在Apache上安装MOD_SSL

转载 2006年05月29日 15:34:00

我也看过其它的文章介绍这个,不过说的很不清楚。看着他们的文章安装MOD_SSL磕磕碰碰地装好了SSL。这里我就介绍一下我的经验。 因为怎样安装Apache,PHP等软件,介绍的文章已经很多了,所以我把重点放在了SSL的安装上。

首先要下载所需的软件包:
Apache 1.3.17 这是什么我就不多说了
http://www.tux.org/pub/net/apache/dist/apache_1.3.17.tar.gz

PHP 4.0.4pl1 可选的,我只是要演示一下ssl和其他软件在一起的情况
http://www.php.net/do_download.php?download_file=php-4.0.4pl1.tar.gz&source_site=www.php.net

openssl 0.9.6 要用他来生成密钥和签署证书
http://www.openssl.org/source/openssl-0.9.6.tar.gz

mod_ssl 2.8.0 本文的重点
http://www.modssl.org/source/mod_ssl-2.8.0-1.3.17.tar.gz

所有这些都是Open Software。

我的系统是RedHat 6.2,所以我用 tar zxvf file.tar.gz 的方法把它们解压缩到 /usr/local/src 。

首先编译 PHP :

# cd /usr/local/src/apache_1.3.17
# ./configure --prefix=/usr/local/apache
# cd ../php-4.0.4pl1
# ./configure --with-apache=/usr/local/src/apache_1.3.17
--enable-safe-mode --enable-bcmath --enable-ftp
--with-gd --with-zlib --enable-trans-sid
--enable-calendar --enable-dbase --enable-exif
--with-mysql=/usr/local/mysql
# make
# make install
# cp php.ini-dist /usr/local/lib/php.ini
# vi /usr/local/lib/php.ini
编辑 php.ini,可以在里面加入一些配置信息(比如ZendOptimizer)

再编译 OpenSSL:

# cd ../openssl-0.9.6
# ./config --prefix=/usr/local/openssl
注意,这里是 config 而不是 configure。
# make
# make test
# make install


下面是 MOD_SSL

# cd ../mod_ssl-2.8.0-1.3.17
# ./configure --with-apache=../apache_1.3.17

好了,可以开始编译apache了(奇怪,mod_ssl怎么不要编译?)

# cd ../apache_1.3.17
# SSL_BASE=../openssl-0.9.6
./configure --prefix=/usr/local/apache
--enable-module=ssl
--activate-module=src/modules/php4/libphp4.a
--enable-module=php4
--enable-shared=ssl
# make

下一步很重要,看清楚了!

# make certificate TYPE=custom

这一步要生成你自己的 CA (如果你不知道,我也不能细说了,简单地 说就是认证中心),和用它来为你的服务器签署证书。 有很多东西要输入。

STEP 0: 选择算法,使用缺省的 RSA
STEP 1: 生成 ca.key,CA的私人密钥
STEP 2: 为CA生成X.509的认证请求 ca.csr 要输入一些信息:

Country Name: cn 国家代码,两个字母
State or Provice name: An Hui 省份
Locality Name: Bengbu 城市名
Organization Name: Home CA 组织名,随便写吧
Organization Unit Name: Mine CA
Common Name: Mine CA
Email Address: sunstorm@263.net 我的Email
Certificate Validity: 4096 四千多天,够了吧

STEP 3: 生成CA的签名,ca.crt
STEP 4: 生成服务器的私人密钥,server.key
STEP 5: 生成服务器的认证请求,server.csr 要输入一些信息,和STEP 2类似,
不过注意 Common Name是你的网站域名,如 www.mydomain.com Certificate Validity不要太大,365就可以了。
STEP 6: 为你的服务器签名,得到server.crt
STEP 7-8 :为你的 ca.key 和 server.key 加密,要记住pass phrase。

下面完成apache的安装

# make install
# vi /usr/local/apache/conf/httpd.conf

修改BindAddress 和 ServerName 加入关于PHP4的行 .如果要改变 DocumentRoot 要记得把httpd.conf里SSL Virtual Host Context部分的DocumentRoot设定也改掉。

SSLCertificateFile和SSLCertificatKeyFile的设定也在 SSL Virtual Host Context部分。 它可能是这样设定的:

SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key

要注意ssl.key ssl.crt等目录和文件的权限! 所有的key,csr,crt,prm文件都应该设为 400 属性!

最后测试:

# cd /usr/local/apache
# bin/apachectl startssl
提示输入pass phrase(就是你前面输入的,不知道你还记不记得)输入后就启动了一个支持SSL的apache

在Netscape里输入https://localhost/ 试试,注意是https而不是http!
Netscape会有一些提示,不管他一个劲地Next好了! 然后你应该可以看到页面,而且窗口左下角的锁是锁上的。 手工签署证书的方法

虽然在安装MOD_SSL时已经使用 make certificate 命令建立了服务器 的证书签名,但是有时你可能需要改变它。

当然有很多自动的脚本可以实现它,但是最可靠的方法是手工签署 证书。

首先我假定你已经安装好了openssl和MOD_SSL,如果你的openssl安装时 的prefix设置为/usr/local/openssl,那么把/usr/local/openssl/bin加入 执行文件查找路径。还需要MOD_SSL源代码中的一个脚本,它在MOD_SSL的 源代码目录树下的pkg.contrib目录中,文件名为 sign.sh。将它拷贝到 /usr/local/openssl/bin 中。

先建立一个 CA 的证书,首先为 CA 创建一个 RSA 私用密钥,

[S-1]
openssl genrsa -des3 -out ca.key 1024

系统提示输入 PEM pass phrase,也就是密码,输入后牢记它。生成 ca.key 文件,将文件属性改为400,并放在安全的地方。

[S-2]
chmod 400 ca.key

你可以用下列命令查看它的内容,

[S-3]
openssl rsa -noout -text -in ca.key

利用 CA 的 RSA 密钥创建一个自签署的 CA 证书(X.509结构)

[S-4]
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

然后需要输入下列信息:

Country Name: cn 两个字母的国家代号
State or Province Name: An Hui 省份名称
Locality Name: Bengbu 城市名称
Organization Name: Family Network 公司名称
Organizational Unit Name: Home 部门名称
Common Name: Chen Yang 你的姓名
Email Address: sunstorm@263.net Email地址
生成 ca.crt 文件,将文件属性改为400,并放在安全的地方。

[S-5]
chmod 400 ca.crt

你可以用下列命令查看它的内容,

[S-6]
openssl x509 -noout -text -in ca.crt

下面要创建服务器证书签署请求,
首先为你的 Apache 创建一个 RSA 私用密钥:

[S-7]
openssl genrsa -des3 -out server.key 1024
这里也要设定pass phrase。 生成 server.key 文件,将文件属性改为400,并放在安全的地方。

[S-8]
chmod 400 server.key 你可以用下列命令查看它的内容,

[S-9]
openssl rsa -noout -text -in server.key

用 server.key 生成证书签署请求 CSR.

[S-10]
openssl req -new -key server.key -out server.csr
这里也要输入一些信息,和[S-4]中的内容类似。 至于 'extra' attributes 不用输入。

你可以查看 CSR 的细节
[S-11]
openssl req -noout -text -in server.csr
下面可以签署证书了,需要用到脚本 sign.sh

[S-12]
sign.sh server.csr
就可以得到server.crt。 将文件属性改为400,并放在安全的地方。

[S-13]
chmod 400 server.crt

删除CSR
[S-14]
rm server.csr

最后apache设置

如果你的apache编译参数prefix为/usr/local/apache, 那么拷贝server.crt 和 server.key 到 /usr/local/apache/conf .修改httpd.conf 将下面的参数改为:

SSLCertificateFILE /usr/local/apache/conf/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/server.key

可以 apachectl startssl 试一下了。

相关文章推荐

openssl + apache + mod_ssl安装配置调试过程

主要介绍在linux下怎么搭建一个包含mod_ssl模块的apache服务器,并且如何根据不同的要求配置SSL 一 下载   1,从openssl.org下载openssl到/usr/local ...
  • ponymwt
  • ponymwt
  • 2012年06月26日 10:08
  • 495

在CentOS5.2+apache2.2下安装配置mod_ssl

转载地址:http://dadloveu.blog.51cto.com/715500/411134 网上找了一些,发现目前这个最简单最实用。 一、安装mod_ssl,openssl # yum ...

Apache-mod_ssl-PHP-Howto

  • 2007年10月11日 05:24
  • 385KB
  • 下载

记录一次给Apache服务器添加SSL(https)的过程,包括集成mod_jk与Tomcat使用https

都说现在的HTTPS更好,更安全,也给自己的网站添加了HTTPS.以此记录此过程. 访问http://andaily.com试试. -硬件环境 操作系统:   Ubuntu 12.04.1 LTS...

apache多SSL证书虚拟主机使用mod_jk方式代理tomcat

apache多SSL证书虚拟主机使用mod_jk方式代理tomcat

linux Apache设置https访问以及加载mod_ssl.so模块

1.申请证书【阿里云免费证书】 1.1登陆阿里云进入控制台 1.2左侧选择安全 下拉框选择证书服务 1.3右上角选择购买证书 选择免费 然后立即购买-支付 1.4返回证书列表页面 选择补全-填写要配...
  • slyjit
  • slyjit
  • 2017年06月16日 18:16
  • 1992

Apache2+mod_jk1.2+tomcat7 创建集群环境 (一) 软件安装

首先准备软件,列表如下:httpd-2.2.19.tar.bz2apache-tomcat-7.0.19.tar.gztomcat-connectors-1.2.32-src.tar.gz一. apa...

Windows 64bit下安装Apache+Python+mod_wsgi+php

apache httpd.conf只要引入php5module,并指定一下phpinidir就行了, php.ini中配置extension_dir最好是绝对路径...

Apache mod_cband 站点流量监控软件安装及配置

站点流量监控是虚拟主机运行维护中一个不可缺少的一项,mod_cband一个在apache2下使用的每用户、每虚拟主机、每客户端的带宽限制器,此软件被广泛使用现在我们就来学习mod_cband的完整安装...

mac安装apache的mod_wsgi模块错误总结以及hello world测试

mac系统版本为OS X EI Capitan 10.11.4 (其实系统已经安装好了管理员权限的apache,在/etc/apache2下,但是我们还是要安装用户权限的apache,方便更改文件不...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:在Apache上安装MOD_SSL
举报原因:
原因补充:

(最多只允许输入30个字)