Apache配置HTTPS协议搭载SSl配置全过程
2013-03-20 00:00
591 查看
1.安装必要的软件
从Apache官方(www.apache.org)下载必要的ApacheHttpServer安装包,可以直接官方提供的绑定openssl的apache.文件名是:httpd-2.2.15-win32-x86-openssl-0.9.8m-r2.msi(我用的是Apache2.2.15forwindows的版本,你可以点击此处下载最新的版本进行安装,最好选择含有openssl版本的哦)
否则单独安装windows下的openssl比较麻烦,要么找到一个第三方的编译结果,要么自己编译
<xmlnamespaceprefix="v"ns="urn:schemas-microsoft-com:vml"/>
安装完毕后检查检查在Apache安装路径的bin下是否有以下文件:
openssl.exe
ssleay32.dll
libeay32.dll
2.
生成服务器证书
安装好在bin目录下有一个openssl.exe文件,用来生成证书和密钥。
1).生成服务器用的私钥文件server.key
(注:在Windows操作系统环境下需先设置Openssl环境变量:在DOS命令下进入conf目录,执行命令行:setOPENSSL_CONF=..\conf\openssl.cnf;请在执行之前确保openssl.cnf存在,否则会出现:WARNING:can'topenconfigfile:/usr/local/ssl/openssl.cnf信息提示。还有在windows系统下.cnf默认会被当成快捷方式,看不到扩展名。)
在DOS命令下进入bin目录,执行命令行
命令:opensslgenrsa1024>server.key
说明:这是用128位rsa算法生成密钥,得到server.key文件>是输出文件的标识符
这种生成方法生成的是没有密钥的私钥文件,当然,Apache提供了加入密钥(Password)的命令,就是加入参数-des3,全部的命令为:
图解:
生成CSR
生成CRT
3.配置httpd.conf.
在conf目录下的httpd_ssl.conf文件是关于ssl的配置,是httpd.conf的一部分,在httpd.conf中找到给文件的引用,移除对应的注释
找到一个443的虚拟主机配置项,如下:
<VirtualHost_default_:443>
SSLEngineOn
SSLCertificateFile../bin/server.crt
SSLCertificateKeyFile../bin/server.key
#SSLCertificateChainFile../bin//ca.crt//暂未启用
#......
DocumentRoot"D:/programs/Apache2.2/htdocs"
ServerNamewww.kedou.com:443
</VirtualHost>
移除注释行
LoadModulessl_modulemodules/mod_ssl.so
这样所有的都可以通过HTTPS访问了,但是如果你想保留其他目录的访问仍然是http,那么你应该把
<VirtualHost_default_:443>也改为<VirtualHostwww.kedou.com:443>
此时,即便ServerName是任意的,系统仍然正常运行,仅仅Apachelog提示"doesNOTmatchservername"
注意到ssl.conf的配置都在标签<IfDefineSSL>中,所以为了使IfDefine指令有效,运行apache的时候要加上-DSSL参数。
apache-DSSL-kstart
从Apache官方(www.apache.org)下载必要的ApacheHttpServer安装包,可以直接官方提供的绑定openssl的apache.文件名是:
否则单独安装windows下的openssl比较麻烦,要么找到一个第三方的编译结果,要么自己编译
<xmlnamespaceprefix="v"ns="urn:schemas-microsoft-com:vml"/>
安装完毕后检查检查在Apache安装路径的bin下是否有以下文件:
openssl.exe
ssleay32.dll
libeay32.dll
2.
生成服务器证书
安装好在bin目录下有一个openssl.exe文件,用来生成证书和密钥。
1).生成服务器用的私钥文件server.key
(注:在Windows操作系统环境下需先设置Openssl环境变量:在DOS命令下进入conf目录,执行命令行:setOPENSSL_CONF=..\conf\openssl.cnf;请在执行之前确保openssl.cnf存在,否则会出现:WARNING:can'topenconfigfile:/usr/local/ssl/openssl.cnf信息提示。还有在windows系统下.cnf默认会被当成快捷方式,看不到扩展名。)
在DOS命令下进入bin目录,执行命令行
命令:opensslgenrsa1024>server.key
说明:这是用128位rsa算法生成密钥,得到server.key文件>是输出文件的标识符
这种生成方法生成的是没有密钥的私钥文件,当然,Apache提供了加入密钥(Password)的命令,就是加入参数-des3,全部的命令为:
命令:opensslgenrsa1024-des3>server.key使用opensslgenrsa-des3>1024server.key生成私钥文件是需要输入密钥的,运行的时候会让你输入并确认你的密钥,但是在Windows环境下会导致以下错误:错误:Apache启动失败,错误提示是:Init:SSLPassPhraseDialogbuiltinisnotsupportedonWin32(keyfile.....)原因是window下的apache不支持加密的私钥文件。可不使用des3加密。注:生成的证书中RSA密钥对的默认长度是1024,取值是2的整数次方。建议使用4096以上。
图解:
1.切换到bin目录
2.设置环境变量 3.生成server.key
2).生成未签署的server.csr进入bin目录,执行命令行命令:opensslreq-new-keyserver.key>server.csr说明:这是用步骤1的密钥生成证书请求文件server.csr,这一步会有很多参数,需要一一输入按提示输入一系列的参数,CountryName(2lettercode)[AU]:CNISO国家代码(只支持两位字符)
StateorProvinceName(fullname)[Some-State]:ZJ所在省份
LocalityName(eg,city)[]:HZ所在城市
OrganizationName(eg,company):SW_TECH公司名称
OrganizationalUnitName(eg,section)[]:SW_TECH组织名称
CommonName(eg,YOURname)[]:kedou.com申请证书的域名
EmailAddress[]:admin@admin.com管理员邮箱
Pleaseenterthefollowing'extra'attributes
tobesentwithyourcertificaterequest
Achallengepassword[]:交换密钥
Anoptionalcompanyname[]:注:CommonName必须和httpd.conf中servername必须一致,否则apache不能启动(启动apache时错误提示为:RSAservercertificateCommonName(CN)`Kedou'doesNOTmatchservername!?)3).签署服务器证书文件server.crt进入bin目录,执行命令行命令:opensslreq-x509-days365-keyserver.key-inserver.csr>server.crt说明:这是用步骤1,2的的密钥和证书请求生成证书server.crt,-days参数指明证书有效期,单位为天,x509表示生成的为X.509证书。以上签署证书仅仅做测试用,真正运行的时候,应该将CSR发送到一个CA返回真正的用书.网上有些文档描述生成证书文件的过程比较繁琐,就是因为他们自己建立了一个CA中心证书,然后再签署server.csr.用opensslx509-noout-text-inserver.crt可以查看证书的内容。证书实际上包含了PublicKey.
图解:
生成CSR
生成CRT
3.配置httpd.conf.
在conf目录下的httpd_ssl.conf文件是关于ssl的配置,是httpd.conf的一部分,在httpd.conf中找到给文件的引用,移除对应的注释
找到一个443的虚拟主机配置项,如下:
<VirtualHost_default_:443>
SSLEngineOn
SSLCertificateFile../bin/server.crt
SSLCertificateKeyFile../bin/server.key
#SSLCertificateChainFile../bin//ca.crt//暂未启用
#......
DocumentRoot"D:/programs/Apache2.2/htdocs"
ServerNamewww.kedou.com:443
</VirtualHost>
移除注释行
LoadModulessl_modulemodules/mod_ssl.so
这样所有的都可以通过HTTPS访问了,但是如果你想保留其他目录的访问仍然是http,那么你应该把
<VirtualHost_default_:443>也改为<VirtualHostwww.kedou.com:443>
此时,即便ServerName是任意的,系统仍然正常运行,仅仅Apachelog提示"doesNOTmatchservername"
注意到ssl.conf的配置都在标签<IfDefineSSL>中,所以为了使IfDefine指令有效,运行apache的时候要加上-DSSL参数。
apache-DSSL-kstart
相关文章推荐
- Apache配置HTTPS协议搭载SSl配置全过程
- Apache配置HTTPS协议搭载SSl配置全过程
- Apache配置HTTPS协议搭载SSl配置全过程
- Apache配置HTTPS协议搭载SSl配置全过程
- Apache 配置HTTPS协议搭载SSL配置
- Apache 配置HTTPS协议搭载SSL配置
- Apache 配置HTTPS协议搭载SSL配置
- Apache 配置HTTPS协议搭载SSL配置
- apache中使用mod_gnutls模块实现多个SSL站点配置(多个HTTPS协议的虚拟主机)
- apache中使用mod_gnutls模块实现多个SSL站点配置(多个HTTPS协议的虚拟主机)
- openssl + apache + mod_ssl安装配置调试过程
- tomcat 配置ssl/https 证书问题(一)- No enum constant org.apache.tomcat.util.net.SSLHostConfigCertificate.Typ
- 【转】Tomcat启用HTTPS协议配置过程
- HTTPS协议详解(四):TLS/SSL握手过程
- windows环境下 apache配置https协议
- apache-tomcat-9.0.1 配置多个虚拟主机并且配置多个域名的多个ssl支持https
- Tomcat启用HTTPS协议配置过程
- 申请 SSL 证书 并且配置 iis 启用https协议
- tomcat启用https协议配置过程(有案例)
- Apache 使用ssl模块配置HTTPS