apache配置双向ssl认证(笔记)

最新推荐文章于 2024-02-23 15:47:07 发布
最新推荐文章于 2024-02-23 15:47:07 发布
阅读量7.2k 收藏 7
点赞数 1
分类专栏: apache
一. CA自签

Linux下先安装openssl,安装路径于/usr/local/openssl

1.#修改openssl配置文件
/etc/pki/tls/openssl.cnf
设置好
dir = /usr/local/openssl/ssl/misc/demoCA (生成CA的路径)


然后 /usr/local/openssl/ssl/misc/目录下执行命令

./CA.sh -newca    (生成自己服务上的CA服务器)

命令执行后会在该目录下生成demoCA这样的目录..
/demoCA/private/cakey.pem就是CA的key文件啦,./demoCA/cacert.pem就是CA的c
rt文件了

二.生成和签发服务器、客户端证书

# 生成服务器的 RSA 密钥对

openssl genrsa -des3 -out server.key
运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需

输入口令.如果觉得不方便,也可以去除这个口令。

去除key文件口令的命令:

openssl rsa -in server.key -out server.key
# 生成服务器证书请求

openssl req -new -days 3650 -key server.key -out server.csr
# 使用 CA 签发服务器证书

openssl ca -in server.csr -out server.crt -days 3650
也可以直接指定好根证书的和其私钥的路径

openssl ca -in server.csr -out server.crt -cert ./demoCA/cacert.pem -keyfile ./demoCA/private/cakey.pem

*生成用户的 RSA 密钥对

openssl genrsa -des3 -out user.key
*生成用户证书请求

openssl req -new -days 3650 -key user.key -out user.csr
*使用 CA 签发用户证书

openssl ca -in user.csr -out user.crt
三.导出用户证书client.pfx供浏览器使用

openssl pkcs12 -export -clcerts -in user.cert -inkey user.key -out client.pfx

四.apache的ssl配置

ServerName free51.alipay.net
LogLevel info
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /opt/install/httpd/conf/sslcrt/server.crt
#SSLCertificateFile 指定服务器使用的证书。该指令用于指定服务器持有的X.509证书(PEM编码),其中还可以包含对应的RSA或DSA私钥。如果其中包含的私钥已经使用密语

加密,那么在 Apache启动的时候将会提示输入密语。如果服务器同时使用了RSA和DSA两种证书,那么该指令可以使用两次来分别指定两种证书的位置。

SSLCertificateKeyFile /opt/install/httpd/conf/sslcrt/server.key
#SSLCertificateKeyFile 指定了服务器私钥文件。如果SSLCertificateFile指定的服务器证书文件中不包含相应的私钥,那么就必须使用该指令,否则就不需要使用。我们反对在

服务器证书中包含私钥,正确的做法应该是将证书和私钥分开在不同的文件中。如果私钥文件已经使用密语加密,那么在Apache启动的时候将会提示输入密语。如果服务器同

时使用了RSA和DSA两种证书,那么该指令可以使用两次来分别指定两种私钥的位置。

SSLCertificateChainFile /opt/install/httpd/conf/sslcrt/ca.crt #如果有很久级证书就好好配这个。

#SSLCertificateChainFile指定了一个多合一的CA证书:由直接签发服务器证书的CA证书开始,按证书链顺序回溯,一直到根CA的证书结束,这一系列的CA证书(PEM格式)就

构成了服务器的证书链。这个指令也可以由SSLCACertificatePath指令代替,或者两个一起使用,用于明确的创建服务器的证书链。这个证书链将被与服务器证书一起发送给客

户端。这有利于避免在执行客户端认证时多个CA证书之间出现混淆或冲突。因为虽然将服务器证书链上的某个CA证书放到SSLCACertificatePath目录中对于证书链结构没什么

影响,但是由这个CA签发的客户端证书也会在执行客户端认证的时候同时被认可,这通常不是你期望的结果。

SSLCACertificateFile /opt/install/httpd/conf/sslcrt/ca.crt
#SSLCACertificateFile 该指令用于客户端认证。这个指令指定了一个多合一的CA证书,只有持有这些CA所签发证书的客户端才允许访问。这个所谓"多合一"证书文件其实就是

将多个PEM格式的证书按照优先级顺序放置在同一个文件中而已。这个指令也可以由SSLCACertificatePath指令代替,或者两个一起使用。

SSLVerifyClient require
#要求进行客户端认证。

SSLVerifyDepth 10


是Tom呀
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ApacheSSL证书的安装配置
Amesteur的博客
05-14 1136
1.下载包含opensslapache,并进行安装。    Apache版本如:httpd-2.2.22-win32-x86-openssl-0.9.8t.zip2.配置Apache下httpd.conf文件。      #LoadModule ssl_module modules/mod_ssl.so         #Include conf/extra/httpd-ssl.conf  删除...
配置Apache双向认证和反向代理(Apache+配置文档)
08-30
windows下配置Apache双向认证和反向代理(Apache+配置文档)
宝塔Apache配置双向证书认证
u010457180的博客
04-13 513
因安全需要,仅内部人员使用的网站,如OA、ERP等,或连接到内部网络的网站,需要双向证书认证,即服务器需要上传SSL证书,通过HTTPS访问,客户端也需要安装相关数字证书才能访问网站,否则显示无法链接到网站。
ApacheSSLCertificateFile:文件不存在或为空(操作系统RHEL7)
11-04 1404
配置参数及报错信息(配置了TLS加密后httpd服务无法启动) 我在httpd.conf文件中引用了上面创建的文件。但在那之后,当我尝试RESTART Apache时,我遇到以下错误: 错误:SSLCertificateFile:文件'/var/www/html/www0.key'不存在或为空 路径是正确的。 文件也存在。 文件中甚至有数据,因此它不是空的。 解决...
宝塔启动apache出现SSLCertificateFile: file ‘/etc/letsencrypt/live/zhujib.com/fullchain.pem’ does not exis
云加速
09-11 2355
今天不知为何服务器启动不了apache了,显示SSLCertificateFile: file '/etc/letsencrypt/live/zhujib.com/fullchain.pem' does not exist or is empty 看情况好像是,SSL冲突,于是主机吧进入网站管理,把SSL关闭了 就解决了。 关闭后再重启就解决了。 ...
Apache安装SSL证书
Able
03-08 286
1.创建私钥(可选,用于申请证书): openssl genrsa 2048 > private-key.pem 2.创建证书签名 (CSR,可选): openssl req -new -key private-key.pem -out csr.pem 3.上传到服务器: scp ./STAR_yourdomain_com/* yourdomain:/etc/pki/tl...
Apache SSL服务器配置SSL详解
01-20
1.安装必要的软件 引用 我用的是apahce2.0.61版,可以直接官方提供的绑定opensslapache. 文件名是:apache_2.0.61-win32-x86-openssl-0.9.7m.msi 否则单独安装windows下的openssl比较麻烦,要么找到一个第三方的...
apache-tomcat配置SSL双向认证
02-26
Apache Tomcat配置SSL双向认证是实现安全通信的重要步骤,尤其对于需要高度安全性的Web应用程序。在本文中,我们将深入探讨如何在Tomcat 6环境中设置SSL双向认证,确保客户端和服务器之间的通信既加密又经过身份验证...
双向SSL认证配置说明
10-18
### 双向SSL认证配置详解 #### 一、引言 随着互联网技术的快速发展,网络安全问题日益凸显。其中,SSL(Secure Sockets Layer)作为一项重要的安全协议,被广泛应用于保障网络通信的安全性。双向SSL认证是一种增强...
配置apache默认使用ssl的方法
09-16
### 配置Apache默认使用SSL的方法 #### 一、引言 随着互联网安全意识的不断增强,HTTPS(基于SSL/TLS协议的HTTP)已经成为网站通信的标准方式。Apache作为全球广泛使用的Web服务器之一,支持通过简单的配置使其默认...
apache使用和apache配置ssl证书
最新发布
布克吉的博客
02-23 1044
检查问题:cmd命令行打开apache下的bin文件,输入httpd.exe启动,可以看到报错细节;关于apache配置ssl证书,网上有很多重复的文章介绍,但我还是决定自己记录下来,Apache服务器配置SSL证书步骤及问题记录_apache ssl-CSDN博客。如果一切顺利,重启apache服务,到这里域名访问就可以带上一把小锁了。可能直接报错文件指定行配置错误,按提示修改即可,或者直接注释报错行。做的多了,发现其实很简单,记录一个好习惯:修改配置文件前一定要。最后带上我的启蒙文章,分享给大家。
apache2安装ssl证书
zjhqlmzldx的博客
11-01 2673
1.开启ssl模块 a2enmod ssl 脚本解读: a2 指的是apache2 en 指的是enabled mod 指的是model 2.启动ssl站点 a2ensite default-ssl 脚本解读: a2 > apache2 en > enabled site > 站点 3.加入监听端口 vim /etc/apache2/ports.conf 编辑apache的端...
Apache(httpd)配置ssl证书实现HTTPS
热门推荐
叶落自飘零的博客
07-09 2万+
本篇文章主要讲述如何给Apache配置ssl证书以实现https协议;
Apache开启ssl
qq_29117491的博客
08-26 764
1.yum -y install mod_ssl 2.命令执行结束安装完成后 /etc/httpd/conf.d 目录下会出现一个ssl.conf文件 3.在这个文件里面找到如下内容进行更改 SSLCertificateFile xxx_public.crt SSLCertificateKeyFile xxx.key SSLCertificateChainFile xxx_chain.crt 4.找到上面的三个内容并将后面的文件路径替换为你自己的文件路径,(这些文件就是你之前放在Apache/cert路径
Apache环境下配置多个站点的SSL证书
04-03 247
重新创建apache目录中conf/extra/下的httpd-ssl.conf文件 NameVirtualHost *:443 Listen 443 <VirtualHost *:443> DocumentRoot "/var/www/site1" ServerName www.site1.com ServerAlias www.site...
宝塔部署sll证书报错CertificateFile: file ‘/etc/letsencrypt/live/域名/fullchain.pem‘ does not exist or is empty
G佳伟
07-12 805
根据上图提示报错找到对应的站点并关闭ssl证书,关闭后重新提交“部署成功” 宝塔报错SSLCertificateFile: file '/etc/letsencrypt/live/fullchain.pem' does not exist or is empty
Apache配置SSL
fresh123456的专栏
08-27 862
Apache配置SSL 1:配置Apache以支持SSl 打开Apache配置文件conf/httpd.conf,去掉下面两行前面的# LoadModule ssl_module modules/mod_ssl.so Include con/extra/httpd-ssl.conf 修改httpd-ssl.conf文件的下面两个字段 SSLCertificateFil
SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
RayPick的博客
08-25 7433
SSL 证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为服务器证书。SSL 证书只有正确安装到 Web 服务器,才能实现客户端与服务器间的 https 通信。由于涉及到不同类型 Web 服务器的配置,需要在证书签发后,根据实际服务器环境来安装证书。CA 是一种电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。其发布的证书就是 CA 证书。
在Web服务器上安装由商业CA颁发的SSL证书
zstack_org的博客
12-02 3617
提供:ZStack云计算 前言本文将介绍如何从一个可信的商业CA机构(Certificate Authority)获取SSL证书并将其安装到你的服务器上。有了SSL证书,Web服务器可以加密与之通讯的信息,并让其访问者可以验证该服务器的身份。SSL证书可以自己签发,但购买一个CA认证的证书有很大的好处,就是你的访问者不会看到诸如“攻击者可能会窃取您的信息”之类的吓人警告。本教程使用的CA机构有如下两
浅谈CA认证SSL证书、HTTPS
li_minjian的博客
06-30 1414
一、认识CA认证SSL证书、HTTPS 1.CA认证百度百科:https://baike.baidu.com/item/CA 2.SLL证书百度百科:https://baike.baidu.com/item/SSL证书 3.https百度百科:https://baike.baidu.com/item/https 总结:CA是数字证书管理机bai构,SSL证书是数字证书的一种du,CA签发zhiSSL证书,https是SSL证书的一种表现形式dao。服务器端部署了SSL证书,浏览器端才会显示HTTPS,H
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值