怎樣在Apache上安裝MOD_SSL

2024-08-27 18:28:42

字體：大中小

供稿：網(wǎng)友

作者:sustomer

手工簽署證書的方法

雖然在安裝mod_ssl時(shí)已經(jīng)使用 make certificate 命令建立了服務(wù)器
的證書簽名，但是有時(shí)你可能需要改變它。

當(dāng)然有很多自動(dòng)的腳本可以實(shí)現(xiàn)它，但是最可靠的方法是手工簽署
證書。

首先我假定你已經(jīng)安裝好了openssl和mod_ssl，如果你的openssl安裝時(shí)
的prefix設(shè)置為/usr/local/openssl，那么把/usr/local/openssl/bin加入
執(zhí)行文件查找路徑。還需要mod_ssl源代碼中的一個(gè)腳本，它在mod_ssl的
源代碼目錄樹下的pkg.contrib目錄中，文件名為 sign.sh。
將它拷貝到 /usr/local/openssl/bin 中。

先建立一個(gè) ca 的證書，
首先為 ca 創(chuàng)建一個(gè) rsa 私用密鑰，
[s-1]
openssl genrsa -des3 -out ca.key 1024
系統(tǒng)提示輸入 pem pass phrase，也就是密碼，輸入后牢記它。
生成 ca.key 文件，將文件屬性改為400，并放在安全的地方。
[s-2]
chmod 400 ca.key
你可以用下列命令查看它的內(nèi)容，
[s-3]
openssl rsa -noout -text -in ca.key

利用 ca 的 rsa 密鑰創(chuàng)建一個(gè)自簽署的 ca 證書（x.509結(jié)構(gòu)）
[s-4]
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
然后需要輸入下列信息：
country name: cn 兩個(gè)字母的國家代號
state or province name: an hui 省份名稱
locality name: bengbu 城市名稱
organization name: family network 公司名稱
organizational unit name: home 部門名稱
common name: chen yang 你的姓名
email address: [email protected] email地址
生成 ca.crt 文件，將文件屬性改為400，并放在安全的地方。
[s-5]
chmod 400 ca.crt
你可以用下列命令查看它的內(nèi)容，
[s-6]
openssl x509 -noout -text -in ca.crt

下面要?jiǎng)?chuàng)建服務(wù)器證書簽署請求，
首先為你的 apache 創(chuàng)建一個(gè) rsa 私用密鑰：
[s-7]
openssl genrsa -des3 -out server.key 1024
這里也要設(shè)定pass phrase。
生成 server.key 文件，將文件屬性改為400，并放在安全的地方。
[s-8]
chmod 400 server.key
你可以用下列命令查看它的內(nèi)容，
[s-9]
openssl rsa -noout -text -in server.key

用 server.key 生成證書簽署請求 csr.
[s-10]
openssl req -new -key server.key -out server.csr
這里也要輸入一些信息，和[s-4]中的內(nèi)容類似。
至于 'extra' attributes 不用輸入。

你可以查看 csr 的細(xì)節(jié)
[s-11]
openssl req -noout -text -in server.csr

下面可以簽署證書了，需要用到腳本 sign.sh
[s-12]
sign.sh server.csr
就可以得到server.crt。
將文件屬性改為400，并放在安全的地方。
[s-13]
chmod 400 server.crt

刪除csr
[s-14]
rm server.csr

最后apache設(shè)置
如果你的apache編譯參數(shù)prefix為/usr/local/apache，
那么拷貝server.crt 和 server.key 到 /usr/local/apache/conf
修改httpd.conf
將下面的參數(shù)改為：
sslcertificatefile /usr/local/apache/conf/server.crt
sslcertificatekeyfile /usr/local/apache/conf/server.key

可以 apachectl startssl 試一下了。

上一篇：Apache服務(wù)器高級設(shè)置指南(一)

下一篇：Apache服務(wù)器配置全攻略（八）