(转载)用openssl为apache制作ssl证书

最新推荐文章于 2024-06-16 20:01:56 发布
最新推荐文章于 2024-06-16 20:01:56 发布
阅读量1.2k 收藏
点赞数
文章标签: apache 服务器 ssl windows database 脚本

因为要做个小诊所的财务管理,基于B/S的,所以想到了用ssl加强安全性。在网上找了这么些资料,贴在这里,已备查询。

一:

我用的apache版本是apache2.2.3 for windows,openssl使用的是0.9.8,这些软件可以google后下载,在windows平台或者linux平台都可以按以下命令生成证 书:

步骤1:生成密钥
命令:openssl genrsa 1024 > server.key
说明:这是用128位rsa算法生成密钥,得到server.key文件

步骤2: 生成证书请求
命令:openssl req -new -key server.key > server.csr
说明:这是用步骤1的密钥生成证书请求文件server.csr, 这一步提很多问题,一一输入

步骤2: 生成证书请求
命令:openssl req -x509 -days 365 -key server.key -in server.csr > server.crt
说明:这是用步骤1,2的的密钥和证书请求生成证书server.crt,-days参数指明证书有效期,单位为天

把得到的server.key和server.crt文件拷贝到apache的对应目录,具体就不做介绍了。

转自:老黄博客

 

二:

SSL自签署证书生成脚本

启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。

#!/bin/sh 

 
# ssl 证书输出的根目录。 
sslOutputRoot="/etc/apache_ssl" 
if [ $# -eq 1 ]; then 
    sslOutputRoot=$1 
fi 
if [ ! -d ${sslOutputRoot} ]; then 
    mkdir -p ${sslOutputRoot} 
fi 
 
cd ${sslOutputRoot} 
 
echo "开始创建CA根证书..." 

# 创建CA根证书,稍后用来签署用于服务器的证书。如果是通过商业性CA如 
# Verisign 或 Thawte 签署证书,则不需要自己来创建根证书,而是应该 
# 把后面生成的服务器 csr 文件内容贴入一个web表格,支付签署费用并 
# 等待签署的证书。关于商业性CA的更多信息请参见:  
# Verisign - http://digitalid.verisign.com/server/apacheNotice.htm  
# Thawte Consulting - http://www.thawte.com/certs/server/request.html  
# CertiSign Certificadora Digital Ltda. - http://www.certisign.com.br  
# IKS GmbH - http://www.iks-jena.de/produkte/ca /  
# Uptime Commerce Ltd. - http://www.uptimecommerce.com  
# BelSign NV/SA - http://www.belsign.be  
# 生成CA根证书私钥 
openssl genrsa -des3 -out ca.key 1024  
 
# 生成CA根证书 
# 根据提示填写各个字段, 但注意 Common Name 最好是有效根域名(如 zeali.net ), 
# 并且不能和后来服务器证书签署请求文件中填写的 Common Name 完全一样,否则会 
# 导致证书生成的时候出现  
# error 18 at 0 depth lookup:self signed certificate 错误 
openssl req -new -x509 -days 365 -key ca.key -out ca.crt  
echo "CA根证书创建完毕。" 
 
echo "开始生成服务器证书签署文件及私钥 ..." 

# 生成服务器私钥 
openssl genrsa -des3 -out server.key 1024  
# 生成服务器证书签署请求文件, Common Name 最好填写使用该证书的完整域名 
# (比如: security.zeali.net ) 
openssl req -new -key server.key -out server.csr   
ls -altrh  ${sslOutputRoot}/server.* 
echo "服务器证书签署文件及私钥生成完毕。" 
 
echo "开始使用CA根证书签署服务器证书签署文件 ..." 

# 签署服务器证书,生成server.crt文件 
# 参见 http://www.faqs.org/docs/securing/chap24sec195.html 
#  sign.sh START 

#  Sign a SSL Certificate Request (CSR) 
#  Copyright (c) 1998-1999 Ralf S. Engelschall, All Rights Reserved.  

 
CSR=server.csr 
 
case $CSR in 
*.csr ) CERT="`echo $CSR | sed -e 's//.csr/.crt/'`" ;; 
* ) CERT="$CSR.crt" ;; 
esac 
 
#   make sure environment exists 
if [ ! -d ca.db.certs ]; then 
    mkdir ca.db.certs 
fi 
if [ ! -f ca.db.serial ]; then 
    echo '01' >ca.db.serial 
fi 
if [ ! -f ca.db.index ]; then 
    cp /dev/null ca.db.index 
fi 
 
#   create an own SSLeay config 
# 如果需要修改证书的有效期限,请修改下面的 default_days 参数. 
# 当前设置为10年. 
cat >ca.config <<EOT 
[ ca ] 
default_ca  = CA_own 
[ CA_own ] 
dir = . 
certs   = ./certs 
new_certs_dir   = ./ca.db.certs 
database    = ./ca.db.index 
serial  = ./ca.db.serial 
RANDFILE    = ./ca.db.rand 
certificate = ./ca.crt 
private_key = ./ca.key 
default_days    = 3650 
default_crl_days    = 30 
default_md  = md5 
preserve    = no 
policy  = policy_anything 
[ policy_anything ] 
countryName = optional 
stateOrProvinceName = optional 
localityName    = optional 
organizationName    = optional 
organizationalUnitName  = optional 
commonName  = supplied 
emailAddress    = optional 
EOT 
 
#  sign the certificate 
echo "CA signing: $CSR -> $CERT:" 
openssl ca -config ca.config -out $CERT -infiles $CSR 
echo "CA verifying: $CERT <-> CA cert" 
openssl verify -CAfile ./certs/ca.crt $CERT 
 
#  cleanup after SSLeay  
rm -f ca.config 
rm -f ca.db.serial.old 
rm -f ca.db.index.old 
#  sign.sh END 
echo "使用CA根证书签署服务器证书签署文件完毕。" 
 
 
# 使用了 ssl 之后,每次启动 apache 都要求输入 server.key 的口令, 
# 你可以通过下面的方法去掉口令输入(如果不希望去掉请注释以下几行代码): 
echo "去除 apache 启动时必须手工输入密钥密码的限制:" 
cp -f server.key server.key.org 
openssl rsa -in server.key.org -out server.key 
echo "去除完毕。" 
 
 
# 修改 server.key 的权限,保证密钥安全 
chmod 400 server.key 
 
echo "Now u can configure apache ssl with following:" 
echo -e "/tSSLCertificateFile ${sslOutputRoot}/server.crt" 
echo -e "/tSSLCertificateKeyFile ${sslOutputRoot}/server.key" 
 
#  die gracefully 
exit 0 

两行脚印
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
opensslapache制作ssl证书
04-29
opensslapache制作ssl证书
Centos7安装给Apache服务安装配置SSL证书
01-07
在Centos7.6平台下使用opensslapache做自签名证书,并给apache设置HTTPS的SSL证书。(无坑版) 二、平台 [root@kahn.xiao ~]# uname -r 3.10.0-957.el7.x86_64 [root@kahn.xiao ~]# cat /etc/redhat-release  ...
如何在 CentOS 7 上为 Apache 创建 SSL 证书
rubys007的博客
05-12 1075
TLS,即传输层安全协议,及其前身SSL,即安全套接字层,是用于将普通流量包装在受保护的加密包装中的网络协议。使用这项技术,服务器可以在服务器和客户端之间安全地发送流量,而不会被外部方拦截。证书系统还帮助用户验证他们正在连接的站点的身份。在本指南中,您将为 CentOS 7 服务器上的 Apache Web 服务器设置自签名的 SSL 证书
使用OpenSSL生成SSL证书的教程
qq_42760746的博客
03-01 8056
OpenSSL是一个加密软件库或工具包,它使计算机网络上的通信更加安全,可以使用其命令来创建SSL证书OpenSSL采用apache授权许可,将工具包用于商业或非商业目的,下面就来看下CS如何利用OpenSSL命令来生成SSL证书
如何在 Debian 8 上为 Apache 创建 SSL 证书
rubys007的博客
05-11 978
本教程将指导您设置和配置使用 SSL 证书保护的 Apache 服务器。在教程结束时,您将拥有一个可以通过 HTTPS 访问的服务器。SSL 基于将大整数解析为其同样大的质因数的数学难题。利用这一点,我们可以使用私钥-公钥对加密信息。证书颁发机构可以颁发验证此类安全连接真实性的 SSL 证书,同时,也可以在没有第三方支持的情况下生成自签名证书。在本教程中,我们将生成一个自签名证书,进行必要的配置,并测试结果。自签名证书非常适合测试,但会导致用户在浏览器中出现错误,因此不建议用于生产环境。
apache配置ssl证书
WWNY666的博客
04-17 1017
SSL证书,即安全套接层证书,是一种数字证书,它通过在客户端浏览器和Web服务器之间建立一条加密通道,保证了双方传输信息的安全性。当用户访问一个使用SSL证书保护的网站时,浏览器会显示一个锁形图标,表示连接是安全的。SSL证书的主要优点和应用场景包括:加强数据安全:SSL证书的主要好处之一是它们有助于增强数据安全性。在密码学的支持下,它们保护浏览器和服务器之间的连接,同时保护传输中的数据。无论是静态网站、博客、动态应用程序还是电子商务网站,安装SSL证书都是非常有益的。
OpenSSL,Apache生成本地证书,网站证书(保姆级)
weixin_43369218的博客
07-14 675
需要工具:去对应官网下载 OpenSSL:https://www.openssl.org/ Apache:http://httpd.apache.org/ 首先在网上下载OpenSSL,和Apache(阿帕奇) 只开发本地证书只安装OpenSSL,就可以,想要通过本地根证书签发网站证书就需要Apache,安装位置可以默认,也可以自行确定位置,但是要记住安装路径。 D:\Apache24\conf在conf路径下建立一个新的文件夹CA (Apache安装路径下conf目录) 然...
CentOS下给apache服务添加SSL证书
eyes++的博客
01-12 2153
下面将介绍两种证书的安装方法 一:使用openssl生成安全证书 一般不建议使用自己生成的证书,因为可能会被浏览器判断为不受信任,从而导致访问网站会被浏览器拦截。因此这种生成方式了解了解就行。 首先需要安装openssl,当然一般linux发行版都会自带 yum install openssl 然后就可以先生成一个公钥: openssl genrsa -out eyes.key 2048 默认会在执行目录下生成一个key文件,然后就利用key文件生成证书openssl req -new -key e
Linux下使用openssl为harbor制作证书
weixin_45432833的博客
10-18 768
使用openssl为harbor制作证书
Apache 安装 SSL 证书1
08-08
Apache 安装 SSL 证书是确保网站数据传输安全的重要步骤,SSL(Secure Socket Layer)证书用于加密通过网络传输的信息,防止数据被窃取或篡改。在 Apache 上配置 SSL 证书涉及多个步骤,下面将详细讲解这些步骤。 ...
APACHE开启SSL服务
01-20
1、首先请确认您的Apache服务器已经安装有加密模块,可以是OpenSSL,或是OpenSSL+ModSSL。 如果您的Apache web服务器安装在Unix或linux平台上,您可以通过以下网址获得OpenSSL: http://www.openssl.org/source/...
Shell脚本实现生成SSL自签署证书
01-20
启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。 代码如下: #!/bin/sh # # ssl 证书输出的根目录。 sslOutputRoot=”/etc/apache_ssl” if [ $# -eq 1 ]...
Apache Flink 如何保证 Exactly-Once 语义
06-12 815
Apache Flink 通过状态一致性检查点和 Two-Phase Commit 协议来确保 Exactly-Once 语义。这些机制确保了数据在分布式系统中的一致性和准确性,从而提高了大数据处理的可靠性和准确性。在实际应用中,我们可以根据具体需求配置 Flink 的检查点策略和外部存储系统的写入策略,以实现更好的性能和可靠性。
Apache网页优化
最新发布
anbesrt的博客
06-16 752
是一种流行的文件压缩算法。使用gzip压缩一个纯文本时,效果尤为明细。利用Apache中的gzip模块,可以使用gzip压缩算法对Apache服务器发布的网页的内容进行压缩后再传输到客户端浏览器,加快了网页加载到速度。
Apache Doris 基础 -- 部分数据类型及操作
chinusyan的专栏
06-13 662
Apache Doris 基础 -- 部分数据类型及操作
Apache Pulsar 从入门到精通
weixin_38687619的博客
06-10 677
具有非常灵活的消息模型和直观的客户端 API。分布式发布-订阅消息平台。多租户、认证、授权、配额。Pulsar 是一个。
openssl 如何更换过期ssl证书
06-07
要更换过期的SSL证书,您可以按照以下步骤操作: 1. 获得新的SSL证书:您需要购买或颁发一个新的SSL证书。请确保新证书的公钥与您现有的私钥匹配。 2. 安装新证书:将新证书安装到您的服务器上。这通常涉及在Web...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值