【转】装apache的时候如何集成modssl的问题

最新推荐文章于 2024-07-16 14:18:44 发布
最新推荐文章于 2024-07-16 14:18:44 发布
阅读量217 收藏
点赞数
分类专栏: Linux 文章标签: apache 服务器 ssl ie 工具 string

根据honestqiao的帖子和myhan的文章,集合了2种方法如下: 
(各位先别着急试1和2,这些指令未必都正确;先对照一下最后面的5备注,我在最后有说明) 

1.装apache的时候静态安装modssl 
  1.1     先静态安装openssl 
          ./config 
          make 
          make install 

  1.2     后装apache,静态安装modssl,其它都动态安装(据说modssl的动态做的还不太好,所以静态) 

         ./configure --prefix=/usr/local/apache2 --enable-so --enable-ssl=static --with-ssl=/usr/local/ssl --enable-mods-shared=all 
         make 
         make install 

2.装apache的时候动态安装modssl 
  2.1    先动态安装openssl 
         ./config 
         make 
         make build-shared 
         mv libssl.so* /usr/local/lib 
         mv libcrypto.so* /usr/local/lib 
         ldconfig 
   
   2.2   再安装apache,所有模块全动态 
         ./configure --prefix=/usr/local/apache2 --enable-ssl=shared --enable-mods-shared=all 
         make 
         make install 

3.       其它零零碎碎的东西 

      3.1   别忘了/usr/local/apache2/conf/ssl.conf的端口监听, 
只写个Listen 443可不行,443端口根本没在监听,https根本起不来。 
ip必须要填上,符合以下之一的情况 
                 Listen 0.0.0.0:443         本机所有ip(ipv4)的443端口 
                 Listen []:443            本机所有ip(ipv6)的443端口 
                 Listen xxx.xxx.xxx.xxx:443 本机ip(ipv4:xxx.xxx.xxx.xxx)的443端口 

还有本机ipv6的ip等等 
      3.2   ssl的证书必须制作,不制作,https起不来,modssl等于白给。 
(以下大段摘抄) 
对证书不熟悉的人,有一个工具可以使用:http://www.openssl.org/contrib/ssl.ca-0.1.tar.gz 
# cd /usr/local/apache2/conf 
# tar zxvf ssl.ca-0.1.tar.gz 
# cd ssl.ca-0.1 
# ./new-root-ca.sh                         (生成根证书) 
No Root CA key round. Generating one 
Generating RSA private key, 1024 bit long modulus 
...........................++++++ 
....++++++ 
e is 65537 (0x10001) 
Enter pass phrase for ca.key:              (输入一个密码) 
Verifying - Enter pass phrase for ca.key:  (再输入一次密码) 
...... 
Self-sign the root CA...                   (签署根证书) 
Enter pass phrase for ca.key:              (输入刚刚设置的密码) 
........ 
........                                   (下面开始签署) 
Country Name (2 letter code) [MY]:CN 
State or Province Name (full name) [Perak]:JiangSu 
Locality Name (eg, city) [Sitiawan]:NanJing 
Organization Name (eg, company) [My Directory Sdn Bhd]:Wiscom System Co.,Ltd 
Organizational Unit Name (eg, section) [Certification Services Division]:ACSTAR 
Common Name (eg, MD Root CA) []:WISCOM CA 
Email Address []:acmail@wiscom.com.cn 

这样就生成了ca.key和ca.crt两个文件,下面还要为我们的服务器生成一个证书: 
# ./new-server-cert.sh server              (这个证书的名字是server) 
...... 
...... 
Country Name (2 letter code) [MY]:CN 
State or Province Name (full name) [Perak]:JiangSu 
Locality Name (eg, city) [Sitiawan]:NanJing 
Organization Name (eg, company) [My Directory Sdn Bhd]:Wiscom System Co.,Ltd 
Organizational Unit Name (eg, section) [Secure Web Server]:ACSTAR 
Common Name (eg, www.domain.com) []:acmail.wiscom.com.cn 
这个服务器的Common Name可是很重要,填的不正确以后有点小麻烦 
你有真正的被承认的域名吗?有就填比如:www.SBdaxue.edu.cn 没有的话,就填ip地址就行了比如:202.202.202.202 

Email Address []:acmail@wiscom.com.cn 

这样就生成了server.csr和server.key这两个文件。 
还需要签署一下才能使用的: 
# ./sign-server-cert.sh server 
CA signing: server.csr ->; server.crt: 
Using configuration from ca.config 
Enter pass phrase for ./ca.key:             (输入上面设置的根证书密码) 
Check that the request matches the signature 
Signature ok 
The Subject's Distinguished Name is as follows 
countryName           :PRINTABLE:'CN' 
stateOrProvinceName   :PRINTABLE:'JiangSu' 
localityName          :PRINTABLE:'NanJing' 
organizationName      :PRINTABLE:'Wiscom System Co.,Ltd' 
organizationalUnitName:PRINTABLE:'ACSTAR' 
commonName            :PRINTABLE:'acmail.wiscom.com.cn' 
emailAddress          :IA5STRING:'acmail@wiscom.com.cn' 
Certificate is to be certified until Jul 16 12:55:34 2005 GMT (365 days) 
Sign the certificate? [y/n]:y 
1 out of 1 certificate requests certified, commit? [y/n]y 
Write out database with 1 new entries 
Data Base Updated 
CA verifying: server.crt <->; CA cert 
server.crt: OK 
 (如果这里出现错误,最好重新来过,删除ssl.ca-0.1这个目录,从解压缩处重新开始。) 

下面要按照ssl.conf里面的设置,将证书放在适当的位置。 
(别急ssl.conf的基本设置在后面贴,) 
# chmod 400 server.key 
# cd .. 
# mkdir ssl.key 
# mv ssl.ca-0.1/server.key ssl.key 
# mkdir ssl.crt 
# mv ssl.ca-0.1/server.crt ssl.crt 


      3.3   ssl.conf的设置 
          (注意: 以上方法好像只建立了CA根证书和服务器证书,并未建立客户端证书,因此不能进行客户端验证。客户端证书的制作应该包含在这个程序之中,大概是new-user-cert.sh和sign-user-cert.sh。也可以看看本区的其它精华,它们制作证书的方法有些不同) 

           SSLCertificateFile xxx/xxx.crt    (服务器证书的位置,就是公钥吧?后面是位置和名字)  
SSLCertificateKeyFile xxx/xxx.key (服务器私钥,后面是位置和名字)  
SSLCACertificateFile xxx/xxx.crt      (CA根证书,进行客户端验证时需要。也是一个CA公钥吧?后面是位置和名字)  

(我自己是把它们都放在apache的conf目录下了) 
  
DocumentRoot "/xxx/xx"                  (指向要ssl加密认证的文档目录,比如"/usr/local/apache/htdocs")  

SSLVerifyClient require               (去掉前面的‘#’号,进行客户端验证时需要)  
SSLVerifyDepth  1                     (去掉前面的‘#’号,把10改为1,进行客户端验证时需要) 

      3.2   运行apache 
            /usr/local/apache2/bin/apachectl startssl就运行了 
            /usr/local/apache2/bin/apachectl stop关闭 

4. 
     客户端上https的网站,以ie为例: 

客户端安装证书  


打开internet explorer(IE),工具-internet选项-内容-证书,点选'个人'  
再点击导入,把客户端证书xxx.pfx或xxx.p12导入到个人组里(别忘了扩展名是pfx)。  
这里还要输入刚才建立的输出密码hehe才能倒入呢。  

接着,点选'受信任的根证书颁发机构',点击导入,把CA根证书xxx.crt导入到受信任的根证书颁发机构里。  


#########################################################################  

好啦,重新启动apache,打开IE,  
在地址栏里输入服务器地址https://xx.xx.xx.xx或者域名,弹出个窗口要选择个人的数字证书。  
点选,然后确定。  
如果服务器证书的common name填写正确的话,你就可以直接进入网站了,看到右下角的小锁头(可靠的SSL128位)。  
如果服务器证书的common name填写不正确,就会弹出个‘安全警报’框,告诉你3条:  
     1.安全证书由信任的站点颁发  
(如果说是由不信任的站点颁发,那就是你的ca根证书ca.crt没有导入到ie的受信任的根证书颁发机构里)  

     2.安全证书的日期有效   
(这个日期缺省是10年,可以在openssl.cnf里调整修改,然后重新制作一整套证书)  

     3.“安全证书上的名称无效,或者与站点名称不匹配”  
这就是服务器证书的common name填写不正确所致,不过这也没关系,有人好像愿意这样。我是不想看到这个警告框,烦人。  

即使有安全警报,你仍能进入网站,看到右下角的小锁头(可靠的SSL128位)  


#################################  
最后,成功啦!用吧。 

5.备注: 
  5.1 apache进行configure的时候,有了--enable-mods-shared=all,就不需要--enable-so这项了。但还必须有--enable-ssl(=xxxx)!mods里缺省是不含ssl的。 
  5.2 如果静态安装modssl,那么--enable-ssl=static应该在--enable-mods-shared=all之前,否则可能出错(似乎我碰到过)。 
  5.3 如果动态安装modssl,(openssl必然也是动态安装)那么--with-ssl=/xxx/xxx/xxx这个参数就不需要了。因为动态openssl根本就没有安装目录,都成动态库了,程序会自动找到的。而--enable-ssl=shared还是需要的。 
   
   5.4  参数解释 
       ./configure --prefix=/aaa/bbb/ccc               定义安装目录  
       --enable-so                                 允许动态模块安装 
       --enable-ssl=static                           modssl静态安装  
       --with-ssl=/usr/local/ssl    安装modssl所需的openssl安装目录 
       --enable-mods-shared=all                    动态安装所有模块(modssl除外) 
       --enable-ssl=shared                           modssl动态安装 
       mv libssl.so* /usr/local/lib      把所有以libssl.so打头的文件移动到指定目录(照着做就是了)

galaft
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Apache,配置modSSL,使其支持https访问
jxfang的专栏
12-18 8473
1. 安Apache服务器,支持OpenSSL 在官网下载所需要的软件,网址:https://archive.apache.org/dist/httpd/binaries/win32/ 我的版本是httpd-2.2.25-win32-x86-openssl-0.9.8y.msi 直接解压安就可, 在一直点击next的过程中,会遇到需要填写Network Domain和Server
编译安Apache和单独编译mod_ssl.so模块
云原生,DevOps,Kubernetes
04-13 2796
yum install openssl openssl-devel ./configure --prefix=/opt/app/apache2.2.22.new --enable-so --enable-proxy --enable-proxy-connect --enable-proxy-ftp --enable-proxy-http --enable-proxy-scgi --enable-p...
解决apache ssl证书问题 "Enter pass phrase:"
LionBule
04-12 1621
[问题描述 ]       在apache配置数字证书的情况下,会出现如下状况: Some of your private key files are encrypted for security reasons. In order to read them you have to provide the pass phrases. Server xxx.com:443 (RSA) ...
CentOS下配置Apache HTTPS
weixin_30667301的博客
11-28 97
一、安Apache支持SSL/TLS yum install mod_ssl openssl 二、创建证书 证书(Cerificate)的基本作用是将一个公钥和安全个体(个人、公司、组织等)的名字绑定在一起。 一般情况下,制作证书要经过几个步骤,如上图所示。首先用openssl genrsa生成一个私钥,然后用openssl req生成一个签署请求,最后把请求交给CA,...
解决Enter passphrase for key
alexander_phper的博客
05-03 8596
两种解决方案: 1.提示“ Permissions 0644 for ‘~/.ssh/id_rsa.pub’ are too open” 解决方法:使用chmod 0600 ~/.ssh/id_rsa.pub更改将公钥权限改成“600” 2.提示“Enter passphrase for key ~/.ssh/id_rsa.pub”让输入私钥,可不论输与不输都不能直接登录 解决方法: ...
APACHE开启SSL服务
01-20
1、首先请确认您的Apache服务器已经安有加密模块,可以是OpenSSL,或是OpenSSL+ModSSL。 如果您的Apache web服务器在Unix或linux平台上,您可以通过以下网址获得OpenSSL: http://www.openssl.org/source/...
Apache Web服务器的完全安指南
01-10
所需软件 apache_1.3.20.tar.gz 主页: http://www.apache.org  mod_perl-1.26.tar.gz 主页: http://perl.apache.org  openssl-0.9.6b.tar.gz 主页: http://www.openssl.org  mod_ssl-2.8.4-1.3.20.tar.gz 主页: ...
APACHE开启SSL服务教程.docx
09-26
在开始之前,确保Apache服务器已经安了加密模块,如OpenSSL或OpenSSL+ModSSL。对于Unix或Linux系统,可以从OpenSSL官方网站下载源代码进行编译安。对于Windows平台,可以选择下载包含OpenSSLModSSL的预编译包...
[Git]Enter passphrase 密码不对的解决办法
...
04-28 1万+
如果之前的rsa密匙没有那么重要的话,就对那个密匙做一个备份 备份方法: 然后生成一个新的rsa密匙,存到git服务器上(比如github或者是gitlab之类的) 在重新创建ssh-key的时候,在输入了创建密匙指令之后,连续输入三次回车,可以避免对本机上的ssh-key进行加密 之后就不会再有报错的提示了 具体操作:如果是windows: 一 .设置git的user...
搞定:Enter passphrase for key提示
热门推荐
池塘
12-12 2万+
使用ssh-genkey生成公用key,但是自己使用时会多次提示,Enter passphrase for key,这儿给出如何解决。 在${HOME}/.bashrc中增加如下代码: alias auto_passphrase=auto_passphrase       SSH_ENV=~/.ssh/environment # start the ssh-agen
linux Apache设置https访问以及加载mod_ssl.so模块
偶尔一节
06-16 1万+
1.申请证书【阿里云免费证书】 1.1登陆阿里云进入控制台 1.2左侧选择安全 下拉框选择证书服务 1.3右上角选择购买证书 选择免费 然后立即购买-支付 1.4返回证书列表页面 选择补全-填写要配置的域名,设置域名验证类型,我选择文件【不同服务商的话更简单方便】 选择系统生成的csr最后提交 1.5稍等一段时间,下载验证文件上传到指定目录即可 1.6再过一段时间 即会审批证书
Apache下启用SSL,实现https访问。
weixin_33970449的博客
06-15 137
首先安SSL,再编译安Apache,再配置证书即可1.下载apache和opensslhttp://www.apache.orghttp://www.openssl.org2.解压#tar zxvf httpd-2.0.54.tar.gz#tar zxvf openssl-0.9.7g.tar.gz3.编译安openssl,这个软件主要是用来生成证书:#cd opens...
linux Apache设置https访问以及加载mod_ssl.so模块以及问题解决
丁丁丁梦涛的博客
11-08 1万+
开始之前的话: 1.配置好服务器防火墙的443端口规则; 2.增加阿里云服务器安全组的443端口规则。 1.申请证书【阿里云免费证书】 1.1登陆阿里云进入控制台 1.2左侧选择安全 下拉框选择证书服务 1.3右上角选择购买证书 选择免费 然后立即购买-支付 1.4返回证书列表页面 选择补全-填写要配置的域名,设置域名验证类
Apache访问机制配置
weixin_48579910的博客
07-14 975
通过掌握Apache的访问控制、认证授权、SSL/TLS配置和虚拟主机配置,可以灵活地管理和保护Web服务器上的资源。合理的配置有助于提高网站的安全性和可用性。
关于Apache Iceberg
最新发布
qq_36634055的博客
07-16 1286
Apache Iceberg就像是一座冰山下的宝藏,它让数据湖变得更智能、更高效、更易于管理,同时也让数据分析师和工程师能够更轻松地处理和分析大规模数据。拓展:表格式当我们说“表格式”(Table Format)的时候,我们指的是数据在存储系统中的一种结构化布局方式。在计算机科学和数据库领域,表格是存储数据的一种常见形式,它将数据组织成行和列的结构,每一行代表一条记录,每一列代表一种属性或字段。现在,用大白话来解释,“表格式”就像你在Excel电子表格软件中看到的那种数据布局。
apache Kylin系列介绍及配置
huanghm88的专栏
07-12 575
总的来说,Apache Kylin的架构包括用户界面层、查询引擎层、元数据层、查询优化器层、数据引擎层、查询计划层、查询执行层、数据加载层和元数据同步层。数据引擎层:负责数据的存储和计算,通常使用列式存储引擎(例如Apache Parquet)存储数据,并使用分布式计算框架(例如Apache Hadoop或者Apache Spark)来进行计算。配置Kylin:根据具体需求,修改Kylin的配置文件(如kylin.properties)来设置Kylin的运行参数,例如Hadoop集群的地址和端口等。
Linux中LVS群集应用基础—NAT模式—LVS+Apache+NFS
博客之路,前途漫漫
07-15 926
LVS(Linux Virtual Server)是一种高性能、高可用的服务器集群系统,它能够通过IP负载均衡技术实现网络服务的负载均衡。NAT模式是LVS中最常用的一种工作模式。在NAT模式下,LVS集群包含三种角色的节点:负载均衡器(Director Server):这是一台运行LVS软件的服务器,它接收来自客户端的请求,并根据调度算法将请求发至真实服务器(Real Server)。真实服务器(Real Server):这是一组提供实际服务的服务器,它们可以是Web服务器、数据库服务器等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值