• apache https配置步骤


    http://www.cnblogs.com/best-jobs/p/3298258.html

    apache https配置

     

    apache https配置步骤

    1、  确认是否安装ssl模块

    是否有mod_ssl.so文件

    2、  生成证书和密钥

    linux下

    步骤1:生成密钥

    命令:openssl genrsa 1024 > server.key

    说明:这是用128位rsa算法生成密钥,得到server.key文件

    步骤2: 生成证书请求文件

    命令:openssl req -new -key server.key > server.csr

    说明:这是用步骤1的密钥生成证书请求文件server.csr, 这一步提很多问题,一一输入

    步骤3: 生成证书

    命令:openssl req -x509 -days 365 -key server.key -in server.csr > server.crt

    说明:这是用步骤1,2的的密钥和证书请求生成证书server.crt,-days参数指明证书有效期,单位为天

    window下

    步骤1:生成密钥
    命令:openssl genrsa 1024 > server.key
    说明:这是用128位rsa算法生成密钥,得到server.key文件

    步骤2: 生成证书请求文件
    命令:openssl req -config D:work_softApache2.2confopenssl.cnf -new -key server.key > server.csr
    说明:这是用步骤1的密钥生成证书请求文件server.csr, 这一步提很多问题,一一输入

    步骤3: 生成证书
    命令:openssl req -config D:work_softApache2.2confopenssl.cnf -x509 -days 365 -key server.key -in server.csr > server.crt
    说明:这是用步骤1,2的的密钥和证书请求生成证书server.crt,-days参数指明证书有效期,单位为天

    把得到的server.key和server.crt文件拷贝到apache的对应目录

    3、  配置apache

    l  修改httpd-ssl.conf文件

    注意在此文件中配置证书和密钥

    SSLCertificateFile /apache/conf/server.crt

    SSLCertificateKeyFile /apache/conf/server.key 

    虚拟机设置

    NameVirtualHost *:443

    <VirtualHost *:443>

    …………

    </VirtualHost>

    l  修改httpd.conf文件

    步骤1:打开ssl模块

    LoadModule ssl_module /opt/taobao/install/httpd/modules/mod_ssl.so

    步骤2:引入ssl配置文件

    Include “/apache/conf/httpd-ssl.conf”

    步骤3:如果你配置的虚拟机,注意一下端口的访问接受情况

    NameVirtualHost *:80

    <VirtualHost *:80>

    …………

    </VirtualHost>

    4、  重新启动apache

    用https方式访问,查看是否生效

     
     
     
    好文要顶 关注我 收藏该文  
    0
    0
     
    (请您对文章做出评价)
     
    « 上一篇:php正则
    » 下一篇:ssl配置
    posted @ 2013-09-03 10:48 best_jobs 阅读(24590) 评论(5) 编辑 收藏

     
     
    @ _Ice_
    访问的时候提示证书错误是正常的,就像12306一样,如果不想要这种效果,那你生成的证书需要拿去认证(购买)
      //-----------------------------------------------------------------------------------------------------------------------

    通过 Linux+Apache+OpenSSL 实现 SSL ( Secure Socket Layer )证书服务器

    http://hnlixf.iteye.com/blog/1771050

    安装 SSL

    1.       安装 openssl

    tar -zxvf openssl-0.9.8a.tar.gz

    cd openssl-0.9.8a

    ./configure

    make

    make install

    openssl 安装在 /usr/local/ssl 目录中

    2.       安装 apache

    tar -zxvf httpd-2.0.55.tar.gz

    cd httpd-2.0.55

    ./configure –prefix=/usr/local/apache –enable-ssl   –enable-rewrite –enable-so –with-ssl=/usr/local/ssl

    make

    make install

    apache 安装在 /usr/local/apache 目录中

    以上是通过源码方式安装,最佳的安装方式通过 rpm 安装。先安装 apache 的 rpm ,再安装 openssl 的 rpm , openssl 可自动安装到 apache 目录中。

    证书介绍

    SSL 安全证书可以自己生成,也可以通过第三方的 CA ( Certification Authority )认证中心付费申请颁发。

    SSL 安全证书包括:

    1.       CA 证书,也叫根证书或中间级证书。单向认证的 https , CA 证书是可选的。主要目的是使证书构成一个证书链,以达到浏览器信任证书的目的。如果使用了 CA 证书,服务器证书和客户证书都使用 CA 证书来签名。如果不安装 CA 证书,浏览器默认认为是不安全的。

    2.       服务器证书。必选。通过服务器私钥,生成证书请求文件 CSR ,再通过 CA 证书签名生成服务器证书。

    3.       客户证书。可选。如果有客户证书,就是双向认证的 HTTPS ,否则就是单向认证的 HTTPS 。生成步骤和服务器证书类似。

    上面几种证书都可以自己生成。商业上,一般自己提供服务器或客户证书端的私钥和证书请求 CSR ,向第三方机构付费申请得到通过 CA 证书签名的服务器证书和客户证书。

    生成证书

    用 openssl 提供的工具 CA.sh 签名证书,证书放在 /usr/local/apache2/conf/ssl.crt 目录,先把工具拷贝过来:

    cp /usr/share/ssl/misc/CA.sh /usr/local/apache2/conf/ssl.crt

    1.       CA 证书(根证书 / 中间级证书)

    是 CA 认证机构提供,如果是双向认证则必选,否则是可选。通过 CA 证书,构成一个证书链,目的是使浏览器信任你的证书 。如果使用了 CA 证书,用它来签名服务器和客户证书,以达到浏览器信任的目的。

    自己生成 CA 证书步骤:

    ./CA.sh –newca

    回车创建新文件,输入加密密码,并填写证书信息:

    Country Name (2 letter code) [AU]:CN

    State or Province Name (full name) [Some-State]:Guangdong

    Locality Name (eg, city) []:Shenzhen

    Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxx

    Organizational Unit Name (eg, section) []:xxx

    Common Name (eg, YOUR name) []:www.shenmiguo.com

    Email Address []:xxx@xxx.com

    Common Name 填入主机全称是比较好的选择。这个名称必须与通过浏览器访问您网站的 URL 完全相同,否则用户会发现您服务器证书的通用名与站点的名字不匹配,用户就会怀疑您的证书的真实性。服务器证书和客户证书的 Common Name 应该和 CA 一致。

    生成结果: demoCA/private/cakey.pem 是 CA 证书的私钥文件, demoCA/cacert.pem 是 CA 证书。

    这样就建好了一个 CA 服务器,有了一个根证书的私钥 cakey.pem 及一张根证书 cacert.pem, 现在就可以用 cacert.pem 来给服务器证书或客户证书签名了。

    我们规范一下 CA 证书的命名,把 CA 证书和密钥重命名一下:

    cp demoCA/private/cakey.pem ca.key

    cp demoCA/cacert.pem ca.crt

    ca.key 是中间级证书私钥, ca.crt 是中间级证书。

    2.       服务器证书

    a)  生成服务器私钥

    openssl genrsa -des3 -out server.key 1024

    输入加密密码,用 128 位 rsa 算法生成密钥,得到 server.key 文件。

    b)  生成服务器证书请求( CSR )

    openssl req -new -key server.key -out server.csr

    CSR ( Certificate Signing Request )是一个证书签名请求,在申请证书之前,首先要在 WEB 服务器上生成 CSR ,并将其提交给 CA 认证中心, CA 才能给您签发 SSL 服务器证书。可以这样认为, CSR 就是一个在您服务器上生成的证书。 CSR 主要包括以下内容:

    Country Name (2 letter code) [AU]:CN

    State or Province Name (full name) [Some-State]:Guangdong

    Locality Name (eg, city) []:Shenzhen

    Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxx

    Organizational Unit Name (eg, section) []:xxx

    Common Name (eg, YOUR name) []:shenmiguo.com

    Email Address []:xxx@xxx.com

    Please enter the following ‘extra’ attributes

    to be sent with your certificate request

    A challenge password []:

    An optional company name []:

    Common Name 填入主机名和 CA 一致。

    c)  自己生成服务器证书

    如果不使用 CA 证书签名的话,用如下方式生成:

    openssl req -x509 -days 1024 -key server.key -in server.csr > server.crt

    用服务器密钥和证书请求生成证书 server.crt , -days 参数指明证书有效期,单位为天。商业上来说,服务器证书是由通过第三方机构颁发的,该证书由第三方认证机构颁发的。

    如果使用 CA 证书签名,用 openssl 提供的工具 CA.sh 生成服务器证书:

    mv server.csr newreq.pem

    ./CA.sh -sign

    mv newcert.pem server.crt

    签名证书后,可通过如下命令可查看服务器证书的内容:

    openssl x509 -noout -text -in server.crt

    可通过如下命令验证服务器证书:

    openssl verify -CAfile ca.crt server.crt 

    3.       客户证书

    客户证书是可选的。如果有客户证书,就是双向认证 HTTPS ,否则就是单向认证 HTTPS 。

    a)  生成客户私钥

    openssl genrsa -des3 -out client.key 1024

    b)  生成客户证书签名请求

    openssl req -new -key client.key -out client.csr

    c)  生成客户证书(使用 CA 证书签名)

    openssl ca -in client.csr -out client.crt

    d)  证书转换成浏览器认识的格式

    openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

    4.       证书列表

    如果使用双向认证,就会有三个私钥和三个证书。分别是 ca.key, ca.crt, server.key, server.crt, client.key, client.crt ,以及给浏览器的 client.pfx 。

    如果使用有 CA 证书的单向认证,证书和私钥就是 ca.key, ca.crt, server.key, server.crt 。

    如果使用无 CA 证书的单向认证,证书和私钥就是 server.key, server.crt 。

    配置证书

    Apache 规范的做法是将扩展的配置都配置在相应的 conf 文件中, httpd.conf 直接 Include 包含各功能配置的 conf 文件(如 php 相关配置叫 php.conf , ssl 相关配置叫 ssl.conf )。这样的好处是配置易于管理和变更, httpd.conf 可以依然保持简要易懂。

    1.       配置 httpd.conf

    <IfModule mod_ssl.c>

    Include conf/ssl.conf

    </IfModule>

    2.       配置 ssl.conf

    主要配置包括证书路径和认证策略:

    Listen 443   #https 端口

    SSLRandomSeed startup builtin

    SSLPassPhraseDialog builtin

    SSLSessionCache dbm:logs/ssl_scache

    SSLSessionCacheTimeout 300

    SSLMutex default

    <VirtualHost *:443>

    ServerAdmin

    DocumentRoot /usr/local/apache2/htdocs/

    #DirectoryIndex digitalidCenter.htm

    ServerName shenmiguo.com:443

    ErrorLog logs/443-error_log

    CustomLog /usr/local/apache2/logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b"

    LogLevel info

    <IfModule mod_ssl.c>

    SSLEngine on

    SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

    SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt # 指定服务器证书路径

    SSLCertificateKeyFile /usr/local/apache2/conf/ssl.crt/server.key # 服务器证书私钥路径

    SSLCertificateChainFile /usr/local/apache2/conf/ssl.crt/ca.crt #CA 中间级证书路径

    SSLCACertificatePath /usr/local/apache2/conf/ssl.crt # 客户证书目录 ( 双向认证才用 )

    SSLCACertificateFile /usr/local/apache2/conf/ssl.crt/client.crt # 客户证书路径 ( 双向认证才用 )

    SSLVerifyClient require # 强制客户必须持有 SSL 证书请求

    SSLVerifyDepth 10

    </IfModule>

    </VirtualHost>

    更多 mod_ssl 配置选项说明可以见 apache 的文档:

    http://lamp.linux.gov.cn/Apache/ApacheMenu/mod/mod_ssl.html

    3.       启动 Apache

    cd /usr/local/apache2/bin

    ./apachectl startssl

    可修改 apachectl 脚本,改成默认 ssl 方式启动 apache 。 apachectl 脚本中的:

    start|stop|restart |graceful)

        $HTTPD -k $ARGV

        ERROR=$?

        ;;

    startssl|sslstart|start-SSL)

        $HTTPD -k start -DSSL

        ERROR=$?

    ;;

    修改为:

    stop|graceful)

        $HTTPD -k $ARGV

        ERROR=$?

        ;;

    restart )

        killall -9 httpd

        $HTTPD -k start -DSSL

        ;;

    start |startssl|sslstart|start-SSL)

        $HTTPD -k start -DSSL

        ERROR=$?

        ;;

    启动的时候需要输入 server.key 的密码。可以通过服务器私钥解密存储,重启也无需输入密码:

    openssl rsa -in server.key -out my-server.key

    chmod 400 server.key

    ssl.conf 中的配置变更成:

    SSLCertificateKeyFile /usr/local/apache2/conf/ssl.crt/my-server.key # 服务器证书解密私钥路径

    FROM:http://blog.csdn.net/yuhaibao324/archive/2010/03/22/5405343.aspx

     
  • 相关阅读:
    base -2 Number——进制转换
    AtCoder Crackers——水题
    血色先锋队——bfs
    Atcoder---ID排序模拟结构体
    101. 对称二叉树
    100. 相同的树
    95. 不同的二叉搜索树 II
    96. 不同的二叉搜索树
    JavaWeb学习总结(五十)——文件上传和下载(转载)
    145. 二叉树的后序遍历
  • 原文地址:https://www.cnblogs.com/jukan/p/5632422.html
Copyright © 2020-2023  润新知