通过Linux+Apache+OpenSSL实现SSLSecure Socket Layer)证书服务器,提供安全的HTTPSHypertext Transfer Protocol over Secure Socket Layer )服务。
安装SSL
1.       安装openssl
tar -zxvf openssl-0.9.8a.tar.gz 
cd openssl-0.9.8a 
./configure
make 
make install
openssl 安装在/usr/local/ssl目录中
 
2.       安装apache
tar -zxvf httpd-2.0.55.tar.gz
cd httpd-2.0.55
./configure –prefix=/usr/local/apache –enable-ssl   –enable-rewrite –enable-so –with-ssl=/usr/local/ssl
make
make install
apache安装在/usr/local/apache目录中
 
以上是通过源码方式安装,最佳的安装方式通过rpm安装。先安装apacherpm,再安装opensslrpmopenssl可自动安装到apache目录中。
 
证书介绍
SSL安全证书可以自己生成,也可以通过第三方的CACertification Authority)认证中心付费申请颁发。
SSL安全证书包括:
1.       CA证书,也叫根证书或中间级证书。单向认证的httpsCA证书是可选的。主要目的是使证书构成一个证书链,以达到浏览器信任证书的目的。如果使用了CA证书,服务器证书和客户证书都使用CA证书来签名。如果不安装CA证书,浏览器默认认为是不安全的。
2.       服务器证书。必选。通过服务器私钥,生成证书请求文件CSR,再通过CA证书签名生成服务器证书。
3.       客户证书。可选。如果有客户证书,就是双向认证的HTTPS,否则就是单向认证的HTTPS。生成步骤和服务器证书类似。
上面几种证书都可以自己生成。商业上,一般自己提供服务器或客户证书端的私钥和证书请求CSR,向第三方机构付费申请得到通过CA证书签名的服务器证书和客户证书。
 
生成证书
openssl提供的工具CA.sh签名证书,证书放在/usr/local/apache2/conf/ssl.crt目录,先把工具拷贝过来:
cp /usr/share/ssl/misc/CA.sh /usr/local/apache2/conf/ssl.crt
 
1.       CA证书(根证书/中间级证书)
CA认证机构提供,如果是双向认证则必选,否则是可选。通过CA证书,构成一个证书链,目的是使浏览器信任你的证书。如果使用了CA证书,用它来签名服务器和客户证书,以达到浏览器信任的目的。
自己生成CA证书步骤:
./CA.sh –newca
回车创建新文件,输入加密密码,并填写证书信息:
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:Shenzhen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxx
Organizational Unit Name (eg, section) []:xxx
Common Name (eg, YOUR name) []:www.shenmiguo.com 
Email Address []:xxx@xxx.com
Common Name填入主机全称是比较好的选择。这个名称必须与通过浏览器访问您网站的URL完全相同,否则用户会发现您服务器证书的通用名与站点的名字不匹配,用户就会怀疑您的证书的真实性。服务器证书和客户证书的Common Name应该和CA一致。
生成结果:demoCA/private/cakey.pemCA证书的私钥文件,demoCA/cacert.pemCA证书。
这样就建好了一个CA服务器,有了一个根证书的私钥cakey.pem及一张根证书cacert.pem,现在就可以用cacert.pem来给服务器证书或客户证书签名了。
我们规范一下CA证书的命名,把CA证书和密钥重命名一下:
cp demoCA/private/cakey.pem ca.key
cp demoCA/cacert.pem ca.crt
ca.key是中间级证书私钥,ca.crt是中间级证书。
 
2.       服务器证书(一般单向认证,只需要服务器证书就可以。)
a)  生成服务器私钥
openssl genrsa -des3 -out server.key 1024
输入加密密码,用128rsa算法生成密钥,得到server.key文件。
 
b)  生成服务器证书请求(CSR
openssl req -new -key server.key -out server.csr
CSRCertificate Signing Request)是一个证书签名请求,在申请证书之前,首先要在WEB服务器上生成CSR,并将其提交给CA认证中心,CA才能给您签发SSL服务器证书。可以这样认为,CSR就是一个在您服务器上生成的证书。CSR主要包括以下内容:
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:Shenzhen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxx
Organizational Unit Name (eg, section) []:xxx
Common Name (eg, YOUR name) []:shenmiguo.com
Email Address []:xxx@xxx.com
 
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Common Name填入主机名和CA一致。
 
c)  自己生成服务器证书
如果不使用CA证书签名的话,用如下方式生成:
openssl req -x509 -days 1024 -key server.key -in server.csr > server.crt
用服务器密钥和证书请求生成证书server.crt-days参数指明证书有效期,单位为天。商业上来说,服务器证书是由通过第三方机构颁发的,该证书由第三方认证机构颁发的。
 
如果使用CA证书签名,用openssl提供的工具CA.sh生成服务器证书:
mv server.csr newreq.pem
./CA.sh -sign
mv newcert.pem server.crt
 
签名证书后,可通过如下命令可查看服务器证书的内容:
openssl x509 -noout -text -in server.crt
可通过如下命令验证服务器证书:
openssl verify -CAfile ca.crt server.crt
 
重启apache时会要求输入密码:
openssl rsa -in server.key -out server.key
执行完成以后,并输入密码,以后再重启apache就可以不用输入密码了。 
 
 
3.       客户证书
客户证书是可选的。如果有客户证书,就是双向认证HTTPS,否则就是单向认证HTTPS
a)  生成客户私钥
openssl genrsa -des3 -out client.key 1024
b)  生成客户证书签名请求
openssl req -new -key client.key -out client.csr
c)  生成客户证书(使用CA证书签名)
openssl ca -in client.csr -out client.crt
d)  证书转换成浏览器认识的格式
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx
 
4.       证书列表
如果使用双向认证,就会有三个私钥和三个证书。分别是ca.key, ca.crt, server.key, server.crt, client.key, client.crt,以及给浏览器的client.pfx
如果使用有CA证书的单向认证,证书和私钥就是ca.key, ca.crt, server.key, server.crt
如果使用无CA证书的单向认证,证书和私钥就是server.key, server.crt

转自: http://hi.baidu.com/phphack/blog/item/d136b03987fcf730b9998f45.html