windows安裝基於Apache的SVN服務器(包括SSL配置)[2007-8-19更新]
翻譯整理: PCplayer
關鍵詞:subversion 安裝 服務器 配置 apache ssl
最後更新:2007-8-19
版本:v1.0
修改歷史:
v0.1 2006-08-06
v0.2 2006-09-10 加入ssl的配置
v0.21 2006-09-13 修正2.3配置中一個錯誤(由blair1978 報告)
v0.23 2006-09-26 在附件1中添加兩個必要文件,不然無法創建SSL證書
修正一個創建證書的命令錯誤
v0.26 2006-10-16 更新mod_ssl_etc.rar(openssl必需軟件包)中的mod_ssl.so,由sunbeam在
http://bbs.iusesvn.com/thread-418-1-1.html提供
v1.0 2007-8-19 告知已支持Apache2.2.4
轉載請注意原文出處、版本、作者(譯者)http://bbs.iusesvn.com/thread-158-1-1.html
--------------------------------------------------------------------------------
1. 引言
2. 安裝過程
2.1. 安裝Apache
2.2. 安裝Subversion
2.3. 配置
2.4. 使用SSL來保護你的服務器
摘要
本文是TortoiseSVN1.3.5幫助中關於配置服務器一節的翻譯,根據行文需要做了一些調整與增減。英文原文參見TortoiseSVN1.3.5幫助的3.1. Apache Based Server。
要使用TortoiseSVN(或者其它的Subversion客戶端),你要有一個存放版本庫的地方。你可以將版本庫存放在本機,使用file://協議來訪問,也可以將它們放在一個服務器上,使用http://或svn://協議來訪問。兩種服務器協議(http://和svn://)也可以被加密成https://及svn+ssh://。下面將一步一步地爲你展示如何在windows上配置這樣一個服務器。
如果你沒有服務器或者你只想單獨地工作,那麼將版本庫存放在本機並使用file://協議來訪問是你最好的選擇,這樣的話,你可以略過本文。
注:目前windows下的subversion有專門的for apache2.2.x版本,可以跟Apache2.2.x配合,不過本文所帶的附件只在Apache2.0.x上測試過
1. 引言
在所有的Subversion服務器配置方式中,基於Apache的是最靈活的。雖然配置起來有一點點複雜,但是它提供了其它方式所沒有的好處:
2. 安裝過程
2.1. 安裝Apache
安裝Apache前,你要有一臺運行Windows2000、Windows XP + sp1或Windows2003的電腦。
警告:請注意,沒安裝Service Pack 1的Windows XP將導致錯誤的網絡數據從而破壞你的版本庫!
從http://httpd.apache.org/download.cgi 最新版本的Apache Web服務器。確保你下載的版本大於2.0.54。2.0.54版本的Apache將不能與Subversion 1.3.xx配合工作。而且,小於2.0.54的Apache也因爲在windows上的編譯存在一個bug而導致不能與subversion1.2配合使用。
一旦你已經有了Apache2的安裝程序,你可以雙擊它,它將引導你完成整個安裝過程。請確保你輸入正確的服務器URL(如果你的服務器沒有DNS名稱,你可以直接輸入IP地址)。我建議你將Apache安裝成 for all Users,on Port 80,as a service。注意:如果你已經有一個IIS或者其它的程序使用80端口,安裝可能會失敗。如果是這樣,你可以到程序目錄下的Apache Group/Apache2/conf目錄中找到文件httpd.conf,將其中的Listen 80改成一個不用的端口,比如Listen 81。然後重新運行這個安裝程序,這次應該不會再有問題了。
現在你可以在你的瀏覽器中鍵入 http://loccalhost/,如果呈現了一個已經配置好的網站,那麼你的Apache就安裝成功了。
警告:
如果你將Apache安裝成一個服務,它將以本地system帳戶來運行。爲Apache創建一個單獨的用戶來運行它將會更安全一些。
請確保運行Apache的用戶有版本庫的完全訪問權限(右鍵版本庫目錄->屬性->安全)。要不然,用戶將無法提交他們的更改。
就算Apache以本機system來運行,你也要設置它能完全讀寫版本庫目錄。
如果沒有爲Apache配置這個許可,用戶將會得到"禁止訪問"的錯誤信息,在Apache的錯誤日誌中表現爲錯誤500。
2.2. 安裝Subversion
從http://subversion.tigris.org/servlets/ProjectDocumentList?folderID=91 (英文)
或
http://bbs.iusesvn.com/forum-7-1.html(中文)下載最新版本的Subversion。
運行Subversion安裝程序,如果安裝程序能夠識別你已經安裝了Apache,那麼你的安裝基本上就OK了。如果它不能,那麼你要做一些額外的步驟。
注:如果你先安裝Apache,再安裝Subversion,正常情況下下面的工作(2.3配置前)Subversion安裝程序已經幫你完成了
使用資源管理器,進入Sibversion的安裝目錄(通常爲c:/program files/Subversion),找到文件httpd/mod_dav_svn.so和mod_authz_svn.so,將它們拷貝到Apache的modules目錄(通常爲c:/program files/apache group/apache2/modules)。
從Subversion的安裝目錄拷貝文件libdb43.dll到Apache的modules目錄。
使用如記事本之類的文本編輯器編輯Apache的配置文件(通常爲c:/program files/apache group/apache2/conf/httd.conf),修改以下內容:
去掉以下行的註釋(將開頭的#刪除):
現在,你已經安裝了Apache和Subversion,但是Apache還不知道如果處理像TortoiseSVN一樣的Subversion客戶端。要讓Apache知道哪個URL將被Subversion使用,你要像下面這樣編輯Apache的配置文件(通常在c:/program files/apache group/apache2/conf/httpd.conf):
在配置文件的最後添加下面這些行:
要創建passwd文件,可以打開命令行(DOS窗口),將當前目錄切換到apache2目錄(通常爲c:/program files/apache group/apache2),然後打入以下命令以創建文件:
將你的瀏覽器指向http://myserver/svn/MyNewRepository%28MyNewRepository是你之前創建的Subversion版本庫)。如果一切正常,你將被提示輸入用戶名密碼,輸入正確的用戶名密碼後你就可以看到版本庫中的內容了。
對你剛剛輸入的apache配置作一些簡短的說明:
----------------------------------------
上面的配置僅僅是一個簡單的示例。你還可以對Apache進行許許多多的配置。
1如果你想讓所有用戶對版本庫都有讀的權限而只有特定的用戶纔有寫的權限,你可以將這行
以上的工作已經可以讓你的svn服務器正常工作了。
如果你要更安全一些,可以配置ssl來保護你的服務器。
因爲美國出口限制,默認安裝的Apache服務器不支持SSL。但是你自己可以很容易地在其它地方下載到所需要的模塊,然後安裝它。
首先你需要SSL的必需文件。你可以http://hunter.campbus.com/ 或這裏找到相應的軟件包(或者下載本主題的附件1: mod_ssl_etc.rar (595.45 KB) )。然後只要將包解開將其中的mod_ssl.so拷到Apache的modules目錄、openssl.exe、libeay32.dll、ssleay32.dll拷到bin目錄、conf/ssl.conf拷到conf目錄。
在Apache的conf目錄中用文本編輯器打開ssl.conf。
將下面這些行用#註釋掉:
下面你要創建一個SSL證書。你可以打開一個命令行窗口,然後cd到Apache安裝目錄(比如C:/program files/apache group/apache2),敲入以下命令:
下一步,敲入以下命令:
(比如C:/program files/apache group/apache2/conf/ssl),如果目錄ssl不存在,你必須先創建一個。
重啓Apache服務。
現在可以用類似這樣的url來訪問你的版本庫了https://servername/svn/project
關鍵詞:subversion 安裝 服務器 配置 apache ssl
最後更新:2007-8-19
版本:v1.0
修改歷史:
v0.1 2006-08-06
v0.2 2006-09-10 加入ssl的配置
v0.21 2006-09-13 修正2.3配置中一個錯誤(由blair1978 報告)
v0.23 2006-09-26 在附件1中添加兩個必要文件,不然無法創建SSL證書
修正一個創建證書的命令錯誤
v0.26 2006-10-16 更新mod_ssl_etc.rar(openssl必需軟件包)中的mod_ssl.so,由sunbeam在
http://bbs.iusesvn.com/thread-418-1-1.html提供
v1.0 2007-8-19 告知已支持Apache2.2.4
轉載請注意原文出處、版本、作者(譯者)http://bbs.iusesvn.com/thread-158-1-1.html
--------------------------------------------------------------------------------
1. 引言
2. 安裝過程
2.1. 安裝Apache
2.2. 安裝Subversion
2.3. 配置
2.4. 使用SSL來保護你的服務器
摘要
本文是TortoiseSVN1.3.5幫助中關於配置服務器一節的翻譯,根據行文需要做了一些調整與增減。英文原文參見TortoiseSVN1.3.5幫助的3.1. Apache Based Server。
要使用TortoiseSVN(或者其它的Subversion客戶端),你要有一個存放版本庫的地方。你可以將版本庫存放在本機,使用file://協議來訪問,也可以將它們放在一個服務器上,使用http://或svn://協議來訪問。兩種服務器協議(http://和svn://)也可以被加密成https://及svn+ssh://。下面將一步一步地爲你展示如何在windows上配置這樣一個服務器。
如果你沒有服務器或者你只想單獨地工作,那麼將版本庫存放在本機並使用file://協議來訪問是你最好的選擇,這樣的話,你可以略過本文。
注:目前windows下的subversion有專門的for apache2.2.x版本,可以跟Apache2.2.x配合,不過本文所帶的附件只在Apache2.0.x上測試過
1. 引言
在所有的Subversion服務器配置方式中,基於Apache的是最靈活的。雖然配置起來有一點點複雜,但是它提供了其它方式所沒有的好處:
引用:
WebDAV
基於Apache配置的Subversion服務器使用了被許多其它程序支持的WebDAV協議。舉個例子,你可以在Windows的資源管理器中將這樣的一個版本庫掛載成一個“Webfolder”,然後像文件系統中的其它文件夾一樣訪問它。
瀏覽版本庫
你可以在不安裝Subversion客戶端的情況下,使用瀏覽器來瀏覽版本庫中的內容。這將使得更大範圍的用戶可以訪問你的數據。
用戶驗證
你可以使用任何Apache支持的驗證機制,包括SSPI和LDAP。
安全
Apache是非常的穩定和安全,因此你的版本庫自然而然地擁有同樣的安全性。包括SSL加密。
2.1. 安裝Apache
安裝Apache前,你要有一臺運行Windows2000、Windows XP + sp1或Windows2003的電腦。
警告:請注意,沒安裝Service Pack 1的Windows XP將導致錯誤的網絡數據從而破壞你的版本庫!
從http://httpd.apache.org/download.cgi 最新版本的Apache Web服務器。確保你下載的版本大於2.0.54。2.0.54版本的Apache將不能與Subversion 1.3.xx配合工作。而且,小於2.0.54的Apache也因爲在windows上的編譯存在一個bug而導致不能與subversion1.2配合使用。
一旦你已經有了Apache2的安裝程序,你可以雙擊它,它將引導你完成整個安裝過程。請確保你輸入正確的服務器URL(如果你的服務器沒有DNS名稱,你可以直接輸入IP地址)。我建議你將Apache安裝成 for all Users,on Port 80,as a service。注意:如果你已經有一個IIS或者其它的程序使用80端口,安裝可能會失敗。如果是這樣,你可以到程序目錄下的Apache Group/Apache2/conf目錄中找到文件httpd.conf,將其中的Listen 80改成一個不用的端口,比如Listen 81。然後重新運行這個安裝程序,這次應該不會再有問題了。
現在你可以在你的瀏覽器中鍵入 http://loccalhost/,如果呈現了一個已經配置好的網站,那麼你的Apache就安裝成功了。
警告:
如果你將Apache安裝成一個服務,它將以本地system帳戶來運行。爲Apache創建一個單獨的用戶來運行它將會更安全一些。
請確保運行Apache的用戶有版本庫的完全訪問權限(右鍵版本庫目錄->屬性->安全)。要不然,用戶將無法提交他們的更改。
就算Apache以本機system來運行,你也要設置它能完全讀寫版本庫目錄。
如果沒有爲Apache配置這個許可,用戶將會得到"禁止訪問"的錯誤信息,在Apache的錯誤日誌中表現爲錯誤500。
2.2. 安裝Subversion
從http://subversion.tigris.org/servlets/ProjectDocumentList?folderID=91 (英文)
或
http://bbs.iusesvn.com/forum-7-1.html(中文)下載最新版本的Subversion。
運行Subversion安裝程序,如果安裝程序能夠識別你已經安裝了Apache,那麼你的安裝基本上就OK了。如果它不能,那麼你要做一些額外的步驟。
注:如果你先安裝Apache,再安裝Subversion,正常情況下下面的工作(2.3配置前)Subversion安裝程序已經幫你完成了
使用資源管理器,進入Sibversion的安裝目錄(通常爲c:/program files/Subversion),找到文件httpd/mod_dav_svn.so和mod_authz_svn.so,將它們拷貝到Apache的modules目錄(通常爲c:/program files/apache group/apache2/modules)。
從Subversion的安裝目錄拷貝文件libdb43.dll到Apache的modules目錄。
使用如記事本之類的文本編輯器編輯Apache的配置文件(通常爲c:/program files/apache group/apache2/conf/httd.conf),修改以下內容:
去掉以下行的註釋(將開頭的#刪除):
複製內容到剪貼板
在LoadModule節的最後添加以下兩行:
代碼:
#LoadModule dav_fs_module modules/mod_dav_fs.so
#LoadModule dav_module modules/mod_dav.so複製內容到剪貼板
2.3. 配置代碼:
LoadModule dav_svn_module modules/mod_dav_svn.so
LoadModule authz_svn_module modules/mod_authz_svn.so現在,你已經安裝了Apache和Subversion,但是Apache還不知道如果處理像TortoiseSVN一樣的Subversion客戶端。要讓Apache知道哪個URL將被Subversion使用,你要像下面這樣編輯Apache的配置文件(通常在c:/program files/apache group/apache2/conf/httpd.conf):
在配置文件的最後添加下面這些行:
複製內容到剪貼板
這樣配置表示:你所有的版本庫將位於D:/SVN目錄下,要訪問你的版本庫可以使用這樣的URL:http://MyServer/svn/,訪問權限將由passwd文件中的用戶名/密碼來限制。代碼:
<Location /svn>
DAV svn
SVNParentPath D:/SVN
AuthType Basic
AuthName "Subversion repositories"
AuthUserFile D:/passwd
#AuthzSVNAccessFile D:/svnaccessfile
Require valid-user
</Location>要創建passwd文件,可以打開命令行(DOS窗口),將當前目錄切換到apache2目錄(通常爲c:/program files/apache group/apache2),然後打入以下命令以創建文件:
複製內容到剪貼板
此命令執行bin目錄下的htpasswd.exe來創建一個密碼文件,重啓Apache服務。代碼:
bin/htpasswd -c passwd <username>將你的瀏覽器指向http://myserver/svn/MyNewRepository%28MyNewRepository是你之前創建的Subversion版本庫)。如果一切正常,你將被提示輸入用戶名密碼,輸入正確的用戶名密碼後你就可以看到版本庫中的內容了。
對你剛剛輸入的apache配置作一些簡短的說明:
引用:
<Location /svn>
意味着可以通過像這樣的URL(http://myserver/svn%29來訪問Subversion版本庫
DAV svn
告訴Apache哪個模塊負責服務像那樣的URL--在這裏就是Subversion模塊
SVNListParentPath on
在Subversion 1.3及更高版本中,這個指示器使得Subversion列出由SVNParentPath指定的目錄下所有的版本庫
SVNParentPath D:/SVN
告訴Subversion在目錄D:/SVN下尋找版本庫
AuthType Basic
啓用基本的驗證,比如用戶名/密碼對
AuthName "Subversion repositories"
當一個驗證對話框彈出時,告訴用戶這個驗證是用來做什麼的
AuthUserFile D:/passwd
指定D:/passwd用爲密碼文件用來驗證用戶的用戶名及密碼
AuthzSVNAccessFile D:/svnaccessfile
指定D:/svnaccessfile來限定各個用戶或組在版本庫中目錄的訪問權限
Require valid-user
限定用戶只有輸入正確的用戶名及密碼後才能訪問這個路徑
上面的配置僅僅是一個簡單的示例。你還可以對Apache進行許許多多的配置。
1如果你想讓所有用戶對版本庫都有讀的權限而只有特定的用戶纔有寫的權限,你可以將這行
複製內容到剪貼板
改爲
代碼:
Require valid-user複製內容到剪貼板
2上面的配置使用了passwd文件將你所有的版本庫作爲一個單元來限定訪問權限。如果你想獲得更多的控制,如限定某個用戶可以訪問版本庫中的哪個目錄,可以把下面這行的#去掉:
代碼:
<LimitExcept GET PROPFIND OPTIONS REPORT>
Require valid-user
</LimitExcept>複製內容到剪貼板
然後用文本編輯器創建一個Subversion授權文件。Apache將確保只有有效的用戶可以訪問你的/svn位置,然後將用戶名傳到AuthzSVNAccessFile模塊,這樣可以依據Subversion授權文件得到更精細的權限控制。注意,路徑將被指定爲[庫:路徑]或者簡單的[路徑]。如果你不明確指定一個庫,訪問規則將應用到由SVNParentPath指定的目錄下所有的版本庫中。一個授權文件例子可能像這樣:
代碼:
#AuthzSVNAccessFile D:/svnaccessfile複製內容到剪貼板
2.4. 使用SSL來保護你的服務器代碼:
[groups]
admin = john, kate
devteam1 = john, rachel, sally
devteam2 = kate, peter, mark
docs = bob, jane, mike
training = zak
# 爲所有庫指定默認訪問規則
# 所有人可以讀,管理員可以寫,危險分子沒有任何權限
[/]
* = r
@admin = rw
dangerman =
# 允許開發人員可以完全訪問他們的項目版本庫
[proj1:/]
@devteam1 = rw
[proj2:/]
@devteam2 = rw
[bigproj:/]
@devteam1 = rw
@devteam2 = rw
trevor = rw
# 文檔編寫人員對所有的docs目錄有寫權限
[/trunk/doc]
@docs = rw
# 培訓人員可以完全訪問培訓版本庫
[TrainingRepos:/]
@training = rw以上的工作已經可以讓你的svn服務器正常工作了。
如果你要更安全一些,可以配置ssl來保護你的服務器。
因爲美國出口限制,默認安裝的Apache服務器不支持SSL。但是你自己可以很容易地在其它地方下載到所需要的模塊,然後安裝它。
首先你需要SSL的必需文件。你可以http://hunter.campbus.com/ 或這裏找到相應的軟件包(或者下載本主題的附件1: mod_ssl_etc.rar (595.45 KB) )。然後只要將包解開將其中的mod_ssl.so拷到Apache的modules目錄、openssl.exe、libeay32.dll、ssleay32.dll拷到bin目錄、conf/ssl.conf拷到conf目錄。
在Apache的conf目錄中用文本編輯器打開ssl.conf。
將下面這些行用#註釋掉:
複製內容到剪貼板
修改
代碼:
DocumentRoot "c:/apache/htdocs"
ServerName [url]www.example.com:443[/url]
ServerAdmin [email][email protected][/email]
ErrorLog logs/error_log
TransferLog logs/access_log複製內容到剪貼板
爲
代碼:
SSLCertificateFile conf/ssl.crt/server.crt複製內容到剪貼板
修改
代碼:
SSLCertificateFile conf/ssl/my-server.cert複製內容到剪貼板
爲
代碼:
SSLCertificateKeyFile conf/ssl.key/server.key複製內容到剪貼板
修改
代碼:
SSLCertificateKeyFile conf/ssl/my-server.key複製內容到剪貼板
爲
代碼:
SSLMutex file:logs/ssl_mutex複製內容到剪貼板
刪除以下兩行(如果有):
代碼:
SSLMutex default複製內容到剪貼板
打開Apache配置文件(httpd.conf),去掉這行的註釋
代碼:
<IfDefine SSL>
</IfDefine>複製內容到剪貼板
Openssl需要一個配置文件。你可以從這裏下載一個可工作的版本http://tud.at/programm/openssl.cnf (或者本主題附件2: openssl.cnf.rar (1.21 KB)
)。將它保存到bin/openssl.cnf。代碼:
#LoadModule ssl_module modules/mod_ssl.so下面你要創建一個SSL證書。你可以打開一個命令行窗口,然後cd到Apache安裝目錄(比如C:/program files/apache group/apache2),敲入以下命令:
複製內容到剪貼板
你將被問及一句口令短語。請注意,不要使用簡單的幾個詞,而應該輸入一整個句子,比如一篇詩詞的一部份,越長越好。同樣,你還要輸入你的服務器URL。然後其它的問題都是可選問答的,不過我建議你也將它們填充。代碼:
bin/openssl req -config bin/openssl.cnf -new -out my-server.csr下一步,敲入以下命令:
複製內容到剪貼板
以及(注意,只有一行)
代碼:
bin/openssl rsa -in privkey.pem -out my-server.key複製內容到剪貼板
這樣將創建一個4000天后才過期的證書。最後敲入:
代碼:
bin/openssl x509 -in my-server.csr -out my-server.cert -req -signkey my-server.key -days 4000複製內容到剪貼板
這些命令在Apache目錄下創建了一些文件(my-server.der.crt, my-server.csr, my-server.key, .rnd, privkey.pem, my-server.cert)。將這些文件拷貝到目錄conf/ssl代碼:
bin/openssl x509 -in my-server.cert -out my-server.der.crt -outform DER(比如C:/program files/apache group/apache2/conf/ssl),如果目錄ssl不存在,你必須先創建一個。
重啓Apache服務。
現在可以用類似這樣的url來訪問你的版本庫了https://servername/svn/project
引用:
強制通過SSL來訪問
當你配置了SSL來提高版本庫安全時,你可能想禁用無SSL的http訪問方式,而只允許通過https訪問。要達到這種效果,你要在<Location>塊加入另外一個指示器SSLRequireSSL。
一個示例<Location>塊可能像這樣:
<Location /svn>
DAV svn
SVNParentPath D:/SVN
SSLRequireSSL
AuthType Basic
AuthName "Subversion repositories"
AuthUserFile passwd
#AuthzSVNAccessFile svnaccessfile
Require valid-user
</Location>