由于Apache版本非常多,每个版本都不尽相同,因此欲了解更多有关知识,请 直接访问http://www.apache.org。本文apache安装配置示例使用的是apache 2.0.59 版本,如果进行apache配置时不能成功完成,可能是版本原因,请参考apache 帮助文件中SSL相关章节进行配置。
本文要求系统中已经安装有openssl软件,且apache有mod_ssl模块。
openssl用于生成私钥和CSR,一般系统中已经默认安装在/user/bin下,如果 您的系统安装在其他目录,使用时请指定正确的目录路径。如果没有openssl, 请访问 http://www.openssl.org 下载安装。
Apache2默认安装没有mod—ssl模块,编译时请在./configure中加入--enable-ssl 选项。mod_ssl相关资料可以在http://www.modssl.org获得。可以使用./apachectl -l 命令来查看apache的模块。
产生CSR
在生成CSR文件时同时生成您的私钥,如果您丢了私钥或忘了私钥密码,则颁发 证书给您后不能安装成功!您必须重新生成私钥和CSR文件,利用证书补办流程 颁发新的证书。为了避免此情况的发生,请在生成CSR后一定要备份私钥文件和 记住私钥密码,最好是在收到证书之前不要再动服务器。
“openssl”用于生成私钥和CSR,一般系统中已经默认安装在/user/bin下,如 果您的系统安装在其他目录,请指定正确的目录路径。如果没有openssl,请访 问 http://www.openssl.org 下载安装。
以下所有命令假设您已经成功安装OpenSSL,将产生1024位的密钥,加密算法 采用3DES,您必须使用您要申请域名证书的域名来命名密钥文件。
请使用以下命令来生成私钥:
openssl
genrsa -des3 -out www.domain.cn.key 1024
如上图所示,此命令将生成1024位的RSA私钥,私钥文件名为: www.domain.cn.key,会提示您设定私钥密码,请设置密码,并牢记
请使用以下命令来生成CSR:
openssl req -new -key www. domain.cn.key -out www.domain.cn.csr
此命令将提示您输入X.509证书所要求的字段信息,包括国家(中国添CN)、省 份、所在城市、单位名称、单位部门名称(可以不填直接回车)。请注意:除国 家缩写必须填CN外,其余都可以是英文或中文。这些信息具体内容可以忽略, 生成证书时信息以RA系统中登记的为准。
Common Name项请输入您要申请域名证书的域名,如果您需要为www.domain.cn 申请域名证书就不能只输入domain.cn。域名证书是严格绑定域名的。
您现在已经成功生成了密钥对,私钥文件:www.domain.cn.key保存在您的服务 器中,请把CSR文件www.domain.cn.csr保存好,在下载证书时copy给CNNIC 即可,CSR文件格式如下图所示。
请备份您的私钥文件并记下私钥密码。最好是把私钥文件备份到软盘或光盘中。
生成CSR后,即可以登录CNNIC的证书下载页面,根据页面提示将CSR中的内容 复制粘贴出来发送给CNNIC,下载获取证书,域名证书文件名后缀可以为.cer 或.crt。请一定不要再动您的服务器,等待证书的颁发。
证书下载
生成完CSR后,既可以登录CNNIC可信网络服务中心网页(进入www.cnnic.cn
点击“可信网络”),点击“网址卫士”下载进入到证书下载页面。
请不要输入Email、口令(challenge password)和可选的公司名称,直接打回车 即可。
A.点击“网址卫士第一部分”,根据网页上的提示输入从密码信封中获取的“参 考号”和“授权码”,复制上一步所生成的CSR到网页的“CSR”文本框中,复 制时不要复制头尾的 “-----BEGIN NEW CERTIFICATE REQUEST----- ” 和 “_…―END NEW CERTIFICATE REQUEST-----”,只要中间的部分。结果如下所 示:
B.点击“下载”,如果参考号、授权码和CSR均无问题,显示页面如下所示。 请根据页面上的提示将文本框中的内容拷贝下来,粘贴到一个新建的文本文件 中,并保存,文件名可以是“www.domain.cn.txt”。
注意:文本框中的内容就是此次申请的证书,请一定将内容拷贝保存下来,如果 内容丢失,就必须进行证书补办。
证书下载-证书生成
Web服务器证书请将证书编码框中的内容拷贝,并粘贴到文本中,保存成Web服务器能够识别的格式
点击证书下载页面的“网址卫士第二部分”,将压缩包下载到本地,解压缩即可 以获取证书链上的中级根证书和根证书。至此证书下载完成。
安装证书
域名证书安装指南-Apache-SSL / Apache ModSSL
1.保存证书文件
证书颁发后,假设你所下载保存的域名证书文件名为www.domain.cn.cer
另外,从CNNIC还可以下载到证书链上的中级根证书和根证书,假设分别保存为 root.cer (根证书)和CNNIC.cer (中级根证书),此时需要首先将这两个证书 合并成一个证书链文件,例如cachain.cer:
A.分别使用文本编辑工具(如notepad)将root.cer和CNNIC.cer分别打开, 分别显示如下所示
B.使用文本编辑工具新建一个文件cachain.cer,将root.cer和CNNIC.cer中 的内容拷贝进去并保存,其中CNNIC.cer的内容在前,root.cer的内容在后, 显示如下所示:
2.安装证书
A. 把域名证书文件和证书链文件拷贝到Apache存放证书的目录中,例如: /etc/httpd/conf/ssl.crt/
B. 使用文本编辑器打开httpd.conf或ssl.conf文件,检查你的虚拟主机配置内 是否有下面3行,如没有请添加如下3行参数。请只修改其中一个文件,否则会 有冲突而使得Apache不能正常启动。
SSLCertificateFile /etc/httpd/conf/ssl.crt/www.domain.cn.cer
//本地域 名证书文件
SSLCertificateKeyFile /etc/httpd/conf/ssl.crt/www.domain.cn.key
//私 钥文件
SSLCertificateChainFile /etc/httpd/conf/ssl.crt/cachain.cer //证书链 文件
C.保存修改
D.使用如下命令停止Apache后再启动Apache,以便Apache daemon能注册修改的参数。
/usr/sbin/apachectl stop
/usr/sbin/apachectl
startssl 或:
/usr/sbin/httpd
-k stop /usr/sbin/httpd –DSSL
3.完成配置
请确认分配了 443端口和一个固定的IP地址给主机,此时可以在浏览器地址栏 输入:https://www.domain.cn (申请证书的域名)测试您的SSL证书是否安装成 功,如果成功,则浏览器下方会显示一个安全锁标志。请注意:如果您的网页中 有不安全的元素,则会提供“是否显示不安全的内容”,建议修改网页删除不安 全的内容。
摘自:下载(重命名pdf文件)
