你好

“服务器”->“客户”：你好，我是服务器

“客户”->“服务器”：？？？？

因为消息是在网络上传输的，有人可以冒充自己是“服务器”来向客户发送信息。例如上面的消息可以被黑客截获如下：

“客户”->“服务器”：你好

“服务器”->“客户”：你好，我是服务器

“客户”->“黑客”：你好        // 黑客在“客户”和“服务器”之间的某个路由器上截获“客户”发给服务器的信息，然后自己冒充“服务器”

“黑客”->“客户”：你好，我是服务器

因此“客户”在接到消息后，并不能肯定这个消息就是由“服务器”发出的，某些“黑客”也可以冒充“服务器”发出这个消息。如何确定信息是由“服务器”发过来的呢？有一个解决方法，因为只有服务器有私钥，所以如果只要能够确认对方有私钥，那么对方就是“服务器”。因此通信过程可以改进为如下：

2.2 第二回合：

“客户”->“服务器”：你好

“服务器”->“客户”：你好，我是服务器

“客户”->“服务器”：向我证明你就是服务器

“服务器”->“客户”：你好，我是服务器 {你好，我是服务器}[私钥|RSA]

      // 注意这里约定一下，{} 表示RSA加密后的内容，[ | ]表示用什么密钥和算法进行加密，后面的示例中都用这种表示方式，例如上面的 {你好，我是服务器}[私钥|RSA]  就表示用私钥对“你好，我是服务器”进行加密后的结果。

为了向“客户”证明自己是“服务器”， “服务器”把一个字符串用自己的私钥加密，把明文和加密后的密文一起发给“客户”。对于这里的例子来说，就是把字符串 “你好，我是服务器”和这个字符串用私钥加密后的内容 {你好，我是服务器}[私钥|RSA] 发给客户。

“客户”收到信息后，她用自己持有的公钥解密密文，和明文进行对比，如果一致，说明信息的确是由服务器发过来的。也就是说“客户”把 {你好，我是服务器}[私钥|RSA] 这个内容用公钥进行解密，然后和“你好，我是服务器”对比。因为由“服务器”用私钥加密后的内容，由并且只能由公钥进行解密，私钥只有“服务器”持有，所以如果解密出来的内容是能够对得上的，那说明信息一定是从“服务器”发过来的。

假设“黑客”想冒充“服务器”：

“黑客”->“客户”：你好，我是服务器

“客户”->“黑客”：向我证明你就是服务器

“黑客”->“客户”：你好，我是服务器 {你好，我是服务器}[？？？|RSA]    //这里黑客无法冒充，因为他不知道私钥，无法用私钥加密某个字符串后发送给客户去验证。

“客户”->“黑客”：？？？？

由于“黑客”没有“服务器”的私钥，因此它发送过去的内容，“客户”是无法通过服务器的公钥解密的，因此可以认定对方是个冒牌货！

到这里为止，“客户”就可以确认“服务器”的身份了，可以放心和“服务器”进行通信，但是这里有一个问题，通信的内容在网络上还是无法保密。为什么无法保密呢？通信过程不是可以用公钥、私钥加密吗？其实用RSA的私钥和公钥是不行的，我们来具体分析下过程，看下面的演示：

2.3 第三回合：

“客户”->“服务器”：你好

“服务器”->“客户”：你好，我是服务器

“客户”->“服务器”：向我证明你就是服务器

“服务器”->“客户”：你好，我是服务器 {你好，我是服务器}[私钥|RSA]

“客户”->“服务器”：{我的帐号是aaa，密码是123，把我的余额的信息发给我看看}[公钥|RSA]

“服务器”->“客户”：{你的余额是100元}[私钥|RSA]

注意上面的的信息 {你的余额是100元}[私钥]，这个是“服务器”用私钥加密后的内容，但是我们之前说了，公钥是发布出去的，因此所有的人都知道公钥，所以除了“客户”，其它的人也可以用公钥对{你的余额是100元}[私钥]进行解密。所以如果“服务器”用私钥加密发给“客户”，这个信息是无法保密的，因为只要有公钥就可以解密这内容。然而“服务器”也不能用公钥对发送的内容进行加密，因为“客户”没有私钥，发送个“客户”也解密不了。

这样问题就又来了，那又如何解决呢？在实际的应用过程，一般是通过引入对称加密来解决这个问题，看下面的演示：

2.4 第四回合：

“客户”->“服务器”：你好

“服务器”->“客户”：你好，我是服务器

“客户”->“服务器”：向我证明你就是服务器

“服务器”->“客户”：你好，我是服务器 {你好，我是服务器}[私钥|RSA]

“客户”->“服务器”：{我们后面的通信过程，用对称加密来进行，这里是对称加密算法和密钥}[公钥|RSA]    //蓝色字体的部分是对称加密的算法和密钥的具体内容，客户把它们发送给服务器。

“服务器”->“客户”：{OK，收到！}[密钥|对称加密算法]

“客户”->“服务器”：{我的帐号是aaa，密码是123，把我的余额的信息发给我看看}[密钥|对称加密算法]

“服务器”->“客户”：{你的余额是100元}[密钥|对称加密算法]

在上面的通信过程中，“客户”在确认了“服务器”的身份后，“客户”自己选择一个对称加密算法和一个密钥，把这个对称加密算法和密钥一起用公钥加密后发送给“服务器”。注意，由于对称加密算法和密钥是用公钥加密的，就算这个加密后的内容被“黑客”截获了，由于没有私钥，“黑客”也无从知道对称加密算法和密钥的内容。

由于是用公钥加密的，只有私钥能够解密，这样就可以保证只有服务器可以知道对称加密算法和密钥，而其它人不可能知道(这个对称加密算法和密钥是“客户”自己选择的，所以“客户”自己当然知道如何解密加密)。这样“服务器”和“客户”就可以用对称加密算法和密钥来加密通信的内容了。

总结一下，RSA加密算法在这个通信过程中所起到的作用主要有两个：

• 因为私钥只有“服务器”拥有，因此“客户”可以通过判断对方是否有私钥来判断对方是否是“服务器”。

• 客户端通过RSA的掩护，安全的和服务器商量好一个对称加密算法和密钥来保证后面通信过程内容的安全。

如果这里您理解了为什么不用RSA去加密通信过程，而是要再确定一个对称加密算法来保证通信过程的安全，那么就说明前面的内容您已经理解了。(如果不清楚，再看下2.3和2.4，如果还是不清楚，那应该是我们说清楚，您可以留言提问。)

到这里，“客户”就可以确认“服务器”的身份，并且双方的通信内容可以进行加密，其他人就算截获了通信内容，也无法解密。的确，好像通信的过程是比较安全了。

但是这里还留有一个问题，在最开始我们就说过，“服务器”要对外发布公钥，那“服务器”如何把公钥发送给“客户”呢？我们第一反应可能会想到以下的两个方法：

a)把公钥放到互联网的某个地方的一个下载地址，事先给“客户”去下载。

b)每次和“客户”开始通信时，“服务器”把公钥发给“客户”。

但是这个两个方法都有一定的问题，

对于a)方法，“客户”无法确定这个下载地址是不是“服务器”发布的，你凭什么就相信这个地址下载的东西就是“服务器”发布的而不是别人伪造的呢，万一下载到一个假的怎么办？另外要所有的“客户”都在通信前事先去下载公钥也很不现实。

对于b)方法，也有问题，因为任何人都可以自己生成一对公钥和私钥，他只要向“客户”发送他自己的私钥就可以冒充“服务器”了。示意如下：

“客户”->“黑客”：你好           //黑客截获“客户”发给“服务器”的消息

“黑客”->“客户”：你好，我是服务器，这个是我的公钥    //黑客自己生成一对公钥和私钥，把公钥发给“客户”，自己保留私钥

“客户”->“黑客”：向我证明你就是服务器

“黑客”->“客户”：你好，我是服务器 {你好，我是服务器}[黑客自己的私钥|RSA]      //客户收到“黑客”用私钥加密的信息后，是可以用“黑客”发给自己的公钥解密的，从而会误认为“黑客”是“服务器”

因此“黑客”只需要自己生成一对公钥和私钥，然后把公钥发送给“客户”，自己保留私钥，这样由于“客户”可以用黑客的公钥解密黑客的私钥加密的内容，“客户”就会相信“黑客”是“服务器”，从而导致了安全问题。这里问题的根源就在于，大家都可以生成公钥、私钥对，无法确认公钥对到底是谁的。 如果能够确定公钥到底是谁的，就不会有这个问题了。例如，如果收到“黑客”冒充“服务器”发过来的公钥，经过某种检查，如果能够发现这个公钥不是“服务器”的就好了。

为了解决这个问题，数字证书出现了，它可以解决我们上面的问题。先大概看下什么是数字证书，一个证书包含下面的具体内容：

• 证书的发布机构

• 证书的有效期

• 公钥

• 证书所有者（Subject）

• 签名所使用的算法

• 指纹以及指纹算法

证书的内容的详细解释会在后面详细解释，这里先只需要搞清楚一点，数字证书可以保证数字证书里的公钥确实是这个证书的所有者(Subject)的，或者证书可以用来确认对方的身份。也就是说，我们拿到一个数字证书，我们可以判断出这个数字证书到底是谁的。至于是如何判断的，后面会在详细讨论数字证书时详细解释。现在把前面的通信过程使用数字证书修改为如下：

2.5 第五回合：

“客户”->“服务器”：你好

“服务器”->“客户”：你好，我是服务器，这里是我的数字证书        //这里用证书代替了公钥

“客户”->“服务器”：向我证明你就是服务器

“服务器”->“客户”：你好，我是服务器 {你好，我是服务器}[私钥|RSA]

注意，上面第二次通信，“服务器”把自己的证书发给了“客户”，而不是发送公钥。“客户”可以根据证书校验这个证书到底是不是“服务器”的，也就是能校验这个证书的所有者是不是“服务器”，从而确认这个证书中的公钥的确是“服务器”的。后面的过程和以前是一样，“客户”让“服务器”证明自己的身份，“服务器”用私钥加密一段内容连同明文一起发给“客户”，“客户”把加密内容用数字证书中的公钥解密后和明文对比，如果一致，那么对方就确实是“服务器”，然后双方协商一个对称加密来保证通信过程的安全。到这里，整个过程就完整了，我们回顾一下：

2.6 完整过程：

step1： “客户”向服务端发送一个通信请求

“客户”->“服务器”：你好

step2： “服务器”向客户发送自己的数字证书。证书中有一个公钥用来加密信息，私钥由“服务器”持有

“服务器”->“客户”：你好，我是服务器，这里是我的数字证书 

step3： “客户”收到“服务器”的证书后，它会去验证这个数字证书到底是不是“服务器”的，数字证书有没有什么问题，数字证书如果检查没有问题，就说明数字证书中的公钥确实是“服务器”的。检查数字证书后，“客户”会发送一个随机的字符串给“服务器”用私钥去加密，服务器把加密的结果返回给“客户”，“客户”用公钥解密这个返回结果，如果解密结果与之前生成的随机字符串一致，那说明对方确实是私钥的持有者，或者说对方确实是“服务器”。

“客户”->“服务器”：向我证明你就是服务器，这是一个随机字符串     //前面的例子中为了方便解释，用的是“你好”等内容，实际情况下一般是随机生成的一个字符串。

“服务器”->“客户”：{一个随机字符串}[私钥|RSA]

step4： 验证“服务器”的身份后，“客户”生成一个对称加密算法和密钥，用于后面的通信的加密和解密。这个对称加密算法和密钥，“客户”会用公钥加密后发送给“服务器”，别人截获了也没用，因为只有“服务器”手中有可以解密的私钥。这样，后面“服务器”和“客户”就都可以用对称加密算法来加密和解密通信内容了。

“服务器”->“客户”：{OK，已经收到你发来的对称加密算法和密钥！有什么可以帮到你的？}[密钥|对称加密算法]

“客户”->“服务器”：{我的帐号是aaa，密码是123，把我的余额的信息发给我看看}[密钥|对称加密算法]

“服务器”->“客户”：{你好，你的余额是100元}[密钥|对称加密算法]

…… //继续其它的通信

2.7 其它问题：

上面的过程已经十分接近HTTPS的真实通信过程了，完全可以按照这个过程去理解HTTPS的工作原理。但是我为了方便解释，上面有些细节没有说到，有兴趣的人可以看下这部分的内容。可以跳过不看，无关紧要。

【问题1】

上面的通信过程中说到，在检查完证书后，“客户”发送一个随机的字符串给“服务器”去用私钥加密，以便判断对方是否真的持有私钥。但是有一个问题，“黑客”也可以发送一个字符串给“服务器”去加密并且得到加密后的内容，这样对于“服务器”来说是不安全的，因为黑客可以发送一些简单的有规律的字符串给“服务器”加密，从而寻找加密的规律，有可能威胁到私钥的安全。所以说，“服务器”随随便便用私钥去加密一个来路不明的字符串并把结果发送给对方是不安全的。

〖解决方法〗

每次收到“客户”发来的要加密的的字符串时，“服务器”并不是真正的加密这个字符串本身，而是把这个字符串进行一个hash计算，加密这个字符串的hash值(不加密原来的字符串)后发送给“客户”，“客户”收到后解密这个hash值并自己计算字符串的hash值然后进行对比是否一致。也就是说，“服务器”不直接加密收到的字符串，而是加密这个字符串的一个hash值，这样就避免了加密那些有规律的字符串，从而降低被破解的机率。“客户”自己发送的字符串，因此它自己可以计算字符串的hash值，然后再把“服务器”发送过来的加密的hash值和自己计算的进行对比，同样也能确定对方是否是“服务器”。

【问题2】

在双方的通信过程中，“黑客”可以截获发送的加密了的内容，虽然他无法解密这个内容，但是他可以捣乱，例如把信息原封不动的发送多次，扰乱通信过程。

〖解决方法〗

可以给通信的内容加上一个序号或者一个随机的值，如果“客户”或者“服务器”接收到的信息中有之前出现过的序号或者随机值，那么说明有人在通信过程中重发信息内容进行捣乱，双方会立刻停止通信。有人可能会问，如果有人一直这么捣乱怎么办？那不是无法通信了？ 答案是的确是这样的，例如有人控制了你连接互联网的路由器，他的确可以针对你。但是一些重要的应用，例如军队或者政府的内部网络，它们都不使用我们平时使用的公网，因此一般人不会破坏到他们的通信。 

【问题3】

在双方的通信过程中，“黑客”除了简单的重复发送截获的消息之外，还可以修改截获后的密文修改后再发送，因为修改的是密文，虽然不能完全控制消息解密后的内容，但是仍然会破坏解密后的密文。因此发送过程如果黑客对密文进行了修改，“客户”和“服务器”是无法判断密文是否被修改的。虽然不一定能达到目的，但是“黑客”可以一直这样碰碰运气。

〖解决方法〗

在每次发送信息时，先对信息的内容进行一个hash计算得出一个hash值，将信息的内容和这个hash值一起加密后发送。接收方在收到后进行解密得到明文的内容和hash值，然后接收方再自己对收到信息内容做一次hash计算，与收到的hash值进行对比看是否匹配，如果匹配就说明信息在传输过程中没有被修改过。如果不匹配说明中途有人故意对加密数据进行了修改，立刻中断通话过程后做其它处理。

3. 证书的构成和原理

3.1 证书的构成和原理

之前已经大概说了一个证书由什么构成，但是没有仔细进行介绍，这里对证书的内容做一个详细的介绍。先看下一个证书到底是个什么东西，在windows下查看一个证书时，界面是这样的，我们主要关注一下Details Tab页，其中的内容比较长，我滚动内容后后抓了三个图，把完整的信息显示出来：

里面的内容比较多——Version、Serial number、Signature algorithm 等等，挑几个重要的解释一下。

◆Issuer (证书的发布机构)

指出是什么机构发布的这个证书，也就是指明这个证书是哪个公司创建的(只是创建证书，不是指证书的使用者)。对于上面的这个证书来说，就是指"SecureTrust CA"这个机构。

◆Valid from , Valid to (证书的有效期)

也就是证书的有效时间，或者说证书的使用期限。 过了有效期限，证书就会作废，不能使用了。

◆Public key (公钥)

这个我们在前面介绍公钥密码体制时介绍过，公钥是用来对消息进行加密的，第2章的例子中经常用到的。这个数字证书的公钥是2048位的，它的值可以在图的中间的那个对话框中看得到，是很长的一串数字。

◆Subject (主题)

这个证书是发布给谁的，或者说证书的所有者，一般是某个人或者某个公司名称、机构的名称、公司网站的网址等。 对于这里的证书来说，证书的所有者是Trustwave这个公司。

◆Signature algorithm (签名所使用的算法)

就是指的这个数字证书的数字签名所使用的加密算法，这样就可以使用证书发布机构的证书里面的公钥，根据这个算法对指纹进行解密。指纹的加密结果就是数字签名(第1.5节中解释过数字签名)。

◆Thumbprint, Thumbprint algorithm (指纹以及指纹算法)

这个是用来保证证书的完整性的，也就是说确保证书没有被修改过，这东西的作用和2.7中说到的第3个问题类似。 其原理就是在发布证书时，发布者根据指纹算法(一个hash算法)计算整个证书的hash值(指纹)并和证书放在一起，使用者在打开证书时，自己也根据指纹算法计算一下证书的hash值(指纹)，如果和刚开始的值对得上，就说明证书没有被修改过，因为证书的内容被修改后，根据证书的内容计算的出的hash值(指纹)是会变化的。 注意，这个指纹会使用"SecureTrust CA"这个证书机构的私钥用签名算法(Signature algorithm)加密后和证书放在一起。

注意，为了保证安全，在证书的发布机构发布证书时，证书的指纹和指纹算法，都会加密后再和证书放到一起发布，以防有人修改指纹后伪造相应的数字证书。这里问题又来了，证书的指纹和指纹算法用什么加密呢？他们是用证书发布机构的私钥进行加密的。可以用证书发布机构的公钥对指纹和指纹算法解密，也就是说证书发布机构除了给别人发布证书外，他自己本身也有自己的证书。证书发布机构的证书是哪里来的呢？？？这个证书发布机构的数字证书(一般由他自己生成)在我们的操作系统刚安装好时(例如windows xp等操作系统)，这些证书发布机构的数字证书就已经被微软(或者其它操作系统的开发机构)安装在操作系统中了，微软等公司会根据一些权威安全机构的评估选取一些信誉很好并且通过一定的安全认证的证书发布机构，把这些证书发布机构的证书默认就安装在操作系统里面了，并且设置为操作系统信任的数字证书。这些证书发布机构自己持有与他自己的数字证书对应的私钥，他会用这个私钥加密所有他发布的证书的指纹作为数字签名。

3.2 如何向证书的发布机构去申请证书

举个例子方便大家理解，假设我们公司"ABC Company"花了1000块钱，向一个证书发布机构"SecureTrust CA"为我们自己的公司"ABC Company"申请了一张证书，注意，这个证书发布机构"SecureTrust CA"是一个大家公认并被一些权威机构接受的证书发布机构，我们的操作系统里面已经安装了"SecureTrust CA"的证书。"SecureTrust CA"在给我们发布证书时，把Issuer,Public key,Subject,Valid from,Valid to等信息以明文的形式写到证书里面，然后用一个指纹算法计算出这些数字证书内容的一个指纹，并把指纹和指纹算法用自己的私钥进行加密，然后和证书的内容一起发布，同时"SecureTrust CA"还会给一个我们公司"ABC Company"的私钥给到我们。我们花了1000块钱买的这个证书的内容如下：

×××××××××××××××证书内容开始×××××××××××××××××

Issuer : SecureTrust CA

Subject : ABC Company

Valid from ： 某个日期

Valid to： 某个日期

Public Key : 一串很长的数字

…… 其它的一些证书内容……

{证书的指纹和计算指纹所使用的指纹算法}[SecureTrust CA的私钥|RSA]      //这个就是"SecureTrust CA"对这个证书的一个数字签名，表示这个证书确实是他发布的，有什么问题他会负责(收了我们1000块，出了问题肯定要负责任的)

×××××××××××××××证书内容结束×××××××××××××××××

               // 记不记得前面的约定？{} 表示RSA加密后的内容，[ | ]表示用什么密钥和算法进行加密

我们"ABC Company"申请到这个证书后，我们把证书投入使用，我们在通信过程开始时会把证书发给对方，对方如何检查这个证书的确是合法的并且是我们"ABC Company"公司的证书呢？首先应用程序(对方通信用的程序，例如IE、OUTLook等)读取证书中的Issuer(发布机构)为"SecureTrust CA" ，然后会在操作系统中受信任的发布机构的证书中去找"SecureTrust CA"的证书，如果找不到，那说明证书的发布机构是个水货发布机构，证书可能有问题，程序会给出一个错误信息。 如果在系统中找到了"SecureTrust CA"的证书，那么应用程序就会从证书中取出"SecureTrust CA"的公钥，然后对我们"ABC Company"公司的证书里面的指纹和指纹算法用这个公钥进行解密，然后使用这个指纹算法计算"ABC Company"证书的指纹，将这个计算的指纹与放在证书中的指纹对比，如果一致，说明"ABC Company"的证书肯定没有被修改过并且证书是"SecureTrust CA" 发布的，证书中的公钥肯定是"ABC Company"的。对方然后就可以放心的使用这个公钥和我们"ABC Company"进行通信了。

★这个部分非常重要，一定要理解，您可以重新回顾一下之前的两章“1、基础知识”和“ 2、一个加密通信过程的演化”，然后再来理解这部分的内容。如果您把这节的内容看了几遍还没有搞懂证书的工作原理，您可以留言指出我没有说清楚的内容，我好方便进行修正。

3.3 证书的发布机构

前面已经初步介绍了一下证书发布机构，这里再深入讨论一下。

其实所有的公司都可以发布证书，我们自己也可以去注册一家公司来专门给别人发布证书。但是很明显，我们自己的专门发布证书的公司是不会被那些国际上的权威机构认可的，人家怎么知道你是不是个狗屁皮包公司？因此微软在它的操作系统中，并不会信任我们这个证书发布机构，当应用程序在检查证书的合法信的时候，一看证书的发布机构并不是操作系统所信任的发布机构，就会抛出错误信息。也就是说windows操作系统中不会预先安装好我们这个证书发布机构的证书，不信任我们这个发布机构。

不受信任的证书发布机构的危害

为什么一个证书发布机构受不受信任这么重要？我们举个例子。假设我们开了一个狗屁公司来为别人发布证书，并且我和微软有一腿，微软在他们的操作系统中把我设置为了受信任的证书发布机构。现在如果有个小公司叫Wicrosoft 花了10块钱让我为他们公司申请了一个证书，并且公司慢慢壮大，证书的应用范围也越来越广。然后有个奸商的公司JS Company想冒充Wicrosoft，于是给了我￥10000，让我为他们颁布一个证书，但是证书的名字(Subject)要写Wicrosoft，假如我为了这￥10000，真的把证书给了他们，那么他们以后就可以使用这个证书来冒充Wicrosoft了。

如果是一个优秀的证书发布机构，比如你要向他申请一个名字叫Wicrosoft的证书，它会让你提供很多资料证明你确实可以代表Wicrosoft这个公司，也就是说他回去核实你的身份。证书发布机构是要为他发布出的证书负法律责任的。

到这里，你可能会想，TMD，那我们自己就不能发布证书吗？就一定要花钱去申请？当然不是，我们自己也可以成立证书发布机构，但是需要通过一些安全认证等等，只是有点麻烦。另外，如果数字证书只是要在公司内部使用，公司可以自己给自己生成一个证书，在公司的所有机器上把这个证书设置为操作系统信任的证书发布机构的证书(这句话仔细看清楚，有点绕口)，这样以后公司发布的证书在公司内部的所有机器上就可以通过验证了(在发布证书时，把这些证书的Issuer(发布机构)设置为我们自己的证书发布机构的证书的Subject(主题)就可以了)。但是这只限于内部应用，因为只有我们公司自己的机器上设置了信任我们自己这个所谓的证书发布机构，而其它机器上并没有事先信任我们这个证书发布机构，所以在其它机器上，我们发布的证书就无法通过安全验证。

4. 在windows中对数字证书进行管理

4.1 查看、删除、安装 数字证书

我们在上一章中说到了，我们的操作系统中会预先安装好一些证书发布机构的证书，我们看下在windows中如何找到这些证书，步骤如下：

1)开始菜单->运行，输入mmc，回车

2)在打开的窗口中选择 File-> Add/Remove Snap-in…

3)然后在弹出的对话框的 Standalone Tab页里面点击 Add… 按钮

4)在弹出的对对话框中选择 certificates 后点击 Add 按钮

具体的步骤如下图所示：

上面的步骤结束后，会又弹出一个对话框，里面有三个单选按钮如下：

• My user account

• Service account

• Computer account

可以选择第一或者第三个选项，用来查看当前用户的证书或整个计算里面安装的证书。我们这里就默认选择第一个，平时一般安装证书的时候都会给所有用户安装，所以选择第一个和第三个选项看到的证书会差不多。我们在左边的导航树中选中受信任的证书发布机构(Trusted Root Certificate Authorities)，然后点击下面的证书(Certificates)，在右边的区域中就可以看到所有的受信任的证书发布机构的证书。

注意上面的图片中，右边我们选中的这个证书发布机构"SecureTrust CA"，我们前面在第3章3.2节中举例子的时候，就是去向这个证书发布机构申请的证书，由于我们申请的证书是这个机构发布的，所以应用程序在检查我们的证书的发布机构时(会检查我们证书的签名，确认是该机构发布的证书)，就会发现是可以信任的证书发布机构，从而就会相信我们证书的真实性。

删除数字证书很简单，直接在右边的列表中右键然后删除就可以了。

数字证书的安装也比较简单，直接双击数字证书文件，会打开数字证书，对话框下面会有一个Install Certificate按钮，点击后就可以根据向导进行安装，如下图所示：

这个证书是我自己生成的测试证书，在证书的导入向导里面，它会让你选择导入到什么位置，如果是一个我们自己信任的证书发布机构自己的证书，只要导入到Certificate Authorities就可以了。Trusted Root Certificate Authorities, Intermediate Certification Authorities, Third-Party Root Certification Authorities 都是可以的，他们只是对证书的发布机构做了一个分类，还有一些其它的证书类型，例如Personal(个人证书)等等，具体就不介绍了。安装的时候一般来说可以用默认的选择项一直"下一步"到底。

4.2 如何自己创建证书

每个证书发布机构都有自己的用来创建证书的工具，当然，具体他们怎么去创建一个证书的我也不太清楚，不同类型的证书都有一定的格式和规范，我没有仔细去研究过这部分内容。 微软为我们提供了一个用来创建证书的工具makecert.exe，在安装Visual Studio的时候会安装上。如果没有安装也无所谓，可以上网去下一个，搜索makecert就可以了。可以直接从我的博客下载，这是链接。

向一些正规的证书发布机构申请证书一般是要收费的(因为别人要花时间检查你的身份，确认有没有同名的证书等等)，这里我们看下如何自己创建一个证书，为后面在IIS中配置Https做准备。

我们用到的是makecert这个工具，微软有很详细的使用帮助，我这里只做一个简单的解释，详细的各种参数和使用方法请查看MSDN的makecert的帮助。但是里面有些参数说得不够清楚，而且还有遗漏的，可以参看我后面的解释作为一个补充。

先看下makecert最简单的使用方式：

makecert.exe test.cer

上面的命令会在makecert.exe所在的目录生成一个证书文件test.cer的数字证书文件。可以双击证书打开，看看证书的内容如下：

证书的发布机构是"Root Agency"，证书的主题(证书发布给谁)是"Joe’s-Software-Emporium"，因为我们没有指定把证书发布给谁，makecert自己给我们随便生成了一个公司的名字。另外还指定了公钥、签名算法(用来解密签名)、指纹和指纹算法等。

注意，因为这个证书是由微软的工具生成的，严格来说它没什么发布机构，所以微软虚拟了一个叫做"Root Agency"的发布机构，默认情况下，windows里面安装了这个所谓的证书发布机构的证书，但是这证书默认情况下不是受信任的，原因很简单，这样做大家都可以用makecert来制作合法的数字证书了。如果我们自己硬是要，也可以把它设置为受信任的。

下面我们看下其它的参数，比如我们要给网站 www.jefferysun.com 生成一个证书MyCA.cer，假设我们把makecert.exe放在C：盘下，命令行如下：

C:\> makecert.exe –pe -r  –n  "CN=www.jefferysun.com" -ss my -sr LocalMachine -a sha1 -len 2048  MyCA.cer

解释一下makecert的常用参数的意思：

• -n 指定主题的名字，这个是有固定的格式的， CN=主题名字 ，CN应该是Certificate Name的缩写。我这里的主题的名字就是我们的IIS所在机器的IP。这里可以指定一些主题的其它附加信息，例如 O= *** 表示组织信息等等。

• -r 创建自签署证书，意思就是说在生成证书时，将证书的发布机构设置为自己。

• -pe 将所生成的私钥标记为可导出。注意，服务器发送证书给客户端的时候，客户端只能从证书里面获取公钥，私钥是无法获取的。如果我们指定了这个参数，证书在安装在机器上后，我们还可以从证书中导出私钥，默认情况下是不能导出私钥的。正规的途径发布的证书，是不可能让你导出私钥的。

• -b –e 证书的有效期

• -ss 证书的存储名称，就是windows证书存储区的目录名，如果不存在在的话就创建一个。

• -sr 证书的存储位置，只有currentuser（默认值）或 localmachine两个值。

• -sv 指定保存私钥的文件，文件里面除了包含私钥外，其实也包含了证书。这个文件是需要保密的，这个文件在服务端配置时是需要用到的。

• 这个CN=10.30.146.206要与自己的服务器相对应，要不然在配置HTTPS的时候会出现错误

• -a 指定签名算法，必须是md5或rsa1。(还记得签名算法的作用不？可以看一下3章的第1节中关于签名算法的介绍)

• -in 指定证书发布机构的名称

• -len 这个参数在中文的帮助文档中好像没有提到，但是这个其实很重要，用于指定公钥的位数，越大越安全，默认值是1024，推荐2048。我试了下，这个不为1024的倍数也是可以的。

生成证书后可以进行安装

广告获取失败,未能查看原内容

点击广告图片10秒后，可查看原内容

• CentOS双ISP配置

• 为物理网卡创建单独的路由表

• 分别为向新创建的路由表添加路由规则(非持久化，重启机器或网络后失效)

• 通过ip rule制定策略，将路由表与网络数据绑定(非持久化，重启机器或网络后失效)

• 测试

• iproute定义的route 和rule持久化，避免重启机器或网络后失效

• centos终于可以像windows一样自动判断来源网卡设定回归的路由

• 环境

• iproute2 与 route命令

• 如何配置iproute2

• route命令的缺陷

CentOS双ISP配置

目标： 一台服务器通过多个网卡连接多个网络，能够保证不同网络的来的数据能够按照原路返回，同时通过这两个网络中任意一个的外网ip或域名访问正常。

环境

• 网络环境：

• 两个网段192.168.199.0/24 192.168.1.0/24，两个网段物理隔离，分别从两个不同的ISP供应商连接互联网。

• TPlink路由器绑定域名 longxintaiye.f3322.net

• 极路由绑定域名 longsun.jios.org

• 服务器：

• 操作系统： CentOS 7 minimal

• 两个物理网卡分别绑定两个网桥br0 br1，实际相当于两个物理网卡（后面直接把网桥当作物理网卡来理解）

• br0连接极路由：ip 192.168.199.11 通过极路由映射端口22，外网访问地址为 longsun.jios.org:1122

• br1连接路由器TPLink：ip 192.168.1.11 通过TPLink映射端口22，外网访问地址为 longxintaiye.f3322.net:1122

• 测试机

• 阿里云服务器，CentOS 7 安装Telnet 外网测试访问22端口是否能通

iproute2 与 route命令

• route命令属于net-tools工具包的一个命令，从2001年不再维护，很多linux内核支持的新的网络特性无法通过route命令实现

• iproute2从centos7以后替换net-tools工具的成为系统默认网络工具，支持route策略配置及流量控制等功能

  为什么只有用iproute2的ip命令才能够解决双路问题？

• ip route 命令支持定义多张路由表，每个路由表都可以自由设定默认路由静态路由等策略

• ip rule 支持定义策略，将不同类型的网络数据跟不同路由表绑定，例如：

• 极路由192.168.199.0/24网络里发送到br0网卡上的数据包，会根据br0的路由表T2(自定义标号为202)指定的网关192.168.199.1返回极路由；

• TPLink路由器中192.168.1.0/24网络里发送到br1网卡的数据包会根据br1对应的路由表T1(自定义标号为201)中的默认网关192.168.1.1，发送回TPLink；

• route只能维护一张路由表，只能有一个默认网关比如：192.168.1.1

1. TPLink路由器发送到br1网卡的数据包，会根据默认路由表中的网关送回到192.168.1.1 TPLink去，此时链路正常
   

2. 极路由发送到br0网卡的数据包，会根据route的默认路由表中的网关送回到192.168.1.1， TPLink没有接受过这个数据包，也无法获取源地址正确的转回去。

如何配置iproute2

为物理网卡创建单独的路由表

iproute定义路由表的配置文件在/etc/iproute2/rt_table,最多可以有255个路由表。我们只需要分别为br1 br0创建T1 T2路由表，编辑/etc/iproute2/rt_table并添加201 T1 202 T2保存退出即可

分别为向新创建的路由表添加路由规则(非持久化，重启机器或网络后失效)

为br1添加路由规则到T1表中

#将从192.168.1.11来到数据包指定到br1网卡上/usr/sbin/ip route add 192.168.1.0/24 dev br1 src 192.168.1.11 table 201#指定本路由表默认网关为192.168.1.1/usr/sbin/ip route add default via 192.168.1.1 table  201#查看路由表/usr/sbin/ip route show table T1

为br0添加路由规则到T2表中

#将从192.168.199.11来到数据包指定到br1网卡上/usr/sbin/ip route add 192.168.199.0/24 dev br0 src 192.168.199.11 table 202#指定本路由表默认网关为192.168.199.1/usr/sbin/ip route add default via 192.168.199.1 table  202#查看路由表/usr/sbin/ip route show table T2

通过ip rule制定策略，将路由表与网络数据绑定(非持久化，重启机器或网络后失效)

将来自于网关192.168.1.1的数据包绑定到路由表T1上，按照T1的路由规则执行

/usr/sbin/ip rule add from  192.168.1.11 table T1

将来自于网关192.168.199.1的数据包绑定到路由表T2上，按照T1的路由规则执行

/usr/sbin/ip rule add from  192.168.199.11 table T2

测试

在阿里云的主机上通过telnet命令测试，服务器域名及服务器在两个路由器上对应的外网映射端口，如果有交互操作说明可以连通，注意关闭服务器上的防火墙。

iproute定义的route 和rule持久化，避免重启机器或网络后失效

• 新增路由表

  echo " 201    T1202 T2" >> cat /etc/iproute2/rt_tables

• 为br0 br1 创建route规则配置文件

  echo  "192.168.199.0/24 dev br0 src 192.168.199.11 table 202default via 192.168.199.1 table  202" > /etc/sysconfig/network-scripts/route-br0echo  "192.168.1.0/24 dev br1 src 192.168.1.11 table 201default via 192.168.1.1 table  201" > /etc/sysconfig/network-scripts/route-br1

• 创建rule规则文件

  echo  "from  192.168.199.11 table T2" > /etc/sysconfig/network-scripts/rule-br0echo  "from  192.168.1.11 table T1" > /etc/sysconfig/network-scripts/rule-br1

• 重启网络检查路由配置情况

  systemctl restart networkip route show table T1ip route show table T2ip rule show

  

• 从外网测试连接成功

  

centos终于可以像windows一样自动判断来源网卡设定回归的路由

route命令的缺陷

route命令创建的路由表相当于，iproute2中的main路由表，只能设置一个网关，会根据default网关的添加顺序及metric权重值来取做唯一的网关，一般情况下最后添加的及metric最小的默认路由生效

广告获取失败,未能查看原内容

点击广告图片10秒后，可查看原内容

由于CentOS7默认安装的是MariaDB，所以要添加MySQL的yum源，有些编译需要的devel包只有epel有，所以我们把epel源也一并添加

yum install -y wget

wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

rpm -ivh epel-release-latest-7.noarch.rpm

rpm -Uvh http://rpms.famillecollet.com/enterprise/remi-release-7.rpm

yum clean all

yum makecache

yum -y install samba samba-client samba-common

smbpasswd -a root

1，命令模式

systemctl set-default multi-user.target

2,图形模式

systemctl set-default graphical.target

 1、防止不必要的麻烦关闭 Selinux

setenforce 0

永久关闭，可以修改配置文件/etc/selinux/config，将SELINU置为disabled

sudo reboot

sudo passwd root

1、编辑/etc/gdm/custom.conf，修改以下两行：

[daemon]

AutomaticLoginEnable=true 这个修改为 true

AutomaticLogin=root              这个修改为 root

2、登录到桌面时，不要直接点击用户名，而是选择“not list"，然后输入root，输入密码即可进入

root 帐号通过 SSH   登录

vi /etc/ssh/sshd_config

PermitRootLogin yes

PasswordAuthentication yes

systemctl restart sshd.service

1. CentOS7.0 telnet-server 启动的问题。

解决方法：

    ①、先检查CentOS7.0是否已经安装以下两个安装包:telnet-server、xinetd。命令如下：

    rpm -qa telnet-server

    rpm -qa xinetd

    如果没有安装，则先安装。安装命令：

[root@master ~]# yum list |grep telnet

telnet-server.x86_64                    1:0.17-59.el7                  @base    

telnet.x86_64                           1:0.17-59.el7                  base     

[root@master ~]# yum install telnet-server.x86_64

[root@master ~]# yum install telnet.x86_64

[root@master ~]# yum list |grep xinetd

xinetd.x86_64                           2:2.3.15-12.el7                @base  

[root@master ~]# yum install xinetd.x86_64

安装完成后，将xinetd服务加入开机自启动:

    systemctl enable xinetd.service

将telnet服务加入开机自启动：

    systemctl enable telnet.socket

最后，启动以上两个服务即可：

    systemctl start telnet.socket

    systemctl start xinetd（或service xinetd start）

    # default: yes  

    # description: The telnet server servestelnet sessions; it uses \  

    #      unencrypted username/password pairs for authentication.  

    service telnet  

    {  

      flags           = REUSE  

      socket_type     = stream  

      wait            = no  

      user            = root  

      server          =/usr/sbin/in.telnetd  

      log_on_failure  += USERID  

      disable         = no   

    }  

[root@CentOS-Slave1 pam.d]# pwd  

/etc/pam.d  

[root@CentOS-Slave1 pam.d]# cat remote   

#%PAM-1.0  

#telent 远程root登陆允许  

#auth       required     pam_securetty.so  

auth       substack     password-auth  

auth       include      postlogin  

CentOS 7.0默认使用的是firewall作为防火墙，这里改为iptables防火墙。

1、关闭firewall：

systemctl stop firewalld.service #停止firewall

systemctl disable firewalld.service #禁止firewall开机启动

2、安装iptables防火墙

yum install iptables-services -y #安装

vi /etc/sysconfig/iptables #编辑防火墙配置文件

# Firewall configuration written by system-config-firewall

# Manual customization of this file is not recommended.

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 8888 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 9000 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 10000 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

:wq! #保存退出

systemctl restart iptables.service #最后重启防火墙使配置生效

systemctl enable iptables.service #设置防火墙开机启动

5）. 复制

　　「yw」：将光标所在之处到字尾的字符复制到缓冲区中。

　　「#yw」：复制#个字到缓冲区   www.2cto.com  

　　「yy」：复制光标所在行到缓冲区。

　　「#yy」：例如，「6yy」表示拷贝从光标所在的该行"往下数"6行文字。

　　「p」：将缓冲区内的字符贴到光标所在位置。注意：所有与"y"有关的复制命令都必须与"p"配合才能完成复制与粘贴功能。

安装webmin

yum -y install openssl perl perl-Encode-Detect perl-Net-SSLeay perl-IO-Tty perl-Crypt-SSLeay

删除perl模块时先用如下命令查看perl的文件夹，然后直接删除文件或文件夹：

perl -e 'print join "\n",@INC'

测试perl模块是是否安装成功，用下面命令，无提示表示成功：

perl -e 'use Net::SSLeay'

wget https://prdownloads.sourceforge.net/webadmin/webmin-1.881-1.noarch.rpm

rpm -ivh webmin-1.881-1.noarch.rpm

二、安装postfix

1、安装编译及其他所需要的包，我这总共有124个包需要安装，mysql-server比较大，速度也比较慢

yum install  -y nginx vim gcc gcc-c++ openssl openssl-devel ntpdate db4-devel  bzip2 php-mysql cyrus-sasl-md5 perl-GD perl-DBD-MySQL perl-GD perl-CPAN perl-CGI perl-CGI-Session cyrus-sasl-lib cyrus-sasl-plain cyrus-sasl cyrus-sasl-devel libtool-ltdl-devel telnet mail libicu-devel mysql mysql-devel mysql-server

Error: Package: akonadi-mysql-1.9.2-4.el7.x86_64 (@anaconda)

           Requires: mariadb-server

           Removing: 1:mariadb-server-5.5.44-2.el7.centos.x86_64 (@anaconda)

               mariadb-server = 1:5.5.44-2.el7.centos

           Obsoleted By: mysql-community-server-5.6.34-2.el7.x86_64 (mysql56-community)

               Not found

           Updated By: 1:mariadb-server-5.5.50-1.el7_2.x86_64 (updates)

               mariadb-server = 1:5.5.50-1.el7_2

           Available: 1:mariadb-server-5.5.47-1.el7_2.x86_64 (updates)

               mariadb-server = 1:5.5.47-1.el7_2

yum -y remove mariadb-libs

然后重新安装

yum install  -y nginx vim gcc gcc-c++ openssl openssl-devel ntpdate db4-devel  bzip2 php-mysql cyrus-sasl-md5 perl-GD perl-DBD-MySQL perl-GD perl-CPAN perl-CGI perl-CGI-Session cyrus-sasl-lib cyrus-sasl-plain cyrus-sasl cyrus-sasl-devel libtool-ltdl-devel telnet mail libicu-devel mysql mysql-devel mysql-server

2、编译安装postfix

1、卸载系统自带的postfix，删除postfix用户，重新指定uid、gid创建新用户postfix，postdrop

yum remove postfix -y

userdel postfix

groupdel postdrop

groupadd -g 2525 postfix

useradd -g postfix -u 2525 -s /sbin/nologin -M postfix

groupadd -g 2526 postdrop

useradd -g postdrop -u 2526 -s /sbin/nologin -M postdrop

2、下载源码包并解压编译

wget ftp://ftp.cuhk.edu.hk/pub/packages/mail-server/postfix/official/postfix-3.3.0.tar.gz

tar xf postfix-3.3.0.tar.gz

cd postfix-3.3.0

make makefiles 'CCARGS=-DHAS_MYSQL -I/usr/include/mysql -DUSE_SASL_AUTH -DUSE_CYRUS_SASL -I/usr/include/sasl -DUSE_TLS ' 'AUXLIBS=-L/usr/lib64/mysql -lmysqlclient -lz -lrt -lm -L/usr/lib64/sasl2 -lsasl2   -lssl -lcrypto'

make && make install

make install的时候会有个交互式的界面，自定义一些目录，我们这里只更改第二项临时文件目录，其他的全部默认。

Please specify the prefix for installed file names. Specify this ONLY

if you are building ready-to-install packages for distribution to OTHER

machines. See PACKAGE_README for instructions.

install_root: [/]

Please specify a directory for scratch files while installing Postfix. You

must have write permission in this directory.

tempdir: [/root/postfix-3.0.1] /tmp/extmail

…………………………

…………………………

shlib_directory: [no]

Please specify the final destination directory for non-executable files

that are shared among multiple Postfix instances, such as postfix-files,

dynamicmaps.cf, as well as the multi-instance template files main.cf.proto

and master.cf.proto.

meta_directory: [/etc/postfix]

3、更改目录属主属组

chown -R postfix:postdrop /var/spool/postfix

chown -R postfix:postdrop /var/lib/postfix/

chown root /var/spool/postfix

chown -R root /var/spool/postfix/pid

4，修改postfix的配置文件

[root@localhost ~]# vim /etc/postfix/main.cf

myhostname = mail.everyoo.com        //设置主机名

mydomain = everyoo.com        //指定域名

myorigin = $mydomain        //指明发件人所在的域名

inet_interfaces =         //all指定postfix系统监听的网络接口

mydestination = $myhostname, localhost.$mydomain, localhost,$mydomain        //指定postfix接收邮件时收件人的域名 [使用虚拟域需要禁用]

mynetworks_style = host        //指定信任网段类型

mynetworks = 192.168.1.0/24, 127.0.0.0/8        //指定信任的客户端

relay_domains = $mydestination        //指定允许中转邮件的域名

alias_maps = hash:/etc/aliases        //设置邮件的别名

三、安装dovecot

yum install -y  dovecot dovecot-mysql

2、配置dovecot

[root@localhost ~]# cd /etc/dovecot/

[root@localhost dovecot]# vim dovecot.conf        //直接在配置文件最后添加即可

protocols = imap pop3

!include conf.d/*.conf

listen = *

base_dir = /var/run/dovecot/

[root@localhost dovecot]# cd conf.d/

[root@localhost conf.d]# vim 10-auth.conf

disable_plaintext_auth = no

[root@localhost conf.d]# vim 10-mail.conf

mail_location = maildir:~/Maildir

mail_location = maildir:/var/mailbox/%d/%n/Maildir

mail_privileged_group = mail

[root@localhost conf.d]# vim 10-ssl.conf

ssl = no

[root@localhost conf.d]# vim 10-logging.conf

log_path = /var/log/dovecot.log

info_log_path = /var/log/dovecot.info

log_timestamp = "%Y-%m-%d %H:%M:%S "

[root@localhost conf.d]# cp auth-sql.conf.ext auth-sql.conf

[root@localhost conf.d]# vim auth-sql.conf

passdb {

driver = sql

# Path for SQL configuration file, see example-config/dovecot-sql.conf.ext  

args = /etc/dovecot/dovecot-sql.conf.ext

}

userdb {

  driver = sql

  args = /etc/dovecot/dovecot-sql.conf.ext

}

3、编辑dovecot通过mysql认证的配置文件

[root@localhost conf.d]# vim /etc/dovecot/dovecot-sql.conf.ext

driver = mysql

connect = host=localhost dbname=extmail user=extmail password=extmail

default_pass_scheme = CRYPT

password_query = SELECT username AS user,password AS password FROM mailbox WHERE username = '%u'

user_query = SELECT maildir, uidnumber AS uid, gidnumber AS gid FROM mailbox WHERE username = '%u'

四、安装courier-authlib

courier-unicode-1.2并编译安装。

[root@localhost ~]# wget https://jaist.dl.sourceforge.net/project/courier/courier-unicode/2.0/courier-unicode-2.0.tar.bz2

[root@localhost ~]# tar xf courier-unicode-2.0.tar.bz2

[root@localhost ~]# cd courier-unicode-2.0

[root@localhost courier-unicode-2.0]# ./configure

[root@localhost courier-unicode-2.0]# make && make install

1、下载解压并并编译

[root@localhost ~]# wget https://jaist.dl.sourceforge.net/project/courier/authlib/0.68.0/courier-authlib-0.68.0.tar.bz2

[root@localhost ~]# tar xf courier-authlib-0.68.0.tar.bz2

[root@localhost ~]# cd courier-authlib-0.68.0

[root@localhost ~]# ./configure --prefix=/usr/local/courier-authlib --sysconfdir=/etc --without-authpam --without-authshadow --without-authvchkpw --without-authpgsql --with-authmysql --with-mysql-libs=/usr/lib64/mysql --with-mysql-includes=/usr/include/mysql --with-redhat --with-authmysqlrc=/etc/authmysqlrc --with-authdaemonrc=/etc/authdaemonrc --with-mailuser=postfix --with-authdaemond=/usr/local/courier-authlib/var/spool/authdaemon

[root@localhost  courier-authlib-0.66.2]    make && make install

 2、配置 courier-authlib

[root@localhost  courier-authlib-0.66.2]# chmod 755 /usr/local/courier-authlib/var/spool/authdaemon

[root@localhost  courier-authlib-0.66.2]# cp /etc/authdaemonrc.dist  /etc/authdaemonrc

[root@localhost  courier-authlib-0.66.2]# cp /etc/authmysqlrc.dist  /etc/authmysqlrc

[root@localhost  courier-authlib-0.66.2]# vim /etc/authdaemonrc            //配置文件里的验证方法比较多，我们这里只使用authmysql

authmodulelist="authmysql"

authmodulelistorig="authmysql"

[root@localhost  courier-authlib-0.66.2]#cat /etc/authmysqlrc |grep -v ^#| grep -v ^$

[root@localhost  courier-authlib-0.66.2]# vim /etc/authmysqlrc

//直接添加到配置文件尾部，然后去上面将响应系统默认的注视掉，或者删除即可

MYSQL_SERVER 127.0.0.1

MYSQL_USERNAME extmail

MYSQL_PASSWORD extmail

MYSQL_SOCKET /var/lib/mysql/mysql.sock

MYSQL_PORT 3306

MYSQL_OPT 0

MYSQL_DATABASE extmail

MYSQL_USER_TABLE mailbox

MYSQL_CRYPT_PWFIELD password

DEFAULT_DOMAIN haose888.org

MYSQL_UID_FIELD '2525'

MYSQL_GID_FIELD '2525'

MYSQL_LOGIN_FIELD username

MYSQL_HOME_FIELD concat('/var/mailbox/',homedir)

MYSQL_NAME_FIELD name

MYSQL_MAILDIR_FIELD concat('/var/mailbox/',maildir)

3、 courier-authlib 添加服务启动脚本及其他

[root@localhost  courier-authlib-0.66.2]# cp courier-authlib.sysvinit /etc/init.d/courier-authlib

[root@localhost  courier-authlib-0.66.2]# chmod +x /etc/init.d/courier-authlib

[root@localhost  courier-authlib-0.66.2]# chkconfig --add courier-authlib

[root@localhost  courier-authlib-0.66.2]# chkconfig courier-authlib on

[root@localhost  courier-authlib-0.66.2]# echo "/usr/local/courier-authlib/lib/courier-authlib" >> /etc/ld.so.conf.d/courier-authlib.conf

[root@localhost  courier-authlib-0.66.1]# ldconfig

[root@localhost  courier-authlib-0.66.1]# service courier-authlib start

Starting Courier authentication services: authdaemond

4、smtp以及虚拟用户相关的设置

[root@localhost ~]# vim /usr/lib64/sasl2/smtpd.conf        //文件不存在，要自己创建

pwcheck_method: authdaemond

log_level: 3

mech_list: PLAIN LOGIN

authdaemond_path: /usr/local/courier-authlib/var/spool/authdaemon/socket

[root@localhost ~]# vim /etc/postfix/main.cf

##postfix支持SMTP##

smtpd_sasl_auth_enable = yes

smtpd_sasl_local_domain = $myhostname

smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination

broken_sasl_auth_clients=yes

smtpd_client_restrictions = permit_sasl_authenticated

smtpd_sasl_security_options = noanonymous

##postfix支持虚拟用户##

virtual_mailbox_base = /var/mailbox

virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf

#这里的配置文件需在后面extman里复制过来

virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf

virtual_alias_domains =

virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf

virtual_uid_maps = static:2525

virtual_gid_maps = static:2525

virtual_transport = virtual

重启服务

service courier-authlib restart

二、mysql安装

一般网上给出的资料都是

#yum install mysql -y

#yum install mysql-server -y

#yum install mysql-devel -y

安装mysql和mysql-devel都成功，但是安装mysql-server失败，如下：

复制代码

[root@yl-web yl]# yum install mysql-server

Loaded plugins: fastestmirror

Loading mirror speeds from cached hostfile

 * base: mirrors.sina.cn

 * extras: mirrors.sina.cn

 * updates: mirrors.sina.cn

No package mysql-server available.

Error: Nothing to do

复制代码

查资料发现是CentOS 7 版本将MySQL数据库软件从默认的程序列表中移除，用mariadb代替了。

有两种解决办法：

1、方法一：安装mariadb

MariaDB数据库管理系统是MySQL的一个分支，主要由开源社区在维护，采用GPL授权许可。开发这个分支的原因之一是：甲骨文公司收购了MySQL后，有将MySQL闭源的潜在风险，因此社区采用分支的方式来避开这个风险。MariaDB的目的是完全兼容MySQL，包括API和命令行，使之能轻松成为MySQL的代替品。

安装mariadb，大小59 M。

[root@yl-web yl]# yum install mariadb-server mariadb -y

mariadb数据库的相关命令是：

systemctl start mariadb  #启动MariaDB

systemctl stop mariadb  #停止MariaDB

systemctl restart mariadb  #重启MariaDB

systemctl enable mariadb  #设置开机启动

所以先启动数据库

[root@yl-web yl]# systemctl start mariadb

然后就可以正常使用mysql了

复制代码

[root@yl-web yl]# mysql -u root -p

Enter password:

Welcome to the MariaDB monitor.  Commands end with ; or \g.

Your MariaDB connection id is 3

Server version: 5.5.41-MariaDB MariaDB Server

Copyright (c) 2000, 2014, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> show databases;

+--------------------+

| Database           |

+--------------------+

| information_schema |

| mysql              |

| performance_schema |

| test               |

+--------------------+

4 rows in set (0.00 sec)

MariaDB [(none)]>

复制代码

安装mariadb后显示的也是 MariaDB [(none)]> ，可能看起来有点不习惯。下面是第二种方法。

2、方法二：官网下载安装mysql-server

# wget http://dev.mysql.com/get/mysql-community-release-el7-5.noarch.rpm

# rpm -ivh mysql-community-release-el7-5.noarch.rpm

# yum install mysql-community-server

安装成功后重启mysql服务。

# service mysqld restart

初次安装mysql，root账户没有密码。

复制代码

[root@yl-web yl]# mysql -u root

Welcome to the MySQL monitor.  Commands end with ; or \g.

Your MySQL connection id is 3

Server version: 5.6.26 MySQL Community Server (GPL)

Copyright (c) 2000, 2015, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its

affiliates. Other names may be trademarks of their respective

owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> show databases;

+--------------------+

| Database           |

+--------------------+

| information_schema |

| mysql              |

| performance_schema |

| test               |

+--------------------+

4 rows in set (0.01 sec)

mysql>

复制代码

设置密码

mysql> set password for 'root'@'localhost' =password('password');

Query OK, 0 rows affected (0.00 sec)

mysql>

不需要重启数据库即可生效。

在mysql安装过程中如下内容：

复制代码

Installed:

  mysql-community-client.x86_64 0:5.6.26-2.el7                mysql-community-devel.x86_64 0:5.6.26-2.el7                

  mysql-community-libs.x86_64 0:5.6.26-2.el7                  mysql-community-server.x86_64 0:5.6.26-2.el7               

Dependency Installed:

  mysql-community-common.x86_64 0:5.6.26-2.el7                                                                            

Replaced:

  mariadb.x86_64 1:5.5.41-2.el7_0          mariadb-devel.x86_64 1:5.5.41-2.el7_0   mariadb-libs.x86_64 1:5.5.41-2.el7_0  

  mariadb-server.x86_64 1:5.5.41-2.el7_0  

复制代码

所以安装完以后mariadb自动就被替换了，将不再生效。

[root@yl-web yl]# rpm -qa |grep mariadb

[root@yl-web yl]#

三、配置mysql

1、编码

mysql配置文件

vim /etc/my.cnf

最后加上编码配置

[mysql]

default-character-set =utf8

这里的字符编码必须和/usr/share/mysql/charsets/Index.xml中一致。

2、远程连接设置

把在所有数据库的所有表的所有权限赋值给位于所有IP地址的root用户。

mysql> grant all privileges on *.* to root@'%'identified by 'password';

如果是新用户而不是root，则要先新建用户

mysql>create user 'extmail'@'localhost' identified by 'password';

mysql> set password for 'extmail'@'localhost' =password('123456');

此时就可以进行远程连接了。

我装的系统是centos7,nginx有很多版本的，下面我给个链接http://nginx.org/packages/mainline/centos/7/x86_64/RPMS/

下载对应当前系统版本的nginx包(package)

# wget  http://nginx.org/packages/mainline/centos/7/x86_64/RPMS/nginx-1.13.3-1.el7.ngx.x86_64.rpm

建立nginx的yum仓库

# rpm -ivh nginx-1.13.3-1.el7.ngx.x86_64.rpm

下载并安装nginx

# yum install nginx

查看nginx服务状态，如下：

# systemctl status nginx.service

nginx.service - nginx - high performance web server

Loaded: loaded (/usr/lib/systemd/system/nginx.service; disabled)

Active: inactive (dead)      //服务未开启

# systemctl start nginx.service           /启动nginx服务

# systemctl restart nginx.service       /重新启动

# systemctl stop nginx.service          /停止服务

# systemctl enable nginx.service      /开机启动

# systemctl disable nginx.service     /禁止开机启动

CentOS 7 默认是firewall

添加防火墙规则如下：

# firewall-cmd --add-port=80/tcp          //http协议基于TCP传输协议，放行80端口

如果添加以上的命令还不行，那么就关闭firewalld

停止

# systemctl stop firewalld.service

禁止开机启动

# systemctl disable firewalld.service

配置

默认的配置文件在 /etc/nginx 路径下，使用该配置已经可以正确地运行nginx；

如需要自定义，修改其下的 nginx.conf 或conf.d/default.conf等文件即可。

测试

在浏览器地址栏中输入部署nginx环境的机器的IP，如果一切正常，应该能看到如下字样的内容。

    配置yum源，事先确认yum源的链接是不是有效的。

    # rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

    # rpm -Uvh http://rpms.famillecollet.com/enterprise/remi-release-7.rpm

    确认安装的php版本。

    # yum list --enablerepo=remi --enablerepo=remi-php56 | grep php

    安装php5.6---php-opcache及php-pecl-apcu会有效的提高php执行速度。

    # yum install --enablerepo=remi --enablerepo=remi-php56 php php-opcache php-pecl-apcu php-devel php-mbstring php-mcrypt php-mysqlnd php-phpunit-PHPUnit php-pecl-xdebug php-pecl-xhprof php-pdo php-pear php-fpm php-cli php-xml php-bcmath php-process php-gd php-common -y

    此处省略n行...正在安装，遇到输入，选y就是了。

    最后，确认php版本。命令：php -v

    重启httpd，大功告成！收工！

    重启命令：systemctl restart nginx

    systemctl restart php-fpm.service

yum install php-fpm php-cli php-mysql php-gd php-imap php-ldap php-odbc php-pear php-xml php-xmlrpc php-magickwand php-magpierss php-mbstring php-mcrypt php-mssql php-shout php-snmp php-soap php-tidy php-pecl-apc -y

yum install php54-php-fpm

yum --enablerepo=remi install php-fpm -y

配置 PHP

    打开 PHP 配置文件：vi /etc/php.ini

    设置 cgi.fix_pathinfo=1：（此处有坑～！）

    date.timezone = PRC

打开：vi /etc/php-fpm.d/www.conf

; RPM: apache Choosed to be able to access some dir as httpd

user = www

; RPM: Keep a group allowed to write in log dir.

group = www

;listen = 127.0.0.1:9000

改为

listen = /var/run/php-fpm/php-fpm.socket

listen.owner = nginx

listen.group = nginx

listen.mode = 0660

;php_value[session.save_path]    = /var/lib/php/session

3.安装PHP的mcrypt扩展

CentOS 7运行Laravel的一个不方便的地方就是yum没有php的mcrypt扩展，需要手动编译安装一个。

首先需要编译安装libmcrypt。

yum -y install libmcrypt libmcrypt-devel php-mcrypt php-mbstring libmhash

wget https://superb-dca2.dl.sourceforge.net/project/mcrypt/Libmcrypt/2.5.8/libmcrypt-2.5.8.tar.gz

    tar zxvf libmcrypt-2.5.8.tar.gz  

    cd libmcrypt-2.5.8  

    ./configure  

    make & make install  

然后再编译mcrypt.so，编译完成之后放到/usr/lib64/modules目录下。

wget https://pilotfiber.dl.sourceforge.net/project/mcrypt/MCrypt/2.6.8/mcrypt-2.6.8.tar.gz

    tar zxvf mcrypt-2.6.8.tar.gz  

    cd mcrypt-2.6.8

    ./configure

    configure: error: "You need at least libmhash 0.8.15 to compile this program. http://mhash.sf.net/"

export LD_LIBRARY_PATH=/usr/local/lib/libmcrypt/lib:/usr/local/lib/mhash/lib

export LDFLAGS="-L/usr/local/lib/mhash/lib/ -I/usr/local/lib/mhash/include/"

export CFLAGS="-I/usr/local/lib/mhash/include/"

./configure --prefix=/usr/local/lib/mcrypt/ --with-libmcrypt-prefix=/usr/local/lib/libmcrypt

    打开/etc/ld.so.conf，在文件之后，添加一行：

    /usr/local/lib  

然后，执行 ldconfig  ，重新编译即可。

    make & make install  

再到/etc/php.d路径下新建mcrypt.ini文件，内容如下

; Enable mcrypt extension module  

extension=mcrypt.so  

重启php-fpm之后即可加载了。

# chmod 0660 /var/run/php-fpm/php-fpm.socket

# chown nginx:nginx /var/run/php-fpm/php-fpm.socket

systemctl restart php-fpm.service

或者源码安装PHP

1、从官网下载PHP源码包   (php-5.5.38)

2、安装依赖包

yum install libxml2 libxml2-devel bzip2-devel libcurl-devel -y

yum install openssl openssl-devel -y

yum install libjpeg-devel libpng-devel freetype-devel -y

yum install libmcrypt libmcrypt-devel -y

3、编译安装

$ tar -xzvf php-7.2.5.tar.gz

$ cd php-7.2.5

$ ./configure --prefix=/usr/local/php ...

./configure --prefix=/usr/local/php725 --with-config-file-path=/usr/local/php725/etc --enable-inline-optimization --disable-debug --disable-rpath --enable-shared --enable-opcache --enable-fpm --with-mysql --with-mysqli --with-pdo-mysql --with-gettext --enable-mbstring --with-iconv --with-mcrypt --with-mhash --with-openssl --enable-bcmath --enable-soap --with-libxml-dir --enable-pcntl --enable-shmop --enable-sysvmsg --enable-sysvsem --enable-sysvshm --enable-sockets --with-curl --with-zlib --enable-zip --with-bz2 --with-gd --with-freetype-dir  --with-jpeg-dir --with-png-dir

make && make install

安装成功的打印信息：

    Installing shared extensions:     /usr/local/php/lib/php/extensions/no-debug-non-zts-20121212/  

    Installing PHP CLI binary:        /usr/local/php/bin/  

    Installing PHP CLI man page:      /usr/local/php/php/man/man1/  

    Installing PHP FPM binary:        /usr/local/php/sbin/  

    Installing PHP FPM config:        /usr/local/php/etc/  

    Installing PHP FPM man page:      /usr/local/php/php/man/man8/  

    Installing PHP FPM status page:      /usr/local/php/php/php/fpm/  

    Installing PHP CGI binary:        /usr/local/php/bin/  

    Installing PHP CGI man page:      /usr/local/php/php/man/man1/  

    Installing build environment:     /usr/local/php/lib/php/build/  

    Installing header files:          /usr/local/php/include/php/  

    Installing helper programs:       /usr/local/php/bin/  

      program: phpize  

      program: php-config  

    Installing man pages:             /usr/local/php/php/man/man1/  

      page: phpize.1  

      page: php-config.1  

    Installing PEAR environment:      /usr/local/php/lib/php/  

    [PEAR] Archive_Tar    - installed: 1.4.0  

    [PEAR] Console_Getopt - installed: 1.4.1  

    [PEAR] Structures_Graph- installed: 1.1.1  

    [PEAR] XML_Util       - installed: 1.3.0  

    [PEAR] PEAR           - installed: 1.10.1  

    Wrote PEAR system config file at: /usr/local/php/etc/pear.conf  

    You may want to add: /usr/local/php/lib/php to your php.ini include_path  

    /opt/software/php-5.5.38/build/shtool install -c ext/phar/phar.phar /usr/local/php/bin  

    ln -s -f phar.phar /usr/local/php/bin/phar  

    Installing PDO headers:          /usr/local/php/include/php/ext/pdo/  

安装成功之后进入/usr/local/php/bin目录查看php版本

    [root@docker bin]# php -v  

    PHP 5.5.38 (cli) (built: Feb 28 2017 20:24:05)   

    Copyright (c) 1997-2015 The PHP Group  

    Zend Engine v2.5.0, Copyright (c) 1998-2015 Zend Technologies  

4、移动配置文件

$ cp php.ini-production /usr/local/php725/etc/php.ini //将源码文件中的php.ini-production移动到php配置文件夹下作为php的配置文件

$ cp /usr/local/php725/etc/php-fpm.conf.default /usr/local/php725/etc/php-fpm.conf

5、将php-fpm配置为系统服务，并设置为开机启动

cp sapi/fpm/php-fpm /usr/local/bin

然后设置php.ini，使用： vim /usr/local/php725/lib/php.ini 打开php配置文件找到cgi.fix_pathinfo配置项，这一项默认被注释并且值为1，根据官方文档的说明，这里为了当文件不存在时，阻止Nginx将请求发送到后端的PHP-FPM模块，从而避免恶意脚本注入的攻击，所以此项应该去掉注释并设置为0

php_value[session.save_path]    = "/tmp/php725"

cp /usr/local/php725/etc/php-fpm.d/www.conf.default /usr/local/php725/etc/php-fpm.d/www.conf

vim /usr/local/php725/etc/php-fpm.d/www.conf

　　默认user和group的设置为nobody，将其改为www

listen = /var/run/php-fpm725/php-fpm.socket

listen.owner = nginx

listen.group = nginx

listen.mode = 0660

# chmod 0660 /var/run/php-fpm725/php-fpm.socket

# chown nginx:nginx /var/run/php-fpm725/php-fpm.socket

启动

/usr/local/bin/php-fpm

$ cp sapi/fpm/init.d.php-fpm /etc/init.d/php-fpm //php源码目录下

$ chmod +x /etc/init.d/php-fpm

$ chkconfig --add php-fpm

$ chkconfig php-fpm on

$ service php-fpm restart

    [root@client fpm]# service php-fpm start  

    Starting php-fpm  done  

    [root@client fpm]# ps -ef |grep php  

    root      4586     1  0 10:32 ?        00:00:00 php-fpm: master process (/usr/local/php/etc/php-fpm.conf)  

    nobody    4587  4586  0 10:32 ?        00:00:00 php-fpm: pool www  

    nobody    4588  4586  0 10:32 ?        00:00:00 php-fpm: pool www  

    root      4590  2526  0 10:32 pts/0    00:00:00 grep --color=auto php  

    [root@client fpm]# netstat -nat  

    Active Internet connections (servers and established)  

    Proto Recv-Q Send-Q Local Address           Foreign Address         State        

    tcp        0      0 127.0.0.1:9000          0.0.0.0:*               LISTEN       

    tcp        0      0 127.0.0.1:27017         0.0.0.0:*               LISTEN       

    tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN       

    tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN       

    tcp        0      0 192.168.56.202:22       192.168.56.1:55794      ESTABLISHED  

    tcp        0     52 192.168.56.202:22       192.168.56.1:55757      ESTABLISHED  

    tcp6       0      0 :::22                   :::*                    LISTEN

配置一下nginx虚拟主机nginx.conf

    静态解析

    静态解析按照nginx提供的virtual.conf里面提供的例子解析即可

    动态解析，因为nginx本身不能解析php，所以它会把php转发到9000端口，提交给php-fpm去解析，这里我贴出我的配置文件

    user nginx;

worker_processes auto;

error_log /var/log/nginx/error.log;

pid /run/nginx.pid;

# Load dynamic modules. See /usr/share/nginx/README.dynamic.

include /usr/share/nginx/modules/*.conf;

events {

    worker_connections 10240;

}

http {

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '

                      '$status $body_bytes_sent "$http_referer" '

                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile            on;

    tcp_nopush          on;

    tcp_nodelay         on;

    keepalive_timeout   65;

    types_hash_max_size 2048;

    include             /etc/nginx/mime.types;

    default_type        application/octet-stream;

    # Load modular configuration files from the /etc/nginx/conf.d directory.

    # See http://nginx.org/en/docs/ngx_core_module.html#include

    # for more information.

    include /etc/nginx/conf.d/*.conf;

  server {    

    listen 80;

    server_name test.com;

    index index.html index.htm index.php;

    set $root_path /var/www;

    root $root_path;

    try_files $uri $uri/ @rewrite;

    location @rewrite {

    rewrite ^/(.*)$ /index.php?_url=/$1;

    }

     location ~ .*\.(php|php5)?$

        {

        fastcgi_pass unix:/var/run/php-fpm.sock;

        fastcgi_index index.php;

        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

        include fastcgi_params;

        }

    location ~ \.cgi$ {

        fastcgi_pass unix:/var/run/php-fpm.sock;

        fastcgi_index index.cgi;

        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

        include fastcgi_params;

    }

    }

    }

-这里有一个地方需要注意，如果你在重启nginx的时候，出现无法识别$document_root,你需要将你的 fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;里面的$document_root换成你项目入口文件位置，我就在这个地方纠结了好久，弄半天才整出来，这个解析规则基本能满足大部分php项目解析

cd ~

curl -L https://files.phpmyadmin.net/phpMyAdmin/4.8.0.1/phpMyAdmin-4.8.0.1-all-languages.zip -o phpmyadmin.zip

yum install -y unzip zip

unzip phpmyadmin.zip

mv phpMyAdmin-4.8.0.1-all-languages /var/www/phpmyadmin

现在，打开浏览器，输入为 nginx 服务器绑定的主机名，后面加上 phpMyAdmin 所在的目录名，http://127.0.0.1/phpmyadmin 。显示了一个错误：

session_start(): open(SESSION_FILE, O_RDWR) failed: Permission denied (13)

引起这个错误的原因是 php 没有权限把 session 写到指定的目录里，这些 session 文件保存的位置是在 php 的配置文件里定义的，用我们前面测试 php 创建的 phpinfo.php 可以查看这个目录的位置，在浏览器里打开这个文件，搜索 session.save_path：

phpmyadmin/libraries/session.inc.php

session.save_path    /var/lib/php-fpm/session

这个 /var/lib/php-fpm/session 是保存 session 用的目录，这个目录现在属于 root 这个用户，我们的 php-fpm 是用 vagrant 用户运行的，所以，你可以把这个目录的拥有者改成 vagrant ：

chown nginx /var/lib/php-fpm/session

cp config.sample.inc.php config.inc.php

openssl rand -base64 32

返回：

AhONip2q+KmANQJfbzx7NC+j+hsGRKuhuQi8ClJG4mk=

复制返回来的随机密码，然后打开 config.inc.php，搜索 $cfg['blowfish_secret'] ，把复制的密码粘贴到这个配置的后面。

$cfg['blowfish_secret'] = 'AhONip2q+KmANQJfbzx7NC+j+hsGRKuhuQi8ClJG4mk=';

保存配置文件，回到浏览器，重新登录，警告就会消失了

五、安装extmail

extmail和extman可通过这两个链接下载

wget http://7xivyw.com1.z0.glb.clouddn.com/extmail-1.2.tar.gz

wget http://7xivyw.com1.z0.glb.clouddn.com/extman-1.1.tar.gz

1、创建目录并解压

[root@localhost ~]# mkdir -p /var/www/extsuite

[root@localhost ~]# tar xf extmail-1.2.tar.gz -C /var/www/extsuite/

[root@localhost ~]# mv /var/www/extsuite/extmail-1.2/ /var/www/extsuite/extmail

2、更改extmail的配置文件

[root@localhost ~]# cd /var/www/extsuite/extmail

[root@localhost extmail]# cp webmail.cf.default webmail.cf

[root@localhost extmail]# vim webmail.cf

# sys_config, the config file and webmail programe root

SYS_CONFIG = /var/www/extsuite/extmail/

# sys_langdir, the i18n dir

SYS_LANGDIR = /var/www/extsuite/extmail/lang

# sys_templdir, the template dir

SYS_TEMPLDIR = /var/www/extsuite/extmail/html

# sys_http_cache, a switch to enable or disable http cache via http header

SYS_HTTP_CACHE = 0

# sys_smtp_host

SYS_SMTP_HOST = 127.0.0.1

# sys_smtp_port

SYS_SMTP_PORT = 25

# sys_smtp_timeout

SYS_SMTP_TIMEOUT = 5

# sys_spam_report_on = 1 | 0 - enable spam reporting or not

SYS_SPAM_REPORT_ON = 0

# sys_spam_report_type = dspam | spamassassin - spam reporting type

SYS_SPAM_REPORT_TYPE = dspam

# sys_warn, show system warning or not, default to yes

SYS_SHOW_WARN = 0

# sys_ip_security_on = 1 | 0 - enable login ip security or not

SYS_IP_SECURITY_ON = 1

# sys_permit_noquota, permit an account without qouta?

SYS_PERMIT_NOQUOTA = 1

# sys_sess_dir, the session dir

SYS_SESS_DIR = /tmp/extmail

# sys_upload_tmpdir, the temp directory for file uploading

SYS_UPLOAD_TMPDIR = /tmp/extmail/upload

# sys_log_on = 1 | 0 - enable logging or not

SYS_LOG_ON = 1

# sys_log_type = file|syslog|nsyslog, syslog will save login

# or error info into mail.*, nsyslog is a replacement to syslog

# that will send log message to network syslogd

SYS_LOG_TYPE = syslog

# sys_log_file - path to log file, if sys_log_type = file

SYS_LOG_FILE = /var/log/extmail.log

# sys_sess_timeout, session timeout, default 3 hours (3h) format:

# number+(s|m|h|d|M|y); or only number, the 0 means that the

# session will last for 0 seconds, but if you specify the

# sys_sess_cookie_only = 1 then it means the session will expire

# after you close your browser :)

SYS_SESS_TIMEOUT = 0

# sys_sess_cookie_only = 0|1 use cookie only or include cgi "sid"

# parameter ? if set to true(1), the session will be expired after

# sys_sess_timeout if there is no any active request from browser

SYS_SESS_COOKIE_ONLY = 1

# sys_user_psize, user default page_size

SYS_USER_PSIZE = 10

# sys_user_tsize, user mail subject truncate size, valid type:

# auto    => full text

# screen1 => 800x600

# screen2 => 1024x768

# screen3 => 1280x1024

SYS_USER_SCREEN = auto

# sys_user_lang, user default language

SYS_USER_LANG = zh_CN

# sys_app_type, the app type: WebMail or ExtMan? It must be the same

# as prefix part of language package name, eg: WebMail::en_US

SYS_APP_TYPE = WebMail

# sys_user_template, user default template

SYS_USER_TEMPLATE = default

# sys_user_charset, user default charset

#SYS_USER_CHARSET = utf-8

SYS_USER_CHARSET = gb2312

# sys_user_trylocal, user default outgoing encoding mechanism

SYS_USER_TRYLOCAL = 1

# sys_user_timezone, user default timezone

SYS_USER_TIMEZONE = +0800

# sys_user_* default parameters

SYS_USER_CCSENT = 1

SYS_USER_SHOW_HTML = 1

SYS_USER_COMPOSE_HTML = 1

SYS_USER_CONV_LINK =1

SYS_USER_ADDR2ABOOK = 1

# sys_message_size_limit, default message size limit per user

# count as byte(s), eg: 5242880 means 5MB

SYS_MESSAGE_SIZE_LIMIT = 5242880

# sys_min_pass_len, minimal password length, default 2

SYS_MIN_PASS_LEN = 3

# sys_mfilter_on, default is off

SYS_MFILTER_ON = 1

# sys_netdisk_on, default is off

SYS_NETDISK_ON = 1

# sys_show_signup, default is on, this feature need extman

# 0.2.2 or higher version, built with signup serivce

SYS_SHOW_SIGNUP = 1

# sys_debug_on, default is off

SYS_DEBUG_ON = 1

# sys auth type, mysql/ldap/authlib

SYS_AUTH_TYPE = mysql

# maildir_base, the base dir of user maildir, use absolute path

# if not set.

SYS_MAILDIR_BASE = /var/mailbox

# sys_auth_schema, vpopmail1/vpopmail2/virtual

# vpopmail1 => all user accounts in one table

# vpopmail2 => accounts in per domain table

SYS_AUTH_SCHEMA = virtual

# crypt_type, the default encrypt type of password, possible type

# currently is crypt|cleartext|plain|md5|md5crypt|plain-md5|ldap-md5|sha|sha1

SYS_CRYPT_TYPE = md5crypt

# if mysql, all relate parameters should prefix as SYS_MYSQL

SYS_MYSQL_USER = extmail

SYS_MYSQL_PASS = 123456

SYS_MYSQL_DB = extmail

SYS_MYSQL_HOST = localhost

SYS_MYSQL_SOCKET = /var/lib/mysql/mysql.sock

# table name

SYS_MYSQL_TABLE = mailbox

SYS_MYSQL_ATTR_USERNAME = username

SYS_MYSQL_ATTR_DOMAIN = domain

SYS_MYSQL_ATTR_PASSWD = password

# sys_mysql_attr_clearpw - attribute to save clear password, useful for

# postmaster withdraw the original passwd if the end user forgot, but

# we highly recommend that you don't enable it for security reason

SYS_MYSQL_ATTR_CLEARPW = clearpwd

SYS_MYSQL_ATTR_QUOTA = quota

SYS_MYSQL_ATTR_NDQUOTA = netdiskquota

SYS_MYSQL_ATTR_HOME = homedir

SYS_MYSQL_ATTR_MAILDIR = maildir

# service enable/disable attributes

# comment them out if you don't want their function

SYS_MYSQL_ATTR_DISABLEWEBMAIL = disablewebmail

SYS_MYSQL_ATTR_DISABLENETDISK = disablenetdisk

SYS_MYSQL_ATTR_DISABLEPWDCHANGE = disablepwdchange

SYS_MYSQL_ATTR_ACTIVE = active

# password retrieve attributes

# comment them out if you don't want such function

SYS_MYSQL_ATTR_PWD_QUESTION = question

SYS_MYSQL_ATTR_PWD_ANSWER = answer

# if ldap, all relate parameters should prefix as SYS_LDAP

SYS_LDAP_BASE = o=extmailAccount,dc=example.com

SYS_LDAP_RDN = cn=Manager,dc=example.com

SYS_LDAP_PASS = secret

SYS_LDAP_HOST = localhost

# ldif attributes

SYS_LDAP_ATTR_USERNAME = mail

SYS_LDAP_ATTR_DOMAIN = virtualDomain

SYS_LDAP_ATTR_PASSWD = userPassword

# sys_ldap_attr_clearpw - attribute to save clear password, useful for

# postmaster withdraw the original passwd if the end user forgot, but

# we highly recommend that you don't enable it for security reason

SYS_LDAP_ATTR_CLEARPW = clearPassword

SYS_LDAP_ATTR_QUOTA = mailQuota

SYS_LDAP_ATTR_NDQUOTA = netdiskQuota

SYS_LDAP_ATTR_HOME = homeDirectory

SYS_LDAP_ATTR_MAILDIR = mailMessageStore

# service enable/disable attributes

# comment them out if you don't want their function

SYS_LDAP_ATTR_DISABLEWEBMAIL = disablewebmail

SYS_LDAP_ATTR_DISABLENETDISK = disablenetdisk

SYS_LDAP_ATTR_DISABLEPWDCHANGE = disablePasswdChange

SYS_LDAP_ATTR_ACTIVE = active

# password retrieve attributes

# comment them out if you don't want such function

SYS_LDAP_ATTR_PWD_QUESTION = question

SYS_LDAP_ATTR_PWD_ANSWER = answer

# if authlib, all relate parameters should prefix as AUTHLIB

SYS_AUTHLIB_SOCKET = /usr/local/courier-authlib/var/spool/authdaemon/socket

# Global Abook support

# sys_g_abook_type, global abook type, valid is ldap|file

SYS_G_ABOOK_TYPE = file

# if ldap, all relate parameters should prefix as SYS_G_ABOOK_LDAP

SYS_G_ABOOK_LDAP_HOST = localhost

SYS_G_ABOOK_LDAP_BASE = ou=AddressBook,dc=example.com

SYS_G_ABOOK_LDAP_ROOTDN = cn=Manager,dc=example.com

SYS_G_ABOOK_LDAP_ROOTPW = secret

SYS_G_ABOOK_LDAP_FILTER = objectClass=OfficePerson

# if file, all relate parameters should prefix as SYS_G_ABOOK_FILE

SYS_G_ABOOK_FILE_PATH = /var/www/extsuite/extmail/globabook.cf

SYS_G_ABOOK_FILE_LOCK = 1

SYS_G_ABOOK_FILE_CONVERT = 0

SYS_G_ABOOK_FILE_CHARSET = gb2312

3、建立临时文件目录与session目录

[root@localhost extmail]# mkdir -p /tmp/extmail/upload

[root@localhost extmail]# chown -R postfix.postfix /tmp/extmail/

六、安装extman

1、解压extman

[root@localhost ~]# tar xf extman-1.1.tar.gz -C /var/www/extsuite/

[root@localhost ~]# cd /var/www/extsuite/

[root@localhost extsuite]# mv extman-1.1/ extman

2、更改extman配置文件

[root@localhost extsuite]# cd extman/

[root@localhost extman]# cp webman.cf.default webman.cf

[root@localhost extman]# vim webmail.cf

# sys_config, the config file and webman programe root

SYS_CONFIG = /var/www/extsuite/extman/

# sys_langdir, the i18n dir

SYS_LANGDIR = /var/www/extsuite/extman/lang

# sys_templdir, the template dir

SYS_TEMPLDIR = /var/www/extsuite/extman/html

# maildir_base, the base dir of user maildir, use absolute path

# if not set.

SYS_MAILDIR_BASE = /var/mailbox

# sys_warn, show system warning or not, default to yes

SYS_SHOW_WARN = 0

# sys_sess_dir, the session dir

SYS_SESS_DIR = /tmp/extman/

# sys_captcha_on 1|0 - to enable captcha feature or not

SYS_CAPTCHA_ON = 0

# sys_captcha_key

SYS_CAPTCHA_KEY = r3s9b6a7

# sys_captcha_len

SYS_CAPTCHA_LEN = 6

# sys_purge_data - to completely destroy user's mailbox or not?

SYS_PURGE_DATA = 0

# sys_sess_timeout, session timeout in seccond, default 6 hours

# SYS_SESS_TIMEOUT = 21600

# sys_user_psize, user default page_size

SYS_PSIZE = 20

# sys_user_lang, user default language

 SYS_LANG = zh_CN

# sys_app_type, the app type: WebMail or ExtMan? It must be the same

# as prefix part of language package name, eg: WebMail::en_US

SYS_APP_TYPE = ExtMan

# sys_template_name, the template name

SYS_TEMPLATE_NAME = default

# web management related restritions

# sys_default_expire, valid value: ?y ?m ?d

SYS_DEFAULT_EXPIRE = 1y

# sys_groupmail_sender - sender for groupmail, this account must

# exist or postfix or other mta will complain error

SYS_GROUPMAIL_SENDER = postmaster@extmail.org

# sys_default_services, valid value: smtpd, smtp, webmail, netdisk,

# imap and pop3, concatenate with "," as multiple values, eg: webmail,smtpauth

SYS_DEFAULT_SERVICES = webmail,smtpd,smtp,pop3,netdisk

# sys_isp_mode, yes|no - if yes, use our HashDir to spread

# storage to multiple directories

SYS_ISP_MODE = no

# sys_domain_hashdir = yes|no, if yes we will enable domain hashdir

# depend on sys_isp_mode = yes

SYS_DOMAIN_HASHDIR = yes

# sys_domain_hashdir_depth, the hash length and depth, format:

# length x depth, eg: 2x1 => length =2, depth =1

# depend on sys_isp_mode = yes

SYS_DOMAIN_HASHDIR_DEPTH = 2x2

# sys_user_hashdir = yes|no, if yes we will enable user hashdir

# depend on sys_isp_mode = yes

SYS_USER_HASHDIR = yes

# sys_user_hashdir_depth, similar to sys_hashdir_domain_depth

SYS_USER_HASHDIR_DEPTH = 2x2

# XXX FIXME

# experimental feature, per domain tranport/routing capability

# same config style as SYS_USER_ROUTING_LIST

# SYS_DOMAIN_ROUTING_LIST = lmtp:mx1.extmail.org,lmtp:mx2.extmail.org

# XXX FIXME

# experimental feature, per user routing capability

# please specify routing info, concatenate with "," as multiple list

# members, eg: smtp:mx1.abc.com,smtp:mx2.abc.com

# SYS_USER_ROUTING_LIST = smtp:[192.168.2.130],smtp:[192.168.2.128]

# sys_min_uid, the minimal uid

SYS_MIN_UID = 500

# sys_min_gid, the minimal gid

SYS_MIN_GID = 100

# sys_default_uid, if not set, webman will ignore it

SYS_DEFAULT_UID = 2525

# sys_default_gid, if not set, webman will ignore it

SYS_DEFAULT_GID = 2525

# sys_quota_multiplier, in bytes, default to 1 MB

SYS_QUOTA_MULTIPLIER = 1048576

# sys_quota_type, valid type: vda|courier

SYS_QUOTA_TYPE = courier

# maxquota, alias, users and netdisk quota for domain

SYS_DEFAULT_MAXQUOTA = 500

SYS_DEFAULT_MAXALIAS = 100

SYS_DEFAULT_MAXUSERS = 100

SYS_DEFAULT_MAXNDQUOTA = 500

# per user default quota, netdisk quota and expire

SYS_USER_DEFAULT_QUOTA = 5

SYS_USER_DEFAULT_NDQUOTA = 5

SYS_USER_DEFAULT_EXPIRE = 1y

# sys_backend_type mysql|ldap

SYS_BACKEND_TYPE = mysql

# sys_crypt_type: crypt|cleartext|plain|md5|md5crypt|plain-md5|ldap-md5|sha|sha1

SYS_CRYPT_TYPE = md5crypt

# if mysql, all relate paramters should prefix as SYS_MYSQL

SYS_MYSQL_USER = extmail

SYS_MYSQL_PASS = 123456

SYS_MYSQL_DB = extmail

SYS_MYSQL_HOST = localhost

SYS_MYSQL_SOCKET = /var/lib/mysql/mysql.sock

# table name

SYS_MYSQL_TABLE = manager

SYS_MYSQL_ATTR_USERNAME = username

SYS_MYSQL_ATTR_PASSWD = password

# comment it if you only want to save crypted password

# we highly recommend that you disable the following line :)

# SYS_MYSQL_ATTR_CLEARPW = clearpwd

# if ldap, all relate paramters should prefix as SYS_LDAP

SYS_LDAP_BASE = dc=extmail.org

SYS_LDAP_RDN = cn=Manager,dc=extmail.org

SYS_LDAP_PASS = secret

SYS_LDAP_HOST = localhost

# ldif attributes

SYS_LDAP_ATTR_USERNAME = mail

SYS_LDAP_ATTR_PASSWD = userPassword

# comment it if you only want to save crypted password

# we highly recommend that you disable the following line :)

# SYS_LDAP_ATTR_CLEARPW = clearPassword

# sys_rrd_datadir, the full path of rrd data

SYS_RRD_DATADIR = /var/lib

# sys_rrd_tmpdir, the temp dir for graph

SYS_RRD_TMPDIR = /tmp/viewlog

# sys_rrd_queue_on, yes|no, show queue or not

SYS_RRD_QUEUE_ON = yes

# sys_cmdserver_sock

SYS_CMDSERVER_SOCK = /tmp/cmdserver.sock

# sys_cmdserver_maxconn

SYS_CMDSERVER_MAXCONN = 5

# sys_cmdserver_pid

SYS_CMDSERVER_PID = /var/run/cmdserver.pid

# sys_cmdserver_log

SYS_CMDSERVER_LOG = /var/log/cmdserver.log

# sys_cmdserver_authcode

SYS_CMDSERVER_AUTHCODE = your_auth_code_here

# sys_disable_server_list

SYS_IGNORE_SERVER_LIST = web

3、更改cgi目录属主属组

[root@localhost extman]# chown -R postfix.postfix /var/www/extsuite/extman/cgi/

[root@localhost extman]# chown -R postfix.postfix /var/www/extsuite/extmail/cgi/

4、导入数据库

由于数据库不能识别TYPE= MyISAM ，所以这里直接导入会出错，先编辑extmail.sql数据库文件，将TYPE=MyISAM更改为ENGINE=MyISAM

[root@localhost extman]# vim docs/extmail.sql

:% s/TYPE/ENGINE/g

共有五处修改

导入还是会报错

[root@localhost extman]# mysql -uroot -p < docs/extmail.sql

ERROR 1364 (HY000) at line 31: Field 'ssl_cipher' doesn't have a default value

此处需要修改my.cnf配置文件

[root@localhost extman]# vim /etc/my.cnf

# Recommended in standard MySQL setup

#sql_mode=NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLES   //将这行注视掉，重启mysql，这里需要注意的是，等数据库导入成功后，这项是不可以去掉注释的，不然mysql就启动不起来了。再次导入数据库

[root@localhost extman]# mysql -uroot -p < docs/extmail.sql

[root@localhost extman]# mysql -uroot -p < docs/init.sql

5、创建数据库用户extmail并授予权限

mysql -uroot -p

mysql> GRANT ALL ON extmail.* to extmail@'%' identified by 'extmail';      //这里直接在授权任何权限在任意地址上了

Query OK, 0 rows affected (0.00 sec)

mysql> FLUSH PRIVILEGES;

Query OK, 0 rows affected (0.00 sec)

6、复制四-4提到的配置文件

[root@localhost ~]# cd /var/www/extsuite/extman/docs/

[root@localhost docs]# cp mysql_virtual_* /etc/postfix/

修改extmail数据库密码

6、为extman创建临时目录

[root@localhost extman]# mkdir /tmp/extman

[root@localhost extman]# chown -R postfix.postfix /tmp/extman/

yum install postfix

7、启动postfix、dovecot、saslauthd

systemctl restart postfix

systemctl restart dovecot

systemctl restart saslauthd

[root@localhost extman]# ss -tnluo | grep :25

tcp    LISTEN     0      100                    *:25                    *:*    

[root@localhost extman]# ps aux | grep dovecot

root      2220  0.1  0.3  15616  1508 ?        Ss   03:02   0:00 /usr/sbin/dovecot -F

dovecot   2223  0.0  0.1   9312  1004 ?        S    03:02   0:00 dovecot/anvil

root      2224  0.0  0.2   9440  1172 ?        S    03:02   0:00 dovecot/log

root      2226  0.0  0.4  12428  2184 ?        S    03:02   0:00 dovecot/config

root      2240  0.0  0.1 112640   972 pts/0    R+   03:02   0:00 grep --color=auto dovecot

[root@localhost extman]# ps aux | grep saslauthd

root      2230  0.0  0.1  71944   916 ?        Ss   03:02   0:00 /usr/sbin/saslauthd -m /run/saslauthd -a pam

root      2231  0.0  0.1  71944   676 ?        S    03:02   0:00 /usr/sbin/saslauthd -m /run/saslauthd -a pam

root      2232  0.0  0.1  71944   676 ?        S    03:02   0:00 /usr/sbin/saslauthd -m /run/saslauthd -a pam

root      2233  0.0  0.1  71944   676 ?        S    03:02   0:00 /usr/sbin/saslauthd -m /run/saslauthd -a pam

root      2234  0.0  0.1  71944   676 ?        S    03:02   0:00 /usr/sbin/saslauthd -m /run/saslauthd -a pam

root      2242  0.0  0.1 112640   668 pts/0    R+   03:03   0:00 grep --color=auto saslauthd

但使用用户登陆失败：

root@controller:~# mysql -h localhost -uextmail -p123456

ERROR 1045 (28000): Access denied for user 'extmail'@'localhost' (using password: YES)

解决方法：

增加普通用户后，执行：

mysql> use mysql

mysql> delete from user where user='';

mysql> flush privileges;

意思是删除匿名用户。

OK，搞定，enjoy！

七、测试

1、测试虚拟用户

/usr/local/courier-authlib/sbin/authtest -s login test@haose888.org 123

[root@localhost courier-authlib-0.66.2]# /usr/local/courier-authlib/sbin/authtest -s login postmaster@extmail.org extmail

Authentication succeeded.                //显示这个表示成功，测试时使用的是postmaster@extmail.org，因为我们导入的数据库init.sql里面自带了这个。

Authenticated: postmaster@extmail.org  (uid 2525, gid 2525)

Home Directory: /var/mailbox/extmail.org/postmaster  //这里需要注意/var/mailbox这个目录现在我们还没有创建，后面web访问的时候如果没有会报错,所以提前创建。

                    Maildir: /var/mailbox/extmail.org/postmaster/Maildir/

                    Quota: (none)

            Encrypted Password: $1$phz1mRrj$3ok6BjeaoJYWDBsEPZb5C0

                Cleartext Password: extmail

                    Options: (none)

[root@localhost courier-authlib-0.66.2]# mkdir /var/mailbox

[root@localhost courier-authlib-0.66.2]# chown -R postfix.postfix /var/mailbox/

2、测试smtp发信

printf   "test@haose888.org" | openssl base64

dGVzdEBoYW9zZTg4OC5vcmc=

printf   "123" | openssl base64

MTIz

[root@localhost ~]# printf   "postmaster@extmail.org" | openssl base64

cG9zdG1hc3RlckBleHRtYWlsLm9yZw==

[root@localhost ~]#  printf   "extmail" | openssl base64

ZXh0bWFpbA==

[root@localhost ~]# telnet 127.0.0.1 25

Trying ::1...

telnet: connect to address ::1: Connection refused

Trying 127.0.0.1...

Connected to localhost.

Escape character is '^]'.

220 mail.daen.com ESMTP Postfix

HELO haose888.xyz

auth login

334 VXNlcm5hbWU6

cG9zdG1hc3RlckBleHRtYWlsLm9yZw==

334 UGFzc3dvcmQ6

ZXh0bWFpbA==

235 2.7.0 Authentication successful     //成功

quit

221 2.0.0 Bye

Connection closed by foreign host.

八、启动nginx实现web访问

1、nginx本身并不能解析cgi，extmail自带了解析cgi的程序，但是有些地方需要修改下

[root@localhost ~]# vim /var/www/extsuite/extmail/dispatch-init

SU_UID=postfix

SU_GID=postfix

启动dispatch-init

[root@localhost ~]# /var/www/extsuite/extmail/dispatch-init start

Starting extmail FCGI server...

启动cmdserver，不启动会出现Connection refused

[root@localhost ~]# /var/www/extsuite/extman/daemon/cmdserver -v -d

loaded ok

vi /etc/rc.d/rc.local

添加开机启动

/var/www/extsuite/extmail/dispatch-init start

/var/www/extsuite/extman/daemon/cmdserver -v -d

2、添加nginx虚拟主机

[root@localhost ~]# vim /etc/nginx/conf.d/extmail.conf

server {

   listen      8080;

   server_name  mail.test.com;

   index index.html index.htm index.php index.cgi;

   root  /var/www/extsuite/;

   location /extmail/cgi/ {

           fastcgi_pass        127.0.0.1:8888;

           fastcgi_index        index.cgi;

           fastcgi_param  SCRIPT_FILENAME   /var/www/extsuite/extmail/cgi/$fastcgi_script_name;

           include            fcgi.conf;

       }

       location  /extmail/  {

           alias  /var/www/extsuite/extmail/html/;

       }

       location  /  {

           alias  /var/www/extsuite/extmail/html/;

       }

       location /extman/cgi/ {

           fastcgi_pass        127.0.0.1:8888;

           fastcgi_index        index.cgi;

           fastcgi_param  SCRIPT_FILENAME   /var/www/extsuite/extman/cgi/$fastcgi_script_name;

           include          fcgi.conf;

       }

       location /extman/ {

           alias  /var/www/extsuite/extman/html/;

       }

     access_log  /var/log/extmail_access.log;

}

生成fcgi.conf

[root@localhost ~]# vim /etc/nginx/fcgi.conf

fastcgi_param  GATEWAY_INTERFACE  CGI/1.1;

fastcgi_param  SERVER_SOFTWARE    nginx;

fastcgi_param  QUERY_STRING       $query_string;

fastcgi_param  REQUEST_METHOD     $request_method;

fastcgi_param  CONTENT_TYPE       $content_type;

fastcgi_param  CONTENT_LENGTH     $content_length;

fastcgi_param  SCRIPT_NAME        $fastcgi_script_name;

fastcgi_param  REQUEST_URI        $request_uri;

fastcgi_param  DOCUMENT_ROOT      $document_root;

fastcgi_param  SERVER_PROTOCOL    $server_protocol;

fastcgi_param  REMOTE_ADDR        $remote_addr;

fastcgi_param  REMOTE_PORT        $remote_port;

fastcgi_param  SERVER_ADDR        $server_addr;

fastcgi_param  SERVER_PORT        $server_port;

fastcgi_param  SERVER_NAME        $server_name;

重启nginx，访问

http://127.0.0.1:8080/extman

出错，需要安装Unix::Syslog

安装Unix::Syslog

[root@localhost ~]# wget http://www.cpan.org/authors/id/M/MH/MHARNISCH/Unix-Syslog-1.1.tar.gz

[root@localhost ~]# tar xf Unix-Syslog-1.1.tar.gz

[root@localhost ~]# cd Unix-Syslog-1.1

[root@localhost Unix-Syslog-1.1]# perl Makefile.PL

[root@localhost Unix-Syslog-1.1]# make && make install

yum install perl-Unix-Syslog -y

再次访问就可以了，extman的登录账户为root@extmail.org密码为extmail*123*，首次使用需要先添加域，添加之后再修改域，改为可自由注册，再注册用户就可以登录发邮件了

图形日志

Can't locate RRDs.pm in @INC (@INC 错误

yum install  perl-rrdtool -y

Attempt to reload Ext/MgrApp/ViewLog.pm aborted

2、到cpan的官方站点下载CPAN模块

[root@fc9 ~]#wget http://www.cpan.org/authors/id/A/AN/ANDK/CPAN-2.14.tar.gz

3、解压，编绎，安装

[root@fc9 ~]# tar -zxvf CPAN-2.14.tar.gz

[root@fc9 ~]# cd CPAN-2.14

[root@fc9 CPAN-2.14]# perl Makefile.PL

[root@fc9 CPAN-2.14]# make

[root@fc9 CPAN-2.14]# make install

4、成功进入CPAN的shell模式

[root@fc9 CPAN-2.14]# perl -MCPAN -e shell

Undefined subroutine &Ext::Utils::sort2name called at /var/www/extsuite/extmail/libs/Ext/App/Folders.pm line 387

问题一旦确定是搜索路径下Utils.pm缺少sort2name的定义，那么解决就很容易了，无非有几个：

1）将extmail的Utils拷贝到extman目录下，保持两边同步

2）将Webmail和后台公共用到的模块抽出来放到一个公共目录，避免名字空间重叠的现象

3）模块改名，例如extman/libs/Ext/Utils.pm可以改为extman/libs/Ext/ManUtils.pm，避免名字空间重叠

centos7 nginx Failed to read PID from file /run/nginx.pid: Invalid argument 解决方法

在centos7上，配置nginx代理服务后，

systemctl status nginx.service

提示错误

Failed to read PID from file /run/nginx.pid: Invalid argument

看到好多说删掉改nginx.pid 文件的，试之，无效。

后来找到了一个方法：

mkdir -p /etc/systemd/system/nginx.service.d

printf "[Service]\nExecStartPost=/bin/sleep 0.1\n" > /etc/systemd/system/nginx.service.d/override.conf

然后

systemctl daemon-reload

systemctl restart nginx.service

解决了问题

SASL LOGIN authentication failed: authentication failure

现象：

本地extmail能正常登陆并发送邮件出去。通过telnet登陆出现错误：

1.SASL LOGIN authentication failed: authentication failure

通过foxmail,php的smtp类登陆同样报此错。

分析：

查看验证配置文件：

cat  /usr/lib/sasl2/smtpd.conf 

pwcheck_method: authdaemond

log_level: 3

mech_list: PLAIN LOGIN

authdaemond_path:/usr/local/courier-authlib/var/spool/authdaemon/socket

且 /usr/local/courier-authlib/var/spool/authdaemon/socket文件存在，权限为

srwxrwxrwx 1 daemon daemon 0 Apr 30 15:44 /var/spool/authdaemon/socket也正常啊，难道本地的exmail不走验证机制？

1./usr/local/sbin/authtest -s login pass

这里的验证通过了。怪怪。。

仔细想了下这次邮局的配置，与以前大不同的是使用了不少RPM，减少编译过程。所以把怀疑对象定在了cyrus-sasl。

1.rpm -qa|grep cyrus-sasl

发现没有cyrus-sasl，于是

1.yum install cyrus-sasl

重新启动postfix,再次测试登陆。依然失败。

saslauthd -v

authentication mechanisms: getpwent kerberos5 pam rimap shadow ldap支持的验证机制方法里怎么没有authdaemond。。看来RPM的默认是没有。。

解决：

下载二进制cyrus-sasl包编译。ftp://ftp.andrew.cmu.edu/pub/cyrus-mail/cyrus-sasl-2.1.22.tar.gz

yum remove cyrus-sasl

yum remove cyrus-sasl-plain

yum remove cyrus-sasl-devel

yum remove cyrus-sasl-md5

tar zvfx cyrus-sasl-2.1.22.tar.gz 

cd cyrus-sasl-2.1.22

tar zvfx cyrus-sasl-2.1.23.tar.gz 

cd cyrus-sasl-2.1.23

tar zvfx cyrus-sasl-2.1.26.tar.gz

cd cyrus-sasl-2.1.26

export LDFLAGS="-lpthread"

./configure --with-mysql --enable-anon --enable-plain --enable-login --disable-krb4 --disable-otp --disable-cram --disable-digest --disable-gssapi --with-pam --with-authdaemond=/usr/local/courier-authlib/var/spool/authdaemon

make&&make install

rm -rf /usr/lib/sasl

rm -rf /usr/lib/sasl2

ln -s /usr/local/lib/sasl2 /usr/lib/

#为了让postfix能找到sasl,请运行如下命令:

echo "/usr/local/lib" >> /etc/ld.so.conf 

ldconfig

cat /usr/lib/sasl2/smtpd.conf

cat > /usr/lib/sasl2/smtpd.conf <<EOT

pwcheck_method: authdaemond

log_level: 3

mech_list: PLAIN LOGIN

authdaemond_path:/usr/local/courier-authlib/var/spool/authdaemon/socket

EOT

service courier-authlib restart

systemctl restart saslauthd

再次登陆发信，成功！