在Apache上安裝MOD_SSL

- 中國WEB開發者網絡 (http://www.webasp.net)
-- 技術教程 (http://www.webasp.net/article/)
--- 在Apache上安裝MOD_SSL (http://www.webasp.net/article/12/11182.htm)
-- 作者:未知
-- 發佈日期: 2004-06-11

我也看過其它的文章介紹這個,不過說的很不清楚。看著他們的文章安裝MOD_SSL磕磕碰碰地裝好了SSL。這裡我就介紹一下我的經驗。 因為怎樣安裝Apache,PHP等軟件,介紹的文章已經很多了,所以我把重點放在了SSL的安裝上。

首先要下載所需的軟件包:
Apache 1.3.17 這是什麼我就不多說了
http://www.tux.org/pub/net/apache/dist/apache_1.3.17.tar.gz

PHP 4.0.4pl1 可選的,我只是要演示一下ssl和其他軟件在一起的情況
http://www.php.net/do_download.php?download_file=php-4.0.4pl1.tar.gz&source_site=www.php.net

openssl 0.9.6 要用他來生成密鑰和簽署證書
http://www.openssl.org/source/openssl-0.9.6.tar.gz

mod_ssl 2.8.0 本文的重點
http://www.modssl.org/source/mod_ssl-2.8.0-1.3.17.tar.gz

所有這些都是Open Software。

我的系統是RedHat 6.2,所以我用 tar zxvf file.tar.gz 的方法把它們解壓縮到 /usr/local/src 。

首先編譯 PHP :

# cd /usr/local/src/apache_1.3.17
# ./configure --prefix=/usr/local/apache
# cd ../php-4.0.4pl1
# ./configure --with-apache=/usr/local/src/apache_1.3.17
--enable-safe-mode --enable-bcmath --enable-ftp
--with-gd --with-zlib --enable-trans-sid
--enable-calendar --enable-dbase --enable-exif
--with-mysql=/usr/local/mysql
# make
# make install
# cp php.ini-dist /usr/local/lib/php.ini
# vi /usr/local/lib/php.ini
編輯 php.ini,可以在裡面加入一些配置信息(比如ZendOptimizer)

再編譯 OpenSSL:

# cd ../openssl-0.9.6
# ./config --prefix=/usr/local/openssl
注意,這裡是 config 而不是 configure。
# make
# make test
# make install


下面是 MOD_SSL

# cd ../mod_ssl-2.8.0-1.3.17
# ./configure --with-apache=../apache_1.3.17

好了,可以開始編譯apache了(奇怪,mod_ssl怎麼不要編譯?)

# cd ../apache_1.3.17
# SSL_BASE=../openssl-0.9.6
./configure --prefix=/usr/local/apache
--enable-module=ssl
--activate-module=src/modules/php4/libphp4.a
--enable-module=php4
--enable-shared=ssl
# make

下一步很重要,看清楚了!

# make certificate TYPE=custom

這一步要生成你自己的 CA (如果你不知道,我也不能細說了,簡單地 說就是認證中心),和用它來為你的服務器簽署證書。 有很多東西要輸入。

STEP 0: 選擇算法,使用缺省的 RSA
STEP 1: 生成 ca.key,CA的私人密鑰
STEP 2: 為CA生成X.509的認證請求 ca.csr 要輸入一些信息:

Country Name: cn 國家代碼,兩個字母
State or Provice name: An Hui 省份
Locality Name: Bengbu 城市名
Organization Name: Home CA 組織名,隨便寫吧
Organization Unit Name: Mine CA
Common Name: Mine CA
Email Address: sunstorm@263.net 我的Email
Certificate Validity: 4096 四千多天,夠了吧

STEP 3: 生成CA的簽名,ca.crt
STEP 4: 生成服務器的私人密鑰,server.key
STEP 5: 生成服務器的認證請求,server.csr 要輸入一些信息,和STEP 2類似,
不過注意 Common Name是你的網站域名,如 www.mydomain.com Certificate Validity不要太大,365就可以了。
STEP 6: 為你的服務器簽名,得到server.crt
STEP 7-8 :為你的 ca.key 和 server.key 加密,要記住pass phrase。

下面完成apache的安裝

# make install
# vi /usr/local/apache/conf/httpd.conf

修改BindAddress 和 ServerName 加入關於PHP4的行 .如果要改變 DocumentRoot 要記得把httpd.conf裡SSL Virtual Host Context部分的DocumentRoot設定也改掉。

SSLCertificateFile和SSLCertificatKeyFile的設定也在 SSL Virtual Host Context部分。 它可能是這樣設定的:

SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key

要注意ssl.key ssl.crt等目錄和文件的權限! 所有的key,csr,crt,prm文件都應該設為 400 屬性!

最後測試:

# cd /usr/local/apache
# bin/apachectl startssl
提示輸入pass phrase(就是你前面輸入的,不知道你還記不記得)輸入後就啟動了一個支持SSL的apache

在Netscape裡輸入https://localhost/ 試試,注意是https而不是http!
Netscape會有一些提示,不管他一個勁地Next好了! 然後你應該可以看到頁面,而且窗口左下角的鎖是鎖上的。 手工簽署證書的方法

雖然在安裝MOD_SSL時已經使用 make certificate 命令建立了服務器 的證書籤名,但是有時你可能需要改變它。

當然有很多自動的腳本可以實現它,但是最可靠的方法是手工簽署 證書。

首先我假定你已經安裝好了openssl和MOD_SSL,如果你的openssl安裝時 的prefix設置為/usr/local/openssl,那麼把/usr/local/openssl/bin加入 執行文件查找路徑。還需要MOD_SSL源代碼中的一個腳本,它在MOD_SSL的 源代碼目錄樹下的pkg.contrib目錄中,文件名為 sign.sh。將它拷貝到 /usr/local/openssl/bin 中。

先建立一個 CA 的證書,首先為 CA 創建一個 RSA 私用密鑰,

[S-1]
openssl genrsa -des3 -out ca.key 1024

系統提示輸入 PEM pass phrase,也就是密碼,輸入後牢記它。生成 ca.key 文件,將文件屬性改為400,並放在安全的地方。

[S-2]
chmod 400 ca.key

你可以用下列命令查看它的內容,

[S-3]
openssl rsa -noout -text -in ca.key

利用 CA 的 RSA 密鑰創建一個自簽署的 CA 證書(X.509結構)

[S-4]
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

然後需要輸入下列信息:

Country Name: cn 兩個字母的國家代號
State or Province Name: An Hui 省份名稱
Locality Name: Bengbu 城市名稱
Organization Name: Family Network 公司名稱
Organizational Unit Name: Home 部門名稱
Common Name: Chen Yang 你的姓名
Email Address: sunstorm@263.net Email地址
生成 ca.crt 文件,將文件屬性改為400,並放在安全的地方。

[S-5]
chmod 400 ca.crt

你可以用下列命令查看它的內容,

[S-6]
openssl x509 -noout -text -in ca.crt

下面要創建服務器證書籤署請求,
首先為你的 Apache 創建一個 RSA 私用密鑰:

[S-7]
openssl genrsa -des3 -out server.key 1024
這裡也要設定pass phrase。 生成 server.key 文件,將文件屬性改為400,並放在安全的地方。

[S-8]
chmod 400 server.key 你可以用下列命令查看它的內容,

[S-9]
openssl rsa -noout -text -in server.key

用 server.key 生成證書籤署請求 CSR.

[S-10]
openssl req -new -key server.key -out server.csr
這裡也要輸入一些信息,和[S-4]中的內容類似。 至於 'extra' attributes 不用輸入。

你可以查看 CSR 的細節
[S-11]
openssl req -noout -text -in server.csr
下面可以簽署證書了,需要用到腳本 sign.sh

[S-12]
sign.sh server.csr
就可以得到server.crt。 將文件屬性改為400,並放在安全的地方。

[S-13]
chmod 400 server.crt

刪除CSR
[S-14]
rm server.csr

最後apache設置

如果你的apache編譯參數prefix為/usr/local/apache, 那麼拷貝server.crt 和 server.key 到 /usr/local/apache/conf .修改httpd.conf 將下面的參數改為:

SSLCertificateFILE /usr/local/apache/conf/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/server.key

可以 apachectl startssl 試一下了。


webasp.net