如何使用GNU文本实用程序【绝对原创】:个人经验分享personal FAQsOpenBSD2.8服务器配置实务手VCD结构与Mplayer播放.DAT文硬盘安装linux大全[精华] 使用 IGD(Upnp)解決 MSN 語Fedora core3下中文输入法fLinux下代理服务器安装调试如何限制用户的最小密码长度TurboLinux入门教程:第十课ThizDesktop7.0使用手记(3丰富多彩的Linux办公软件([转]架设基于LINUX的服务器集群如何设置一个基本的OpenLDA显示IP的脚本Linux环境下黑客常用嗅探器Linuxconf介绍在Linux中诱捕入侵者(2)Red Hat9.0安装配置指南
转载自linuxsir
本文章在LINUX9+apache2.0.52,openssl0.97上实验通证
本文的目的是为了交流,如有出错的地方,请指教
使用自建的证书服务器安装SSL(apache)笔记 本文章在LINUX9+apache2.0.52,openssl0.97上实验通证 本文的目的是为了交流,如有出错的地方,请指教 转载请注明出处,并保持文章的完整性 现在开始安装 首先在安装之前要明白一些基本概念 1、SSL所使用的证书可以是自己建的生成的,也可以通过一个商业性CA如Verisign 或 Thawte签署证书。 2、证书的概念:首先要有一个根证书,然后用根证书来签发服务器证书和客户证书,一般理解:服务器证书和客户证书是平级关系。在SSL必须安装根证书和服务器证书来认证。 因此:在此环境中,至少必须有三个证书:即根证书,服务器证书,客户端证书 在生成证书之前,一般会有一个私钥,同时用私钥生成证书请求,再利用证书服务器的根证来签发证书。 3、签发证书的问题:我最近找了很多关于openssl的资料,基本上只生成了根证书和私钥及服务器证书请求,并没有真正的实现签证。我这里参考了一些资料,用openssl自带的一个CA.sh来签证书,而不是用MOD_ssl里的sign.sh来签。 用openssl语法来生成证书,有很多条件限定,如目录,key的位置等,比较麻烦,我实验了好几天,最后放弃了。有兴趣的可以参考一下openssl手册。 步骤一:安装openssl和apache 1、到www.openssl.org下载openssl-0.9.7e.tar.gz(目前最新版) 2、卸载掉老的opensll库 代码:
3、解压: 代码:
4、进入openssl目录,并安装,用--prefix指定openssl安装目录 代码:
5、安装apache 至http://www.apache.org/dist下载apach...d-2.0.52.tar.gz 解压后进入apache目录,根据需要安装需要的模块,我这里装了ssl,rewrite,动态模式安装 代码:
| ||||
[root@win ssl]# cp /usr/local/openssl/ssl/misc/CA.sh /usr/local/apache/conf/ssl.crt/CA.sh |
[root@win ssl.crt]# ./CA.sh -newca |
| Country Name (2 letter code) [GB]:CN State or Province Name (full name) [Berkshire]:FUJIAN Locality Name (eg, city) [Newbury]:FUZHOU Organization Name (eg, company) [My Company Ltd]:FJJM Organizational Unit Name (eg, section) []:FD Common Name (eg, your name or your server's hostname) []:WIN Email Address []:WIN@WIN.COM |
[root@win ssl.crt]# openssl genrsa -des3 -out server.key 1024 |
[root@win ssl.crt]# openssl req -new -key server.key -out server.csr |
Country Name (2 letter code) [GB]:CN State or Province Name (full name) [Berkshire]:FUJIAN Locality Name (eg, city) [Newbury]:FUZHOU Organization Name (eg, company) [My Company Ltd]:FJJM Organizational Unit Name (eg, section) []:FD Common Name (eg, your name or your server's hostname) []:WIN Email Address []:WIN@WIN.COM Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:WIN An optional company name []:WING |
[root@win ssl.crt]# mv server.csr newreq.pem [root@win ssl.crt]# ./CA.sh -sign |
[root@win ssl.crt]# mv newcert.pem server.crt |
[root@win ssl.crt]# openssl genrsa -des3 -out client.key 1024 |
[root@win ssl.crt]# openssl req -new -key client.key -out client.csr |
[root@win ssl.crt]# openssl ca -in client.csr -out client.crt |
[root@win ssl.crt]# openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx |
#cp demoCA/cacert.pem cacert.pem |
#cp cacert.pem ca.crt |
#cd /usr/local/apache/conf |
指定服务器证书位置 SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt 指定服务器证书key位置 SSLCertificateKeyFile /usr/local/apache/conf/ssl.crt/server.key 证书目录 SSLCACertificatePath /usr/local/apache/conf/ssl.crt 根证书位置 SSLCACertificateFile /usr/local/apache/conf/ssl.crt/cacert.pem 开启客户端SSL请求 SSLVerifyClient require SSLVerifyDepth 1 |
/usr/local/apache/bin/apachectl startssl |
