openssl自建证书SSL+apache

最新推荐文章于 2023-10-19 16:02:31 发布
最新推荐文章于 2023-10-19 16:02:31 发布
阅读量451 收藏
点赞数
分类专栏: SSL 文章标签: ssl 服务器 apache http服务器 server j2se
本文章在LINUX9+apache2.0.52,tomcat5.5.6,j2se1.5,openssl0.97上实验通证
本文的目的是为了交流,如有出错的地方,请指教
转载请注明出处,并保持文章的完整性
现在开始安装
首先在安装之前要明白一些基本概念
1、SSL所使用的证书可以是自己建的生成的,也可以通过一个商业性CA如Verisign 或 Thawte签署证书。
2、证书的概念:首先要有一个根证书,然后用根证书来签发服务器证书和客户证书,一般理解:服务器证书和客户证书是平级关系。在SSL必须安装根证书和服务器证书来认证。
因此:在此环境中,至少必须有三个证书:即根证书,服务器证书,客户端证书
在生成证书之前,一般会有一个私钥,同时用私钥生成证书请求,再利用证书服务器的根证来签发证书。
3、签发证书的问题:我最近找了很多关于openssl的资料,基本上只生成了根证书和私钥及服务器证书请求,并没有真正的实现签证。我这里参考了一些资料,用openssl自带的一个CA.sh来签证书,而不是用MOD_ssl里的sign.sh来签。
用openssl语法来生成证书,有很多条件限定,如目录,key的位置等,比较麻烦,我实验了好几天,最后放弃了。有兴趣的可以参考一下openssl手册。
步骤一:安装openssl和apache
1、到www.openssl.org下载openssl-0.9.7e.tar.gz(目前最新版)
2、卸载掉老的opensll库 
#rpm –e –-nodeps openssl
复制代码
3、解压:
#tar xzvf openssl-0.9.7e.tar.gz
复制代码
4、进入openssl目录,并安装,用--prefix指定openssl安装目录
#cd openssl-0.9.7e
#./config --prefix=/usr/local/openssl
#make
#make test
#make install
复制代码
5、安装apache
至www.apache.org/dist下载apache最新版httpd-2.0.52.tar.gz
解压后进入apache目录,根据需要安装需要的模块,我这里装了ssl,rewrite,动态模式安装
#tar zxvf httpd-2.0.52.tar.gz
#cd httpd-2.0.52
#./configure  --prefix=PREFIX   --enable-ssl   --enable-rewrite  --enable-so   --with-ssl=/usr/local/openssl
#make
#make install
复制代码
步骤二:签证
安装openssl后,在openssl下有一个CA.sh文件,就是利用此文件来签证,
来签三张证书,然后利用这三张证书来布SSL服务器。
1、在/usr/local/apache/conf下,建立一个ssl.crt目录,将CA.sh文件copy至/usr/local/apache/conf/ssl.crt/目录
[root@win ssl]# cp /usr/local/openssl/ssl/misc/CA.sh /usr/local/apache/conf/ssl.crt/CA.sh
复制代码
2、运行CA.sh -newca,他会找你要CA需要的一个CA自己的私有密钥密码文件。如果没有这个文件?按回车会自动创建,输入密码来保护这个密码文件。之后会要你的一个公司信息来做CA.crt文件。最后在当前目录下多了一个./demoCA这样的目录../demoCA/private/cakey.pem就是CA的key文件啦,./demoCA/cacert.pem就是CA的crt文件了
[root@win ssl.crt]# ./CA.sh -newca
复制代码
要求输入如下信息:
QUOTE:
Country Name (2 letter code) [GB]:CN
State or Province Name (full name) [Berkshire]:FUJIAN
Locality Name (eg, city) [Newbury]:FUZHOU
Organization Name (eg, company) [My Company Ltd]:FJJM
Organizational Unit Name (eg, section) []:FD
Common Name (eg, your name or your server's hostname) []:WIN
Email Address []:WIN@WIN.COM
这样就建好了一个CA服务器,有了一个根证书的私钥cakey.pem及一张根证书cacert.pem,现在就可以cacert.pem来给签证了
3、签署服务器证书
生成服务器私钥:
[root@win ssl.crt]# openssl genrsa -des3 -out server.key 1024
复制代码
生成服务器证书请求
[root@win ssl.crt]# openssl req -new -key server.key -out server.csr
复制代码
会要求输入信息
Country Name (2 letter code) [GB]:CN
State or Province Name (full name) [Berkshire]:FUJIAN
Locality Name (eg, city) [Newbury]:FUZHOU
Organization Name (eg, company) [My Company Ltd]:FJJM
Organizational Unit Name (eg, section) []:FD
Common Name (eg, your name or your server's hostname) []:WIN
Email Address []:WIN@WIN.COM
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:WIN
An optional company name []:WING
复制代码
最后把server.crt文件mv成newreq.pem,然后用CA.sh来签证就可以了
[root@win ssl.crt]# mv server.csr newreq.pem
[root@win ssl.crt]# ./CA.sh -sign
复制代码
这样就生成了server的证书newcert.pem
把newcert.pem改名成server.crt
[root@win ssl.crt]# mv newcert.pem server.crt
复制代码
4、处理客户端:
生成客户私钥:
[root@win ssl.crt]# openssl genrsa -des3 -out client.key 1024
复制代码
请求
[root@win ssl.crt]# openssl req -new -key client.key -out client.csr
复制代码
签证:
[root@win ssl.crt]# openssl ca -in client.csr -out client.crt
复制代码
把证书格式转换成pkcs12格式
[root@win ssl.crt]# openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx
复制代码
5、这时就有了三张证书和三个私钥,一个是demoCA下的根证书,ssl.crt下的服务器证书和客户证书。及demoCA/private下的根key,ssl.crt下的服务器key和客户key,在conf下的ssl.conf下指定证书的位置和服务器key的位置.
我是在conf下建立一个ssl.crt目录,并将所有的key和证书放到这里
#cp demoCA/cacert.pem cacert.pem
复制代码
同时复制一份证书,更名为ca.crt
#cp cacert.pem ca.crt
复制代码
步骤三、编辑ssl.conf
#cd /usr/local/apache/conf
复制代码
编辑ssl.conf
指定服务器证书位置
SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
指定服务器证书key位置
SSLCertificateKeyFile /usr/local/apache/conf/ssl.crt/server.key
证书目录
SSLCACertificatePath /usr/local/apache/conf/ssl.crt
根证书位置
SSLCACertificateFile /usr/local/apache/conf/ssl.crt/cacert.pem
开启客户端SSL请求
SSLVerifyClient require
SSLVerifyDepth  1
复制代码
启动ssl
/usr/local/apache/bin/apachectl startssl
复制代码
会要求输入server.key的密码
启动,这样一个默认的SSL服务器及http服务器就启动了,
步骤四、安装和使用证书
把刚才生成的证书:根证书ca.crt和客户证书client.pfx下到客户端,并安装,
ca.crt安装到信任的机构,client.pfx直接在windows安装或安装到个人证书位置,然后用IP访问HTTP和https服务器。
青色树林
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache OpenSSL生成证书使用
JY_He的博客
07-11 1万+
最近在学习SSL协议,这次是基于Apache服务器自带的openssl来实现的 TLS:传输层安全协议 SSL:安全套接字层 KEY:私钥 CSR:证书签名请求,即公钥,生成证书时需要将此提交给证书机构,生成 X509 数字证书前,一般先由用户提交证书申请文件,然后由 CA 来签发证书 CRT:即证书,一般服务器证书server.crt和客户端证书client.crt都需要通过CA证书c
opensslapache制作ssl证书
老黄博客
02-16 246
这些天用apache common-httpclient写些通讯代码,要用到SSL,于是需要做apacheSSL证书,google和baidu了多篇文章,都不是很满意,不是年代久远,就是语焉不详,照着这些文章拍命令行,没有多少是顺利生成证书的,于是向同事jerry,在这位php兼linux highand的帮助下,解决了燃眉之急,这里记录一二。我用的apache版本是apache2.2.3 fo...
OpenSSL,Apache生成本地证书,网站证书(保姆级)
weixin_43369218的博客
07-14 688
需要工具:去对应官网下载 OpenSSLhttps://www.openssl.org/ Apachehttp://httpd.apache.org/ 首先在网上下载OpenSSL,和Apache(阿帕奇) 只开发本地证书只安装OpenSSL,就可以,想要通过本地根证书签发网站证书就需要Apache,安装位置可以默认,也可以自行确定位置,但是要记住安装路径。 D:\Apache24\conf在conf路径下建立一个新的文件夹CA (Apache安装路径下conf目录) 然...
linux系统openssl 实现ssl自签证书
12-02
Linux系统,如Ubuntu、CentOS、openEuler等,提供了强大的命令行工具openssl生成这样的自签证书。 首先,生成CA根证书是整个过程的基础。CA根证书是用于签署其他证书的可信源头。在Linux环境下,可以通过shell脚...
Apache+phpStudy配置SSL证书所有文件
06-09
而"Apache+phpStudy配置SSL证书源码,此为Apache目录"可能包含了Apache的配置文件示例,供用户参考。 总的来说,配置Apache与phpStudy的SSL证书涉及多个环节,需要正确处理证书文件,并在Apache配置中指定。了解...
apache+ssl安装
02-07
- 编译命令: `./configure --prefix=/apache/apache2441 --with-ssl=/apache/openssl101t --with-apr=/apache/apr --with-apr-util=/apache/apr-util --with-pcre=/apache/pcre --enable-ssl --enable-modules=all ...
Shell脚本实现生成SSL自签署证书
09-15
在IT行业中,SSL(Secure Sockets Layer)自签署证书是一种常用的加密通信手段,尤其是在本地测试或小型内部网络环境中。SSL证书用于验证服务器的身份,并确保数据传输的安全性。当使用Apache等Web服务器时,通常...
apache https-生成证书
12-05
apache https-生成证书 按操作步骤即可生成可用加密证书
openSSL制作证书并在tomcat上配置
05-21
自己学习openSSL的一些总结,很初步,希望能够帮助到跟我一样刚刚开始接触openSSL的朋友,很浅显,我也是初学者,希望大家不要见笑。
Tomcat配置使用SSL双向认证(使用openssl生成证书
STK_tianwen的专栏
04-02 9830
Tomcat配置使用SSL双向认证(使用openssl生成证书
tomcat部署https,用openssl签发证书
龙龟的文具盒
05-26 5403
常见后缀cer,crt证书(不支持私钥) 一般是签署后CA颁发的证书,实质是CA用私钥在申请者的公钥上签名 —–BEGIN CERTIFICATE—–csr:(Certificate Signing Request) 申请签名证书请求 –-BEGIN NEW CERTIFICATE REQUEST–pfx,p12:(Personal Information Exchange) 存储证书和私
window环境下利用OpenSSL给tomcat配置证书
intellig_id的博客
08-02 1114
windo环境下利用OpenSSL给tomcat配置证书 自己在配置证书时走了很多弯路,加之全网并没有一个有效的解决方法顾写下此文 不多废话 首先进入OpenSSL在bin下建立一个CA文件夹用于存放:自制CA证书,自制客户端、服务端证书 进入CA文件夹打开cmd 为服务器端和客户端准备公钥、私钥: 生成服务端私钥 openssl genrsa -out server.key 1024 接着生成服务器端公钥: openssl rsa -in server.key -pubout -out ser
openssl命令生成公私钥、证书方法,apache/tomcat支持https的证书配置
热门推荐
caomiao2006的专栏
07-10 1万+
生成keystore文件: keytool -genkey -alias tomcat -keyalg RSA  -keystore  H:/tomcat.keystore -validity 36500 从keystore的privatekeyEntry导出csr: keytool -certreq -alias tomcat -sigalg MD5withRSA -file to
mini_httpd 嵌入式的移植过程
伟大航道One
08-26 4271
1 mini_httpd 简介 mini_httpd是常用的嵌入web服务器,可以支持http,https。我就是因为需要支持https,所以进行了移植。 2.安装编译 2.1.       首先在mini_httpd-1.19目录下查看README,但是没有编译的流程说明,不按套路出牌,有makefile,那就直 接make吧。 2.2.     make
openssl生成https证书及nginx https配置
爱兰河少
05-31 2381
一、nginx根目录下创建 cert 目录,用于存放https证书。二、openssl生成https证书证书。三、nginx配置https。
OpenSSL 生成签名证书
最新发布
weixin_51715424的博客
10-19 3563
Nginx
openssl req命令
来说意义非凡3
03-05 1717
openssl req可生成请求文件及证书文件等;req [options] <infile >outfile where options are -inform arg input format - DER or PEM -outform arg output format - DER or PEM -in arg input file -out a...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值