王帮耀
开通时间:..
最后更新时间:..
在有些web服务中,相关信息需要加密传输,需要用到证书等这种情况时需要配置apache的ssl,具体如下:
1. 安装openssl
tar -zxvf openssl-0.9.8a.tar.gz
cd openssl-0.9.8a
./configure
make
make install
openssl 安装在/usr/local/ssl目录中
如果是系统默认就装了,那openssl 安装在/usr/share/ssl目录中
2 安装apache
tar -zxvf httpd-2.0.55.tar.gz
cd httpd-2.0.55
./configure –prefix=/usr/local/apache2 –enable-so –enable-ssl=static –with-ssl=/usr/local/ssl –enable-mods-shared=all
make
(注意:上面红色字体/usr/local/ssl如果对应系统默认安装的openssl则为/usr/share/ssl,以下相同)
make install
apache安装在/usr/local/apache2目录中
证书介绍
SSL安全证书可以自己生成,也可以通过第三方的CA(Certification Authority)认证中心付费申请颁发。
SSL安全证书包括:
1. CA证书,也叫根证书或中间级证书。单向认证的https,CA证书是可选的。主要目的是使证书构成一个证书链,以达到浏览器信任证书的目的。如果使用了CA证书,服务器证书和客户证书都使用CA证书来签名。如果不安装CA证书,浏览器默认认为是不安全的。
2. 服务器证书。必选。通过服务器私钥,生成证书请求文件CSR,再通过CA证书签名生成服务器证书。
3. 客户证书。可选。如果有客户证书,就是双向认证的HTTPS,否则就是单向认证的HTTPS。生成步骤和服务器证书类似。
上面几种证书都可以自己生成。商业上,一般自己提供服务器或客户证书端的私钥和证书请求CSR,向第三方机构付费申请得到通过CA证书签名的服务器证书和客户证书。
生成证书
用openssl提供的工具CA.sh签名证书,证书放在/usr/local/apache2/conf/ssl.crt目录,先把工具拷贝过来:
cp /usr/share/ssl/misc/CA.sh /usr/local/apache2/conf/ssl.crt
1 CA证书(根证书/中间级证书) 单向认证不需要,本次方案就没有
是CA认证机构提供,如果是双向认证则必选,否则是可选。通过CA证书,构成一个证书链,目的是使浏览器信任你的证书。如果使用了CA证书,用它来签名服务器和客户证书,以达到浏览器信任的目的。
自己生成CA证书步骤:
./CA.sh –newca
回车创建新文件,输入加密密码,并填写证书信息:
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Sichuan
Locality Name (eg, city) []:Chengdu
Organization Name (eg, company) [Internet Widgits Pty Ltd]:University of Electronic Science and Technology of China
Organizational Unit Name (eg, section) []:Library
Common Name (eg, YOUR name) []:researchpro.uestc.edu.cn
Email Address []:sysadmin@uestc.edu.cn
Common Name填入主机全称是比较好的选择。这个名称必须与通过浏览器访问您网站的URL完全相同,否则用户会发现您服务器证书的通用名与站点的名字不匹配,用户就会怀疑您的证书的真实性。服务器证书和客户证书的Common Name应该和CA一致。
生成结果:demoCA/private/cakey.pem是CA证书的私钥文件,demoCA/cacert.pem是CA证书。
这样就建好了一个CA服务器,有了一个根证书的私钥cakey.pem及一张根证书cacert.pem,现在就可以用cacert.pem来给服务器证书或客户证书签名了。
我们规范一下CA证书的命名,把CA证书和密钥重命名一下:
cp demoCA/private/cakey.pem ca.key
cp demoCA/cacert.pem ca.crt
ca.key是中间级证书私钥,ca.crt是中间级证书。
2. 服务器证书 单向认证用,本次采用
a) 生成服务器私钥
openssl genrsa -des3 -out /server.key 1024
输入加密密码,用128位rsa算法生成密钥,得到server.key文件。
b) 生成服务器证书请求(CSR)
openssl req -new -key /server.key -out /server.csr
CSR(Certificate Signing Request)是一个证书签名请求,在申请证书之前,首先要在WEB服务器上生成CSR,并将其提交给CA认证中心,CA才能给您签发SSL服务器证书。可以这样认为,CSR就是一个在您服务器上生成的证书。CSR主要包括以下内容:
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Sichuan
Locality Name (eg, city) []:Chengdu
Organization Name (eg, company) [Internet Widgits Pty Ltd]:University of Electronic Science and Technology of China
Organizational Unit Name (eg, section) []:Library
Common Name (eg, YOUR name) []:researchpro.uestc.edu.cn
Email Address []:sysadmin@uestc.edu.cn
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Common Name填入主机名和CA一致。
c) 创建和使用自签署的证书
如果不使用CA证书签名的话,用如下方式生成:
openssl req -x509 -days 7300 -key /server.key -in /server.csr -out /usr/local/apache2/conf/ssl.crt/server.crt
用服务器密钥和证书请求生成证书server.crt,-days参数指明证书有效期,单位为天。
如果使用CA证书签名,用openssl提供的工具CA.sh生成服务器证书:
cp server.csr newreq.pem
./CA.sh -sign
cp newcert.pem server.crt
签名证书后,可通过如下命令可查看服务器证书的内容:
openssl x509 -noout -text -in server.crt
可通过如下命令验证服务器证书:
openssl verify -CAfile ca.crt server.crt
3. 客户证书
客户证书是可选的。如果有客户证书,就是双向认证HTTPS,否则就是单向认证HTTPS。
a) 生成客户私钥
openssl genrsa -des3 -out client.key 1024
b) 生成客户证书签名请求
openssl req -new -key client.key -out client.csr
c) 生成客户证书(使用CA证书签名)
openssl ca -in client.csr -out client.crt
d) 证书转换成浏览器认识的格式
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx
4. 证书列表
如果使用双向认证,就会有三个私钥和三个证书。分别是ca.key, ca.crt, server.key, server.crt, client.key, client.crt,以及给浏览器的client.pfx。
如果使用有CA证书的单向认证,证书和私钥就是ca.key, ca.crt, server.key, server.crt。
如果使用无CA证书的单向认证,证书和私钥就是server.key, server.crt。
配置证书
Apache规范的做法是将扩展的配置都配置在相应的conf文件中,httpd.conf直接Include包含各功能配置的conf文件(如php相关配置叫php.conf,ssl相关配置叫ssl.conf)。这样的好处是配置易于管理和变更, httpd.conf可以依然保持简要易懂。
1 配置httpd.conf
<IfModule mod_ssl.c>
Include conf/ssl.conf
</IfModule>
2 配置ssl.conf
主要配置包括证书路径和认证策略:
Listen 443 #https端口
<VirtualHost _default_:443>
DocumentRoot “/usr/local/apache2/uestclibdoc”
ServerName researchpro.uestc.edu.cn:443
ServerAdmin sysadmin@uestc.edu.cn
ErrorLog “/usr/local/apache2/logs/error_log”
TransferLog “/usr/local/apache2/logs/access_log”
SSLCertificateFile “/usr/local/apache2/conf/ssl.crt/server.crt” #指定服务器证书路径
SSLCertificateKeyFile “/usr/local/apache2/conf/ssl.crt/server.key” #服务器证书私钥路径
#SSLCertificateChainFile /usr/local/apache2/conf/ssl.crt/ca.crt #CA中间级证书路径
#SSLCACertificatePath /usr/local/apache2/conf/ssl.crt #客户证书目录(双向认证才用)
#SSLCACertificateFile /usr/local/apache2/conf/ssl.crt/client.crt #客户证书路径(双向认证才用)
#SSLVerifyClient require #强制客户必须持有SSL证书请求
#SSLVerifyDepth 10
</IfModule>
<Directory “/usr/local/apache2/uestclibdoc”>
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
</Directory>
</VirtualHost>
启动Apache
cd /usr/local/apache2/bin
./apachectl start|stop
可以通过 tail /usr/local/apache2/logs/error_log 来看启动日志
通常这时能在服务器本机输入https://域名或IP就可以了访问了
若是在别的机器不能访问,很可能是服务器防火墙的问题,用iptables -F就可以了
