欢迎光临
我们一直在努力
当前位置:IDC资讯中心 > 在线教程 > 网管专栏 > 正文

在Apache上安装MOD_SSL-网管专栏,WEB服务

2006-07-15 分类:网管专栏 阅读(962) 评论(0)
建站超值云服务器,限时71元/月

我也看过其它的文章介绍这个,不过说的很不清楚。看着他们的文章安装mod_ssl磕磕碰碰地装好了ssl。这里我就介绍一下我的经验。 因为怎样安装apache,php等软件,介绍的文章已经很多了,所以我把重点放在了ssl的安装上。

首先要下载所需的软件包:
apache 1.3.17 这是什么我就不多说了
http://www.tux.org/pub/net/apache/dist/apache_1.3.17.tar.gz

php 4.0.4pl1 可选的,我只是要演示一下ssl和其他软件在一起的情况
http://www.php.net/do_download.php?download_file=php-4.0.4pl1.tar.gz&source_site=www.php.net

openssl 0.9.6 要用他来生成密钥和签署证书
http://www.openssl.org/source/openssl-0.9.6.tar.gz

mod_ssl 2.8.0 本文的重点
http://www.modssl.org/source/mod_ssl-2.8.0-1.3.17.tar.gz

所有这些都是open software。

我的系统是redhat 6.2,所以我用 tar zxvf file.tar.gz 的方法把它们解压缩到 /usr/local/src 。

首先编译 php :

# cd /usr/local/src/apache_1.3.17
# ./configure –prefix=/usr/local/apache
# cd ../php-4.0.4pl1
# ./configure –with-apache=/usr/local/src/apache_1.3.17
–enable-safe-mode –enable-bcmath –enable-ftp
–with-gd –with-zlib –enable-trans-sid
–enable-calendar –enable-dbase –enable-exif
–with-mysql=/usr/local/mysql
# make
# make install
# cp php.ini-dist /usr/local/lib/php.ini
# vi /usr/local/lib/php.ini
编辑 php.ini,可以在里面加入一些配置信息(比如zendoptimizer)

再编译 openssl:

# cd ../openssl-0.9.6
# ./config –prefix=/usr/local/openssl
注意,这里是 config 而不是 configure。
# make
# make test
# make install

下面是 mod_ssl

# cd ../mod_ssl-2.8.0-1.3.17
# ./configure –with-apache=../apache_1.3.17

好了,可以开始编译apache了(奇怪,mod_ssl怎么不要编译?)

# cd ../apache_1.3.17
# ssl_base=../openssl-0.9.6
./configure –prefix=/usr/local/apache
–enable-module=ssl
–activate-module=src/modules/php4/libphp4.a
–enable-module=php4
–enable-shared=ssl
# make

下一步很重要,看清楚了!

# make certificate type=custom

这一步要生成你自己的 ca (如果你不知道,我也不能细说了,简单地 说就是认证中心),和用它来为你的服务器签署证书。 有很多东西要输入。

step 0: 选择算法,使用缺省的 rsa
step 1: 生成 ca.key,ca的私人密钥
step 2: 为ca生成x.509的认证请求 ca.csr 要输入一些信息:

country name: cn 国家代码,两个字母
state or provice name: an hui 省份
locality name: bengbu 城市名
organization name: home ca 组织名,随便写吧
organization unit name: mine ca
common name: mine ca
email address: sunstorm@263.net 我的email
certificate validity: 4096 四千多天,够了吧

step 3: 生成ca的签名,ca.crt
step 4: 生成服务器的私人密钥,server.key
step 5: 生成服务器的认证请求,server.csr 要输入一些信息,和step 2类似,
不过注意 common name是你的网站域名,如 www.mydomain.com certificate validity不要太大,365就可以了。
step 6: 为你的服务器签名,得到server.crt
step 7-8 :为你的 ca.key 和 server.key 加密,要记住pass phrase。

下面完成apache的安装

# make install
# vi /usr/local/apache/conf/httpd.conf

修改bindaddress 和 servername 加入关于php4的行 .如果要改变 documentroot 要记得把httpd.conf里ssl virtual host context部分的documentroot设定也改掉。

sslcertificatefile和sslcertificatkeyfile的设定也在 ssl virtual host context部分。 它可能是这样设定的:

sslcertificatefile /usr/local/apache/conf/ssl.crt/server.crt
sslcertificatekeyfile /usr/local/apache/conf/ssl.key/server.key

要注意ssl.key ssl.crt等目录和文件的权限! 所有的key,csr,crt,prm文件都应该设为 400 属性!

最后测试:

# cd /usr/local/apache
# bin/apachectl startssl
提示输入pass phrase(就是你前面输入的,不知道你还记不记得)输入后就启动了一个支持ssl的apache

在netscape里输入https://localhost/ 试试,注意是https而不是http!
netscape会有一些提示,不管他一个劲地next好了! 然后你应该可以看到页面,而且窗口左下角的锁是锁上的。 手工签署证书的方法

虽然在安装mod_ssl时已经使用 make certificate 命令建立了服务器 的证书签名,但是有时你可能需要改变它。

当然有很多自动的脚本可以实现它,但是最可靠的方法是手工签署 证书。

首先我假定你已经安装好了openssl和mod_ssl,如果你的openssl安装时 的prefix设置为/usr/local/openssl,那么把/usr/local/openssl/bin加入 执行文件查找路径。还需要mod_ssl源代码中的一个脚本,它在mod_ssl的 源代码目录树下的pkg.contrib目录中,文件名为 sign.sh。将它拷贝到 /usr/local/openssl/bin 中。

先建立一个 ca 的证书,首先为 ca 创建一个 rsa 私用密钥,

[s-1]
openssl genrsa -des3 -out ca.key 1024

系统提示输入 pem pass phrase,也就是密码,输入后牢记它。生成 ca.key 文件,将文件属性改为400,并放在安全的地方。

[s-2]
chmod 400 ca.key

你可以用下列命令查看它的内容,

[s-3]
openssl rsa -noout -text -in ca.key

利用 ca 的 rsa 密钥创建一个自签署的 ca 证书(x.509结构)

[s-4]
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

然后需要输入下列信息:

country name: cn 两个字母的国家代号
state or province name: an hui 省份名称
locality name: bengbu 城市名称
organization name: family network 公司名称
organizational unit name: home 部门名称
common name: chen yang 你的姓名
email address: sunstorm@263.net email地址
生成 ca.crt 文件,将文件属性改为400,并放在安全的地方。

[s-5]
chmod 400 ca.crt

你可以用下列命令查看它的内容,

[s-6]
openssl x509 -noout -text -in ca.crt

下面要创建服务器证书签署请求,
首先为你的 apache 创建一个 rsa 私用密钥:

[s-7]
openssl genrsa -des3 -out server.key 1024
这里也要设定pass phrase。 生成 server.key 文件,将文件属性改为400,并放在安全的地方。

[s-8]
chmod 400 server.key 你可以用下列命令查看它的内容,

[s-9]
openssl rsa -noout -text -in server.key

用 server.key 生成证书签署请求 csr.

[s-10]
openssl req -new -key server.key -out server.csr
这里也要输入一些信息,和[s-4]中的内容类似。 至于 extra attributes 不用输入。

你可以查看 csr 的细节
[s-11]
openssl req -noout -text -in server.csr
下面可以签署证书了,需要用到脚本 sign.sh

[s-12]
sign.sh server.csr
就可以得到server.crt。 将文件属性改为400,并放在安全的地方。

[s-13]
chmod 400 server.crt

删除csr
[s-14]
rm server.csr

最后apache设置

如果你的apache编译参数prefix为/usr/local/apache, 那么拷贝server.crt 和 server.key 到 /usr/local/apache/conf .修改httpd.conf 将下面的参数改为:

sslcertificatefile /usr/local/apache/conf/server.crt
sslcertificatekeyfile /usr/local/apache/conf/server.key

可以 apachectl startssl 试一下了。

赞(0)
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com 特别注意:本站所有转载文章言论不代表本站观点! 本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。未经允许不得转载:IDC资讯中心 » 在Apache上安装MOD_SSL-网管专栏,WEB服务
分享到: 更多 (0)

相关推荐

热门标签

ldquo (1370)win (1324)活动 (1166)ios (1162)rdquo (818)微信 (747)iphone (728)小米 (722)windows (706)手机 (698)酷跑 (686)飞车 (540)天天 (492)qq (491)网站 (457)全民 (442)discuz (408)充值 (389)安装 (368)更新 (321)华为 (300)浏览器 (292)支付宝 (289)三星 (266)note (264)教程 (262)预览版 (261)小编 (258)越狱 (254)linux (248)

热门文章

分类目录