Apache SSL服务器配置SSL详解
程序员文章站
2022-06-29 16:02:32
1.安装必要的软件 引用 我用的是apahce2.0.61版,可以直接官方提供的绑定openssl的apache. 文件名是:apache_2.0.61-win32-x86...
1.安装必要的软件
引用
我用的是apahce2.0.61版,可以直接官方提供的绑定openssl的apache.
文件名是:apache_2.0.61-win32-x86-openssl-0.9.7m.msi
否则单独安装windows下的openssl比较麻烦,要么找到一个第三方的编译结果,要么自己编译
2. 生成服务器证书
引用
安装好在bin目录下有一个 openssl.exe文件,用来生成证书和密钥。
1). 生成服务器用的私钥文件server.key
进入conf目录,执行命令行
openssl genrsa -out server.key 1024
有文档指出使用 openssl genrsa -des3 -out server.key 1024 生成私钥文件,这样生成的私钥文件是需要口令的。
apache启动失败,错误提示是:init: sslpassphrasedialog builtin is not supported on win32 (key file .....)
原因是window下的apache不支持加密的私钥文件。
2). 生成未签署的server.csr
进入conf目录,执行命令行
openssl req -new -key server.key -out server.csr -config openssl.cnf
提示输入一系列的参数,
......
country name (2 letter code) [au]:
state or province name (full name) [some-state]:
locality name (eg, city) []:
organization name (eg, company) [internet widgits pty ltd]:
organizational unit name (eg, section) []:
common name (eg, your name) []:
email address []:
.....
注:common name必须和httpd.conf中server name必须一致,否则apache不能启动
启动apache时错误提示为:rsa server certificate commonname (cn) `koda' does not match server name!?
3). 签署服务器证书文件server.crt
进入conf目录,执行命令行
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
以上签署证书仅仅做测试用,真正运行的时候,应该将csr发送到一个ca返回真正的用书.网上有些文档描述生成证书文件的过程比较繁琐,就是因为
他们自己建立了一个ca中心证书,然后再签署server.csr.
用openssl x509 -noout -text -in server.crt可以查看证书的内容。证书实际上包含了public key.
3. 配置httpd.conf.
引用
在conf目录下的ssl.conf文件是关于ssl的配置,是httpd.conf的一部分。
找到一个443的虚拟主机配置项,如下:
<virtualhost _default_:443>
sslengine on
sslcertificatefile conf/ssl.crt/server.crt
sslcertificatekeyfile conf/ssl.key/server.key
#sslcertificatechainfile conf/ssl.crt/ca.crt // 暂未启用
#......
documentroot "c:/programs/apache2/htdocs"
servername www.my.com:443
</virtualhost>
1). 看sslcertificatefile,sslcertificatekeyfile两个配置项,所以应该在conf下建立两个子目录ssl.crt, ssl.key,然后把签署过的证书文件(.crt)和私钥文件(.key)放在相应的目录
2). 看documentroot,servername配置项,servername修改为任意你想要得域名,注意:前面生成.csr时输入的common name必须于这里的servername项一致。
这样启动apache后,访问https://www.my.com将访问c:/programs/apache2/htdocs目录下的内容。
但是如果你想保留其他目录的访问仍然是http,那么你应该把
<virtualhost _default_:443> 也改为 <virtualhost www.my.com:443>
此时,即便servername是任意的,系统仍然正常运行,仅仅apache log提示"does not match server name"
3). 移除注释行
loadmodule ssl_module modules/mod_ssl.so
注意到ssl.conf的配置都在标签<ifdefine ssl>中,所以为了使ifdefine 指令有效,运行apache 的时候要加上 -d ssl 参数。
引用
apache -d ssl -k start
引用
我用的是apahce2.0.61版,可以直接官方提供的绑定openssl的apache.
文件名是:apache_2.0.61-win32-x86-openssl-0.9.7m.msi
否则单独安装windows下的openssl比较麻烦,要么找到一个第三方的编译结果,要么自己编译
2. 生成服务器证书
引用
安装好在bin目录下有一个 openssl.exe文件,用来生成证书和密钥。
1). 生成服务器用的私钥文件server.key
进入conf目录,执行命令行
openssl genrsa -out server.key 1024
有文档指出使用 openssl genrsa -des3 -out server.key 1024 生成私钥文件,这样生成的私钥文件是需要口令的。
apache启动失败,错误提示是:init: sslpassphrasedialog builtin is not supported on win32 (key file .....)
原因是window下的apache不支持加密的私钥文件。
2). 生成未签署的server.csr
进入conf目录,执行命令行
openssl req -new -key server.key -out server.csr -config openssl.cnf
提示输入一系列的参数,
......
country name (2 letter code) [au]:
state or province name (full name) [some-state]:
locality name (eg, city) []:
organization name (eg, company) [internet widgits pty ltd]:
organizational unit name (eg, section) []:
common name (eg, your name) []:
email address []:
.....
注:common name必须和httpd.conf中server name必须一致,否则apache不能启动
启动apache时错误提示为:rsa server certificate commonname (cn) `koda' does not match server name!?
3). 签署服务器证书文件server.crt
进入conf目录,执行命令行
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
以上签署证书仅仅做测试用,真正运行的时候,应该将csr发送到一个ca返回真正的用书.网上有些文档描述生成证书文件的过程比较繁琐,就是因为
他们自己建立了一个ca中心证书,然后再签署server.csr.
用openssl x509 -noout -text -in server.crt可以查看证书的内容。证书实际上包含了public key.
3. 配置httpd.conf.
引用
在conf目录下的ssl.conf文件是关于ssl的配置,是httpd.conf的一部分。
找到一个443的虚拟主机配置项,如下:
<virtualhost _default_:443>
sslengine on
sslcertificatefile conf/ssl.crt/server.crt
sslcertificatekeyfile conf/ssl.key/server.key
#sslcertificatechainfile conf/ssl.crt/ca.crt // 暂未启用
#......
documentroot "c:/programs/apache2/htdocs"
servername www.my.com:443
</virtualhost>
1). 看sslcertificatefile,sslcertificatekeyfile两个配置项,所以应该在conf下建立两个子目录ssl.crt, ssl.key,然后把签署过的证书文件(.crt)和私钥文件(.key)放在相应的目录
2). 看documentroot,servername配置项,servername修改为任意你想要得域名,注意:前面生成.csr时输入的common name必须于这里的servername项一致。
这样启动apache后,访问https://www.my.com将访问c:/programs/apache2/htdocs目录下的内容。
但是如果你想保留其他目录的访问仍然是http,那么你应该把
<virtualhost _default_:443> 也改为 <virtualhost www.my.com:443>
此时,即便servername是任意的,系统仍然正常运行,仅仅apache log提示"does not match server name"
3). 移除注释行
loadmodule ssl_module modules/mod_ssl.so
注意到ssl.conf的配置都在标签<ifdefine ssl>中,所以为了使ifdefine 指令有效,运行apache 的时候要加上 -d ssl 参数。
引用
apache -d ssl -k start