怎样在Apache上安装MOD_SSL

2024-08-27 18:28:42

字体：大中小

来源：转载

供稿：网友

作者:sustomer

手工签署证书的方法

虽然在安装mod_ssl时已经使用 make certificate 命令建立了服务器
的证书签名，但是有时你可能需要改变它。

当然有很多自动的脚本可以实现它，但是最可靠的方法是手工签署
证书。

首先我假定你已经安装好了openssl和mod_ssl，如果你的openssl安装时
的prefix设置为/usr/local/openssl，那么把/usr/local/openssl/bin加入
执行文件查找路径。还需要mod_ssl源代码中的一个脚本，它在mod_ssl的
源代码目录树下的pkg.contrib目录中，文件名为 sign.sh。
将它拷贝到 /usr/local/openssl/bin 中。

先建立一个 ca 的证书，
首先为 ca 创建一个 rsa 私用密钥，
[s-1]
openssl genrsa -des3 -out ca.key 1024
系统提示输入 pem pass phrase，也就是密码，输入后牢记它。
生成 ca.key 文件，将文件属性改为400，并放在安全的地方。
[s-2]
chmod 400 ca.key
你可以用下列命令查看它的内容，
[s-3]
openssl rsa -noout -text -in ca.key

利用 ca 的 rsa 密钥创建一个自签署的 ca 证书（x.509结构）
[s-4]
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
然后需要输入下列信息：
country name: cn 两个字母的国家代号
state or province name: an hui 省份名称
locality name: bengbu 城市名称
organization name: family network 公司名称
organizational unit name: home 部门名称
common name: chen yang 你的姓名
email address: [email protected] email地址
生成 ca.crt 文件，将文件属性改为400，并放在安全的地方。
[s-5]
chmod 400 ca.crt
你可以用下列命令查看它的内容，
[s-6]
openssl x509 -noout -text -in ca.crt

下面要创建服务器证书签署请求，
首先为你的 apache 创建一个 rsa 私用密钥：
[s-7]
openssl genrsa -des3 -out server.key 1024
这里也要设定pass phrase。
生成 server.key 文件，将文件属性改为400，并放在安全的地方。
[s-8]
chmod 400 server.key
你可以用下列命令查看它的内容，
[s-9]
openssl rsa -noout -text -in server.key

用 server.key 生成证书签署请求 csr.
[s-10]
openssl req -new -key server.key -out server.csr
这里也要输入一些信息，和[s-4]中的内容类似。
至于 'extra' attributes 不用输入。

你可以查看 csr 的细节
[s-11]
openssl req -noout -text -in server.csr

下面可以签署证书了，需要用到脚本 sign.sh
[s-12]
sign.sh server.csr
就可以得到server.crt。
将文件属性改为400，并放在安全的地方。
[s-13]
chmod 400 server.crt

删除csr
[s-14]
rm server.csr

最后apache设置
如果你的apache编译参数prefix为/usr/local/apache，
那么拷贝server.crt 和 server.key 到 /usr/local/apache/conf
修改httpd.conf
将下面的参数改为：
sslcertificatefile /usr/local/apache/conf/server.crt
sslcertificatekeyfile /usr/local/apache/conf/server.key

可以 apachectl startssl 试一下了。

上一篇：Apache服务器高级设置指南(一)

下一篇：Apache服务器配置全攻略（八）