window apache+openssl双向认证配置
一 环境
在window上和在linux上配置步骤差不多,但是在windows上有一点小改动,按照下面步骤在window上
安装后无法重启httpd,并在error.log中发现这么一句话:SSLPassPhraseDialog builtin is not supported on Win32
原因是因为Win32不支持SSLPassPhraseDialog命令,我们需要把此命令个注释掉,并需要把server.key的PassPhrase也给去掉,
具体方法后面介绍。
二 场景
一般网站不需要双向认证,即不需要对客户身份进行识别,但是有些特殊的网站需要,例如银行网站,支付宝网站等;
也有企业之间,客户数量有限,资源分享时候需要验证身份;
三 开启ssl
1 选择带有openssl的apache安装包进行安装
2 修改安装目录conf/httpd.conf文件,将下面两行注释去掉
LoadModule ssl_module modules/mod_ssl.so
Include conf/extra/httpd-ssl.conf
3 打开 conf/extra/httpd-ssl.conf文件,重要几行如下:
SSLEngine on
SSLCertificateFile "D:/Apache/conf/server.cer"
SSLCertificateKeyFile "D:/Apache/conf/server.key.pem"
#SSLCACertificateFile "D:/Apache/conf/ca.cer"
#SSLVerifyClient require
#SSLVerifyDepth 10
前三个开启单向https认证,后面三个可开启双向认证
server.
参考资料:http://www.iteye.com/topic/1131378
摘要:
本文的关键点是:
1 安装用带openssl的apache安装包
2 用openssl产生server端的CA根证书(自己耍着玩,通过openssl产生,如果正式web,需要CA机构来产生)
3 用CA根证书产出server端证书
4 用CA根证书产出client端证书
5 把CA根证书,server端证书,server端的私钥加到apache配置文件中
6 在client端安装client端证书
7 完成
一 环境
在window上和在linux上配置步骤差不多,但是在windows上有一点小改动,按照下面步骤在window上
安装后无法重启httpd,并在error.log中发现这么一句话:SSLPassPhraseDialog builtin is not supported on Win32
原因是因为Win32不支持SSLPassPhraseDialog命令,我们需要把此命令个注释掉,并需要把server.key的PassPhrase也给去掉,
具体方法后面介绍。
二 场景
一般网站不需要双向认证,即不需要对客户身份进行识别,但是有些特殊的网站需要,例如银行网站,支付宝网站等;
也有企业之间,客户数量有限,资源分享时候需要验证身份;
三 开启ssl
1 选择带有openssl的apache安装包进行安装
2 修改安装目录conf/httpd.conf文件,将下面两行注释去掉
LoadModule ssl_module modules/mod_ssl.so
Include conf/extra/httpd-ssl.conf
3 打开 conf/extra/httpd-ssl.conf文件,重要几行如下:
SSLEngine on
SSLCertificateFile "D:/Apache/conf/server.cer"
SSLCertificateKeyFile "D:/Apache/conf/server.key.pem"
#SSLCACertificateFile "D:/Apache/conf/ca.cer"
#SSLVerifyClient require
#SSLVerifyDepth 10
前三个开启单向https认证,后面三个可开启双向认证
server.