我也看过其它的文章介绍这个,不过说的很不清楚。看着他们的文章安装mod_ssl磕磕碰碰地装好了ssl。这里我就介绍一下我的经验。 因为怎样安装apache,php等软件,介绍的文章已经很多了,所以我把重点放在了ssl的安装上。
首先要下载所需的软件包:
apache 1.3.17 这是什么我就不多说了
http://www.tux.org/pub/net/apache/dist/apache_1.3.17.tar.gz
php 4.0.4pl1 可选的,我只是要演示一下ssl和其他软件在一起的情况
http://www.php.net/do_download.php?download_file=php-4.0.4pl1.tar.gz&source_site=www.php.net
openssl 0.9.6 要用他来生成密钥和签署证书
http://www.openssl.org/source/openssl-0.9.6.tar.gz
mod_ssl 2.8.0 本文的重点
http://www.modssl.org/source/mod_ssl-2.8.0-1.3.17.tar.gz
所有这些都是open software。
我的系统是redhat 6.2,所以我用 tar zxvf file.tar.gz 的方法把它们解压缩到 /usr/local/src 。
首先编译 php :
# cd /usr/local/src/apache_1.3.17
# ./configure –prefix=/usr/local/apache
# cd ../php-4.0.4pl1
# ./configure –with-apache=/usr/local/src/apache_1.3.17
–enable-safe-mode –enable-bcmath –enable-ftp
–with-gd –with-zlib –enable-trans-sid
–enable-calendar –enable-dbase –enable-exif
–with-mysql=/usr/local/mysql
# make
# make install
# cp php.ini-dist /usr/local/lib/php.ini
# vi /usr/local/lib/php.ini
编辑 php.ini,可以在里面加入一些配置信息(比如zendoptimizer)
再编译 openssl:
# cd ../openssl-0.9.6
# ./config –prefix=/usr/local/openssl
注意,这里是 config 而不是 configure。
# make
# make test
# make install
下面是 mod_ssl
# cd ../mod_ssl-2.8.0-1.3.17
# ./configure –with-apache=../apache_1.3.17
好了,可以开始编译apache了(奇怪,mod_ssl怎么不要编译?)
# cd ../apache_1.3.17
# ssl_base=../openssl-0.9.6
./configure –prefix=/usr/local/apache
–enable-module=ssl
–activate-module=src/modules/php4/libphp4.a
–enable-module=php4
–enable-shared=ssl
# make
下一步很重要,看清楚了!
# make certificate type=custom
这一步要生成你自己的 ca (如果你不知道,我也不能细说了,简单地 说就是认证中心),和用它来为你的服务器签署证书。 有很多东西要输入。
step 0: 选择算法,使用缺省的 rsa
step 1: 生成 ca.key,ca的私人密钥
step 2: 为ca生成x.509的认证请求 ca.csr 要输入一些信息:
country name: cn 国家代码,两个字母
state or provice name: an hui 省份
locality name: bengbu 城市名
organization name: home ca 组织名,随便写吧
organization unit name: mine ca
common name: mine ca
email address: sunstorm@263.net 我的email
certificate validity: 4096 四千多天,够了吧
step 3: 生成ca的签名,ca.crt
step 4: 生成服务器的私人密钥,server.key
step 5: 生成服务器的认证请求,server.csr 要输入一些信息,和step 2类似,
不过注意 common name是你的网站域名,如 www.mydomain.com certificate validity不要太大,365就可以了。
step 6: 为你的服务器签名,得到server.crt
step 7-8 :为你的 ca.key 和 server.key 加密,要记住pass phrase。
下面完成apache的安装
# make install
# vi /usr/local/apache/conf/httpd.conf
修改bindaddress 和 servername 加入关于php4的行 .如果要改变 documentroot 要记得把httpd.conf里ssl virtual host context部分的documentroot设定也改掉。
sslcertificatefile和sslcertificatkeyfile的设定也在 ssl virtual host context部分。 它可能是这样设定的:
sslcertificatefile /usr/local/apache/conf/ssl.crt/server.crt
sslcertificatekeyfile /usr/local/apache/conf/ssl.key/server.key
要注意ssl.key ssl.crt等目录和文件的权限! 所有的key,csr,crt,prm文件都应该设为 400 属性!
最后测试:
# cd /usr/local/apache
# bin/apachectl startssl
提示输入pass phrase(就是你前面输入的,不知道你还记不记得)输入后就启动了一个支持ssl的apache
在netscape里输入https://localhost/ 试试,注意是https而不是http!
netscape会有一些提示,不管他一个劲地next好了! 然后你应该可以看到页面,而且窗口左下角的锁是锁上的。 手工签署证书的方法
虽然在安装mod_ssl时已经使用 make certificate 命令建立了服务器 的证书签名,但是有时你可能需要改变它。
当然有很多自动的脚本可以实现它,但是最可靠的方法是手工签署 证书。
首先我假定你已经安装好了openssl和mod_ssl,如果你的openssl安装时 的prefix设置为/usr/local/openssl,那么把/usr/local/openssl/bin加入 执行文件查找路径。还需要mod_ssl源代码中的一个脚本,它在mod_ssl的 源代码目录树下的pkg.contrib目录中,文件名为 sign.sh。将它拷贝到 /usr/local/openssl/bin 中。
先建立一个 ca 的证书,首先为 ca 创建一个 rsa 私用密钥,
[s-1]
openssl genrsa -des3 -out ca.key 1024
系统提示输入 pem pass phrase,也就是密码,输入后牢记它。生成 ca.key 文件,将文件属性改为400,并放在安全的地方。
[s-2]
chmod 400 ca.key
你可以用下列命令查看它的内容,
[s-3]
openssl rsa -noout -text -in ca.key
利用 ca 的 rsa 密钥创建一个自签署的 ca 证书(x.509结构)
[s-4]
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
然后需要输入下列信息:
country name: cn 两个字母的国家代号
state or province name: an hui 省份名称
locality name: bengbu 城市名称
organization name: family network 公司名称
organizational unit name: home 部门名称
common name: chen yang 你的姓名
email address: sunstorm@263.net email地址
生成 ca.crt 文件,将文件属性改为400,并放在安全的地方。
[s-5]
chmod 400 ca.crt
你可以用下列命令查看它的内容,
[s-6]
openssl x509 -noout -text -in ca.crt
下面要创建服务器证书签署请求,
首先为你的 apache 创建一个 rsa 私用密钥:
[s-7]
openssl genrsa -des3 -out server.key 1024
这里也要设定pass phrase。 生成 server.key 文件,将文件属性改为400,并放在安全的地方。
[s-8]
chmod 400 server.key 你可以用下列命令查看它的内容,
[s-9]
openssl rsa -noout -text -in server.key
用 server.key 生成证书签署请求 csr.
[s-10]
openssl req -new -key server.key -out server.csr
这里也要输入一些信息,和[s-4]中的内容类似。 至于 extra attributes 不用输入。
你可以查看 csr 的细节
[s-11]
openssl req -noout -text -in server.csr
下面可以签署证书了,需要用到脚本 sign.sh
[s-12]
sign.sh server.csr
就可以得到server.crt。 将文件属性改为400,并放在安全的地方。
[s-13]
chmod 400 server.crt
删除csr
[s-14]
rm server.csr
最后apache设置
如果你的apache编译参数prefix为/usr/local/apache, 那么拷贝server.crt 和 server.key 到 /usr/local/apache/conf .修改httpd.conf 将下面的参数改为:
sslcertificatefile /usr/local/apache/conf/server.crt
sslcertificatekeyfile /usr/local/apache/conf/server.key
可以 apachectl startssl 试一下了。