通過 Linux+Apache+OpenSSL 實現 SSL ( Secure Socket Layer )證書服務器,提供安全的 HTTPS ( Hypertext Transfer Protocol over Secure Socket Layer )服務。
安裝 SSL
1. 安裝 openssl
tar -zxvf openssl-0.9.8a.tar.gz
cd openssl-0.9.8a
./configure
make
make install
openssl 安裝在 /usr/local/ssl 目錄中
2. 安裝 apache
tar -zxvf httpd-2.0.55.tar.gz
cd httpd-2.0.55
./configure –prefix=/usr/local/apache –enable-ssl –enable-rewrite –enable-so –with-ssl=/usr/local/ssl
make
make install
apache 安裝在 /usr/local/apache 目錄中
以上是通過源碼方式安裝,最佳的安裝方式通過 rpm 安裝。先安裝 apache 的 rpm ,再安裝 openssl 的 rpm , openssl 可自動安裝到 apache 目錄中。
證書介紹
SSL 安全證書可以自己生成,也可以通過第三方的 CA ( Certification Authority )認證中心付費申請頒發。
SSL 安全證書包括:
1. CA 證書,也叫根證書或中間級證書。單向認證的 https , CA 證書是可選的。主要目的是使證書構成一個證書鏈,以達到瀏覽器信任證書的目的。如果使用了 CA 證書,服務器證書和客戶證書都使用 CA 證書來簽名。如果不安裝 CA 證書,瀏覽器默認認爲是不安全的。
2. 服務器證書。必選。通過服務器私鑰,生成證書請求文件 CSR ,再通過 CA 證書籤名生成服務器證書。
3. 客戶證書。可選。如果有客戶證書,就是雙向認證的 HTTPS ,否則就是單向認證的 HTTPS 。生成步驟和服務器證書類似。
上面幾種證書都可以自己生成。商業上,一般自己提供服務器或客戶證書端的私鑰和證書請求 CSR ,向第三方機構付費申請得到通過 CA 證書籤名的服務器證書和客戶證書。
生成證書
用 openssl 提供的工具 CA.sh 簽名證書,證書放在 /usr/local/apache2/conf/ssl.crt 目錄,先把工具拷貝過來:
cp /usr/share/ssl/misc/CA.sh /usr/local/apache2/conf/ssl.crt
1. CA 證書(根證書 / 中間級證書)
是 CA 認證機構提供,如果是雙向認證則必選,否則是可選。通過 CA 證書,構成一個證書鏈,目的是使瀏覽器信任你的證書 。如果使用了 CA 證書,用它來簽名服務器和客戶證書,以達到瀏覽器信任的目的。
自己生成 CA 證書步驟:
./CA.sh –newca
回車創建新文件,輸入加密密碼,並填寫證書信息:
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:Shenzhen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxx
Organizational Unit Name (eg, section) []:xxx
Common Name (eg, YOUR name) []:www.shenmiguo.com
Email Address []:[email protected]
Common Name 填入主機全稱是比較好的選擇。這個名稱必須與通過瀏覽器訪問您網站的 URL 完全相同,否則用戶會發現您服務器證書的通用名與站點的名字不匹配,用戶就會懷疑您的證書的真實性。服務器證書和客戶證書的 Common Name 應該和 CA 一致。
生成結果: demoCA/private/cakey.pem 是 CA 證書的私鑰文件, demoCA/cacert.pem 是 CA 證書。
這樣就建好了一個 CA 服務器,有了一個根證書的私鑰 cakey.pem 及一張根證書 cacert.pem, 現在就可以用 cacert.pem 來給服務器證書或客戶證書籤名了。
我們規範一下 CA 證書的命名,把 CA 證書和密鑰重命名一下:
cp demoCA/private/cakey.pem ca.key
cp demoCA/cacert.pem ca.crt
ca.key 是中間級證書私鑰, ca.crt 是中間級證書。
2. 服務器證書
a) 生成服務器私鑰
openssl genrsa -des3 -out server.key 1024
輸入加密密碼,用 128 位 rsa 算法生成密鑰,得到 server.key 文件。
b) 生成服務器證書請求( CSR )
openssl req -new -key server.key -out server.csr
CSR ( Certificate Signing Request )是一個證書籤名請求,在申請證書之前,首先要在 WEB 服務器上生成 CSR ,並將其提交給 CA 認證中心, CA 才能給您簽發 SSL 服務器證書。可以這樣認爲, CSR 就是一個在您服務器上生成的證書。 CSR 主要包括以下內容:
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:Shenzhen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxx
Organizational Unit Name (eg, section) []:xxx
Common Name (eg, YOUR name) []:shenmiguo.com
Email Address []:[email protected]
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Common Name 填入主機名和 CA 一致。
c) 自己生成服務器證書
如果不使用 CA 證書籤名的話,用如下方式生成:
openssl req -x509 -days 1024 -key server.key -in server.csr > server.crt
用服務器密鑰和證書請求生成證書 server.crt , -days 參數指明證書有效期,單位爲天。商業上來說,服務器證書是由通過第三方機構頒發的,該證書由第三方認證機構頒發的。
如果使用 CA 證書籤名,用 openssl 提供的工具 CA.sh 生成服務器證書:
mv server.csr newreq.pem
./CA.sh -sign
mv newcert.pem server.crt
簽名證書後,可通過如下命令可查看服務器證書的內容:
openssl x509 -noout -text -in server.crt
可通過如下命令驗證服務器證書:
openssl verify -CAfile ca.crt server.crt
3. 客戶證書
客戶證書是可選的。如果有客戶證書,就是雙向認證 HTTPS ,否則就是單向認證 HTTPS 。
a) 生成客戶私鑰
openssl genrsa -des3 -out client.key 1024
b) 生成客戶證書籤名請求
openssl req -new -key client.key -out client.csr
c) 生成客戶證書(使用 CA 證書籤名)
openssl ca -in client.csr -out client.crt
d) 證書轉換成瀏覽器認識的格式
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx
4. 證書列表
如果使用雙向認證,就會有三個私鑰和三個證書。分別是 ca.key, ca.crt, server.key, server.crt, client.key, client.crt ,以及給瀏覽器的 client.pfx 。
如果使用有 CA 證書的單向認證,證書和私鑰就是 ca.key, ca.crt, server.key, server.crt 。
如果使用無 CA 證書的單向認證,證書和私鑰就是 server.key, server.crt 。
配置證書
Apache 規範的做法是將擴展的配置都配置在相應的 conf 文件中, httpd.conf 直接 Include 包含各功能配置的 conf 文件(如 php 相關配置叫 php.conf , ssl 相關配置叫 ssl.conf )。這樣的好處是配置易於管理和變更, httpd.conf 可以依然保持簡要易懂。
1. 配置 httpd.conf
<IfModule mod_ssl.c>
Include conf/ssl.conf
</IfModule>
2. 配置 ssl.conf
主要配置包括證書路徑和認證策略:
Listen 443 #https 端口
SSLRandomSeed startup builtin
SSLPassPhraseDialog builtin
SSLSessionCache dbm:logs/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex default
<VirtualHost *:443>
ServerAdmin
DocumentRoot /usr/local/apache2/htdocs/
#DirectoryIndex digitalidCenter.htm
ServerName shenmiguo.com:443
ErrorLog logs/443-error_log
CustomLog /usr/local/apache2/logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
LogLevel info
<IfModule mod_ssl.c>
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt # 指定服務器證書路徑
SSLCertificateKeyFile /usr/local/apache2/conf/ssl.crt/server.key # 服務器證書私鑰路徑
SSLCertificateChainFile /usr/local/apache2/conf/ssl.crt/ca.crt #CA 中間級證書路徑
SSLCACertificatePath /usr/local/apache2/conf/ssl.crt # 客戶證書目錄 ( 雙向認證才用 )
SSLCACertificateFile /usr/local/apache2/conf/ssl.crt/client.crt # 客戶證書路徑 ( 雙向認證才用 )
SSLVerifyClient require # 強制客戶必須持有 SSL 證書請求
SSLVerifyDepth 10
</IfModule>
</VirtualHost>
更多 mod_ssl 配置選項說明可以見 apache 的文檔:
http://lamp.linux.gov.cn/Apache/ApacheMenu/mod/mod_ssl.html
3. 啓動 Apache
cd /usr/local/apache2/bin
./apachectl startssl
可修改 apachectl 腳本,改成默認 ssl 方式啓動 apache 。 apachectl 腳本中的:
start|stop|restart |graceful)
$HTTPD -k $ARGV
ERROR=$?
;;
startssl|sslstart|start-SSL)
$HTTPD -k start -DSSL
ERROR=$?
;;
修改爲:
stop|graceful)
$HTTPD -k $ARGV
ERROR=$?
;;
restart )
killall -9 httpd
$HTTPD -k start -DSSL
;;
start |startssl|sslstart|start-SSL)
$HTTPD -k start -DSSL
ERROR=$?
;;
啓動的時候需要輸入 server.key 的密碼。可以通過服務器私鑰解密存儲,重啓也無需輸入密碼:
openssl rsa -in server.key -out my-server.key
chmod 400 server.key
ssl.conf 中的配置變更成:
SSLCertificateKeyFile /usr/local/apache2/conf/ssl.crt/my-server.key # 服務器證書解密私鑰路徑
本文來自CSDN博客,轉載請標明出處:http://blog.csdn.net/yuhaibao324/archive/2010/03/22/5405343.aspx