文档章节

Apache 配置支持HTTPS的SSL证书

IamOkay
 IamOkay
发布于 2015/09/23 13:59
字数 2073
阅读 10572
收藏 37

在设置Apache + SSL之前, 需要做:

安装Apache, 下载安装Apache时请下载带有ssl版本的Apache安装程序.

并且ssl需要的文件在如下的位置:

 

    [Apache安装目录]/modules/ mod_ssl.so

    [Apache安装目录]/bin/ openssl.exe, libeay32.dll, ssleay32.dll, openssl.cnf

    [Apache安装目录]/conf/ openssl.cnf

创建SSL证书(注意,我下载的是PHPStudy里面自带了openssl,但是bin目录下没有openssl.cnf,需要将conf下的openssl.cnf拷贝一份到bin目录下,但总体原理一样)

 

一.生成一个带CA(Certificate Authority)授权的证书

打开CMD,进入到Apache安装目录下的bin目录下:

步骤一:

       执行命令,生成私钥:

openssl genrsa -out tian_server.key 2048

       (RSA密钥对的默认长度是1024,取值是2的整数次方,并且密钥长度约长,安全性相对会高点)。 

      完成密钥server.key生产完毕后进行步骤二操作。

步骤二:

配置openssl.cnf

请确保以下数据这里所要求的值

default_md = md5 #默认是default,会触发[default digest message is not supported ]

req_extensions = v3_req #默认签名被注释了

[ v3_req ]

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names  #此项不存在,需要添加

[ alt_names ] #此项不存在,需要添加,注意DNS.x

DNS.1 = www.iamtester.com #自定义
DNS.2 = img.iamtester.com #自定义
DNS.3 = static.iamtester.com #自定义
DNS.4 = www.abc.iamtester.com #自定义
DNS.5 = www.abciamtester.com #自定义
DNS.6 = iamtester.net #自定义

然后创建目录和文件

demoCA/

         newcerts/

         private/

         index.txt

         index.txt.attr

         serial #此文件初始值输入00即可

生成Certificate Signing Request文件,用于向CA机构申请证书:

openssl req -new -key tian_server.key -out tian_server.csr  -config openssl.cnf

(如果不加-config .openssl.cnf参数的话,常会报Unable to load config info from .../ssl/openssl.cnf)

之后就会要求输入一系列的参数:

    Country Name (2 letter code) [AU]:CN ISO 国家代码(只支持两位字符)
    State or Province Name (full name) [Some-State]:ZJ 所在省份
    Locality Name (eg, city) []:HZ 所在城市
    Organization Name (eg, company): 公司名称
    Organizational Unit Name (eg, section) []: 组织名称
    Common Name (eg, YOUR name) []: 申请证书的域名(建议和httpd.conf中serverName必须一致)
    Email Address []:admin@admin.com 管理员邮箱
    Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: 交换密钥 
    An optional company name []:

注:Common Name建议和httpd.conf中serverName必须一致,或者与openssl.cnf 中的alt_names中的一个域名保持一致,否则证书有可能申请不到,并且启动 apache 时错误提示为:server RSA certificate CommonName (CN) `Kedou' does NOT match server name!? )    

我们得到CSR之后,第三方CA机构申请通过后,会把生成好下发给你,如果你选择了第三方机构,可以跳过步骤三和四,直接到步骤五。

步骤三:

 生成一个根证书,用于签名以上证书文件。

  1. #生成顶级CA的公钥证书和私钥文件,有效期10年(RSA 1024bits,默认)  
  2. openssl req -new -x509 -days 3650 -keyout CARoot1024.key -out CARoot1024.crt  -config openssl.cnf
  3. # 为顶级CA的私钥文件去除保护口令 ,这一步可选,建议不要执行
  4. #openssl rsa -in CARoot1024.key -out CARoot1024.key    -config openssl.cnf

CARoot1024.crt 是数字签名证书,实质也是个pem文件。

步骤四:

    用我们自己的CARoot 授权服务器证书(本步骤需要保持网络连接通畅,否则可能造成txt_DB error)

  1. # 使用CA的公私钥文件给 csr 文件签名,生成应用证书,有效期5年  
  2. openssl ca -in tian_server.csr -out tian_server.crt -cert CARoot1024.crt -keyfile CARoot1024.key -days 1826 -entensions v3_req -policy policy_anything  -config openssl.cnf
  3. #使用CA的公私钥文件给 csr 文件签名,生成中级证书,有效期5年  
  4. #openssl ca -extensions v3_ca -in tian_server.csr -out tian_server.crt -cert CARoot1024.crt -keyfile CARoot1024.key -days 1826 -policy policy_anything   -config openssl.cnf

以上是生成根证书与应用证书过程中要用到的所有命令,根据生成目标不同,分为两组。其中,前面一组都用于生成自签名的顶级CA。

最后一组用于生成非自签名的证书,包括中级证书与应用证书。所谓中级证书,是具有继续颁发下级证书权限的子CA,而本文中所说的应用证书,特指不能用来继续颁发下级证书,只能用来证明个体身份的证书。顶级CA在签发二者的时候,只是多少一个 -extensions v3_ca 选项的区别,这个选项赋予被签发的证书继续签发下级证书的权力。

步骤五:

       配置 httpd.conf. 在Apache的conf\extra目录下的 httpd_ssl.conf 文件是关于 ssl 的配置,是httpd.conf的一 部分。

       在 httpd.conf 中添加下列两行:

   LoadModule ssl_module modules/mod_ssl.so
       Include conf/extra/httpd-ssl.conf

步骤六:

  (注意:相同部分被省略掉)

#在conf\extra目录下,编辑 httpd_ssl.conf
Listen 443   #必须启动,我们这里使用基于多端口虚拟主机
SSLPassPhraseDialog  builtin
SSLSessionCache  "dbm:D:/Program/Apache Software/Apache2.2.17/logs/ssl_scache"
#SSLSessionCache   "shmcb:D:/Program/Apache Software/Apache2.2.17/logs/ssl_scache(512000)"
#(以上2种请自行监测,如有一种导致服务器启动不了,就换成另一种)
SSLSessionCacheTimeout  300
       
<VirtualHost _default_:443>
  DocumentRoot "D:/PHPStudy/WWW/phpSSL"
  ServerName  phpssl.com:443
  ErrorLog "D:/PHPStudy/Apache/logs/no-robots_error.log.txt"
  TransferLog "D:/PHPStudy/Apache/logs/no-robots_access.log.txt"
  
  SSLCertificateFile "D:/PHPStudy/Apache/conf/tian_server.crt"
  SSLCertificateKeyFile "D:/PHPStudy/Apache/conf/tian_server.key"
  
  CustomLog "D:/PHPStudy/Apache/logs/ssl_request.log" \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

/**********略*************/
</VirtualHost>

 

以上最容易出问题的地方是http_ssl.conf中的日志等路径问题,建议按照物理路径进行设置


步骤八:

调试运行Apache,对于Apache。如果是集成板的如xampp,wampserver,或者phpstudy启动Apache Server,可能我们不知道我们的服务器出现了什么问题,建议查看 Apache/logs下的日志,在此基础上,配合Cmd命令行在bin目录下运行httpd命令,如果不报错,说明服务器运行没问题,否则更具提示修改问题

 

 

运行效果如下

 

二.生成一个不带CA授权的自签名证书

# 生成一个key,你的私钥,openssl会提示你输入一个密码,可以输入,也可以不输,

# 输入的话,以后每次使用这个key的时候都要输入密码,安全起见,还是应该有一个密码保护
> openssl genrsa -des3 -out selfsign.key 4096

# 使用上面生成的key,生成一个certificate signing request (CSR)
# 如果你的key有密码保护,openssl首先会询问你的密码,然后询问你一系列问题,
# 其中Common Name(CN)是最重要的,它代表你的证书要代表的目标,如果你为网站申请的证书,就要添你的域名。
> openssl req -new -key selfsign.key -out selfsign.csr

# 生成Self Signed证书 selfsign.crt就是我们生成的证书了
> openssl x509 -req -days 365 -in selfsign.csr -signkey selfsign.key -out selfsign.crt
# 另外一个比较简单的方法就是用下面的命令,一次生成key和证书 
> openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout privateKey.key -out certificate.crt

三.openSSL常用命令

# 查看KEY信息
> openssl rsa -noout -text -in myserver.key

# 查看CSR信息
> openssl req -noout -text -in myserver.csr

# 查看证书信息
> openssl x509 -noout -text -in ca.crt

# 验证证书
# 会提示self signed
> openssl verify selfsign.crt

#密钥去密码保护
>openssl rsa -in myserver.key -out server.key

# 因为myserver.crt 是幅ca.crt发布的,所以会验证成功
> openssl verify -CAfile ca.crt myserver.crt

不同格式证书的转换

# PKCS转换为PEM
> openssl pkcs12 -in myserver.pfx -out myserver.pem -nodes
# PEM转换为DER
> openssl x509 -outform der -in myserver.pem -out myserver.[der|crt]
# PEM提取KEY
> openssl RSA -in myserver.pem -out myserver.key

# DER转换为PEM
> openssl x509 -inform der -in myserver.[cer|crt] -out myserver.pem

# PEM转换为PKCS
> openssl pkcs12 -export -out myserver.pfx -inkey myserver.key -in myserver.pem -certfile ca.crt

测试证书

Openssl提供了简单的client和server工具,可以用来模拟SSL连接,做测试使用。

# 连接到远程服务器
> openssl s_client -connect www.google.com.hk:443

# 模拟的HTTPS服务,可以返回Openssl相关信息 
# -accept 用来指定监听的端口号 
# -cert -key 用来指定提供服务的key和证书
> openssl s_server -accept 443 -cert myserver.crt -key myserver.key -www

# 可以将key和证书写到同一个文件中
> cat myserver.crt myserver.key > myserver.pem
# 使用的时候只提供一个参数就可以了
> openssl s_server -accept 443 -cert myserver.pem -www

# 可以将服务器的证书保存下来
> openssl s_client -connect www.google.com.hk:443 </dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > remoteserver.pem
# 转换成DER文件,就可以在Windows下直接查看了
> openssl x509 -outform der -in remoteserver.pem -out remoteserver.cer

计算MD5和SHA1

# MD5 digest
> openssl dgst -md5 filename

# SHA1 digest
> openssl dgst -sha1 filenam

 

参考:Nginx/Apache的SSL配置

 http://blog.sina.com.cn/s/blog_4fdd2ea901015l0u.html

 

 

© 著作权归作者所有

IamOkay

IamOkay

粉丝 204
博文 483
码字总数 403228
作品 0
海淀
程序员
私信 提问
Linux+Apache下如何安装SSL证书

最近很多站长在问linux系统平台下如何安装SSL证书?Linux+Apache下如何安装SSL证书?本文整理了关于Linux+Apache下如何安装SSL证书的相关教程供大家参考,更多SSL证书安装部署问题可咨询沃通C...

一夜九次
01/21
0
0
Linux Apache SSL证书安装

一、安装准备 1.安装Openssl 要使Apache支持SSL,需要首先安装Openssl支持。(现在的服务器一般都已经预装了,可以直接直接跳到下一步。)安装Openssl有两种方式: 1)下载源码编译安装: 推...

庞然大悟
03/11
0
0
把ssl模块加入到已经编译好的apache中实现HTTPS

为了使Apache支持https访问,系统需要安有apache、openssl、mod_ssl.so 1、安装openssl: 基本上系统都已经安装了,在/usr/bin/openssl下,直接使用openssl命令即可;如果系统未安装,则下载...

WinHearts
2018/08/31
28
0
ubuntu中的tomcat使用apr模式

据说apr能提高50%性能,介绍是这样的: Tomcat支持三种接收请求的处理方式:BIO、NIO、APR 。 1. BIO由于每个请求都要创建一个线程来处理,线程开销比较大,不能再高并发的场景,性能也是最低...

Airship
2018/11/20
39
0
apache配置https步骤

配置过程如下: 步骤一:安装apache,使其支持SSL,并安装php 1.安装配有SSL模块的apache,apache2.2.8-win32-x86-openssl-0.9.8g 2.配置apache以支持SSL:打开apache的配置文件conf/httpd.conf...

caolinsheng
2014/10/21
374
0

没有更多内容

加载失败,请刷新页面

加载更多

32位与64位Linux系统下各类型长度对比

64 位的优点:64 位的应用程序可以直接访问 4EB 的内存和文件大小最大达到4 EB(2 的 63 次幂);可以访问大型数据库。本文介绍的是64位下C语言开发程序注意事项。 1. 32 位和 64 位C数据类型...

mskk
13分钟前
4
0
Vue 实现点击空白处隐藏某节点(三种方式:指令、普通、遮罩)

在项目中往往会有这样的需求: 弹出框(或Popover)在 show 后,点击空白处可以将其 hide。 针对此需求,整理了三种实现方式,大家按实际情况选择。 当然,我们做项目肯定会用到 UI 框架,常...

张兴华ZHero
20分钟前
3
0
SpringBoot激活profiles你知道几种方式?

多环境是最常见的配置隔离方式之一,可以根据不同的运行环境提供不同的配置信息来应对不同的业务场景,在SpringBoot内支持了多种配置隔离的方式,可以激活单个或者多个配置文件。 激活Profi...

恒宇少年
22分钟前
5
0
PDF修改文字的方法有哪些?怎么修改PDF文件中的文字

PDF修改文字一直以来都是一个难以解决的问题,很多的办公族在办公的时候会有修改PDF文件中的文字的需要,可是PDF文件一般是不能进行编辑和修改的,难道就没有什么办法解决这个问题了嘛?不要...

趣味办公社
25分钟前
3
0
企业组织中采用服务网格的挑战

作者:Christian Posta 译者:罗广明 原文:https://blog.christianposta.com/challenges-of-adopting-service-mesh-in-enterprise-organizations/ 编者按 本文作者介绍了企业组织采用服务网...

jimmysong
34分钟前
5
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部