Apache的SSL加密配置方法教程
SSL加密的配置
首先在配置之前先来了解一些基本概念:
证书的概念:首先要有一个根证书,然后用根证书来签发服务器证书和客户证书,一般理解:服务器证书和客户证书是平级关系。SSL必须安装服务器证书来认证。 因此:在此环境中,至少必须有三个证书:根证书,服务器证书,客户端证书。 在生成证书之前,一般会有一个私钥,同时用私钥生成证书请求,再利用证书服务器的根证来签发证书。
SSL所使用的证书可以自己生成,也可以通过一个商业性CA(如Verisign 或 Thawte)签署证书。签发证书的问题:如果使用的是商业证书,具体的签署方法请查看相关销售商的说明;如果是知己签发的证书,可以使用openssl自带的CA.sh脚本工具。如果不为单独的客户端签发证书,客户端证书可以不用生成,客户端与服务器端使用相同的证书。
1.conf/ssl.conf 配置文件中的主要参数配置如下:
Listen 443 SSLPassPhraseDialog buildin #SSLPassPhraseDialog exec:/path/to/program SSLSessionCache dbm:/usr/local/apache2/logs/ssl_scache SSLSessionCacheTimeout 300 SSLMutex file:/usr/local/apache2/logs/ssl_mutex # General setup for the virtual host DocumentRoot "/usr/local/apache2/htdocs" ServerName www.example.com:443 ServerAdmin you@example.com ErrorLog /usr/local/apache2/logs/error_log TransferLog /usr/local/apache2/logs/access_log SSLEngine on SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key CustomLog /usr/local/apache2/logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b"
2.创建和使用自签署的证书:
a. Create a RSA private key for your Apache server /usr/local/openssl/bin/openssl genrsa -des3 -out /usr/local/apache2/conf/ssl.key/server.key 1024 b. Create a Certificate Signing Request (CSR) /usr/local/openssl/bin/openssl req -new -key /usr/local/apache2/conf/ssl.key/server.key -out /usr/local/apache2/conf/ssl.key/server.csr c. Create a self-signed CA Certificate (X509 structure) with the RSA key of the CA /usr/local/openssl/bin/openssl req -x509 -days 365 -key /usr/local/apache2/conf/ssl.key/server.key -in /usr/local/apache2/conf/ssl.key/server.csr -out /usr/local/apache2/conf/ssl.crt/server.crt /usr/local/openssl/bin/openssl genrsa 1024 -out server.key /usr/local/openssl/bin/openssl req -new -key server.key -out server.csr /usr/local/openssl/bin/openssl req -x509 -days 365 -key server.key -in server.csr -out server.crt
3.创建自己的CA(认证证书),并使用该CA来签署服务器的证书:
mkdir /CA cd /CA cp openssl-0.9.7g/apps/CA.sh /CA ./CA.sh -newca openssl genrsa -des3 -out server.key 1024 openssl req -new -key server.key -out server.csr cp server.csr newreq.pem ./CA.sh -sign cp newcert.pem /usr/local/apache2/conf/ssl.crt/server.crt cp server.key /usr/local/apache2/conf/ssl.key/
(资源库 www.zyku.net)
您可能感兴趣的文章
- 03-19SSL免费证书已更新为Let's Encrypt R3版本
- 05-09IIS8 通过web.config 实现http跳转到https
- 05-09接口测试 Fiddler 抓取 https
- 04-17IE浏览器 https不能访问的解决方案
- 04-08完美快速解决百度分享不支持HTTPS的问题
- 04-02Apache下.htaccess重写URL 实现http自动跳转https的方
- 04-01IIS7 IIS 7.5下http 做301重定向到https
- 03-30Windows下IIS安装SSL证书并自动续期
- 03-12Apache服务器利用.htaccess重写URL实现http自动跳转ht
- 08-02SSL证书.key转.pem的方法
- 01-12小悦日历-小悦日历应用软件功能介绍
- 04-11一加9pro启用蓝牙方法
- 02-22DedeCMS图集上传图片无水印的BUG修正
- 12-30氢雀影创-氢雀影创应用软件功能介绍
- 01-11i交院-i交院应用软件功能介绍
- 10-20酷狗铃声拷贝到库乐队步骤介绍
- 09-26苹果手机怎样隐藏照片
- 01-12爱豆蔻音乐-爱豆蔻音乐应用软件功能介
- 07-05Linux rpm命令
- 09-20美颜相机帮拍功能使用介绍
最近更新
阅读排行
猜你喜欢
- 03-31Linux /etc/systemd/system和/lib/sys
- 01-11注册会计师题库通-注册会计师题库通应
- 04-22小米相册关闭智能分类教程
- 10-19iphone13pro在哪设置NFC功能
- 01-28一加8pro设置跑马灯方法
- 07-26OneinStack如果降级PHP版本?
- 12-23HTML <big> 标签 - HTML5 不支持
- 02-26帝国cms后台编辑器自定义编辑器的按钮
- 09-26如何让全站链接在新窗口中打开
- 12-23HTML <b> 标签