apache 配置https 支持ssl

安装openssl

        apache2.0 建议安装0.9版本,曾经试过2.0.59 对openssl-1.0编译不过去。下载Openssl

1
2
3
4
tar -zxf openssl-0.9.8k.tar.gz    #解压安装包   
cd openssl-0.9.8k                 #进入已经解压的安装包   
./config                          #配置安装。推荐使用默认配置   
make && make install              #编译及安装

        openssl默认将被安装到/usr/local/ssl

让apache支持ssl,编译的时候,要指定ssl支持。

        静态或者动态

  • 静态方法即 –enable-ssl=static –with-ssl=/usr/local/ssl
    • 动态方法 –enable-ssl=shared –with-ssl=/usr/local/ssl

        其中第二种方法会在module/ 目录下生成 mod_ssl.so 模块,而静态不会有,当然第二种方法也需要在httpd.conf 中加入

1
LoadModule ssl_module modules/mod_ssl.so

生成证书

创建私钥

        在创建证书请求之前,您需要首先生成服务器证书私钥文件。 

1
2
cd /usr/local/ssl/bin                    #进入openssl安装目录  
openssl genrsa -out server.key 2048      #运行openssl命令,生成2048位长的私钥server.key文件

        如果需要对 server.key 添加保护密码,请使用 -des3 扩展命令。Windows环境下不支持加密格式私钥,Linux环境下使用加密格式私钥时,每次重启Apache都需要输入该私钥密码(例:openssl genrsa -des3 -out server.key 2048)。 

1
cp server.key   /usr/local/apache/conf/ssl.key/

生成证书请求(CSR)文件

1
2
3
4
5
6
7
8
9
openssl req -new -key server.key -out certreq.csr   
Country Name:                           #您所在国家的ISO标准代号,中国为CN   
State or Province Name:                 #您单位所在地省/自治区/直辖市   
Locality Name:                          #您单位所在地的市/县/区   
Organization Name:                      #您单位/机构/企业合法的名称   
Organizational Unit Name:               #部门名称   
Common Name:                            #通用名,例如:www.itrus.com.cn。此项必须与您访问提供SSL服务的服务器时所应用的域名完全匹配。   
Email Address:                          #邮件地址,不必输入,直接回车跳过   
"extra"attributes                        #以下信息不必输入,回车跳过直到命令执行完毕。

备份私钥并提交证书请求

        请将证书请求文件certreq.csr提交给天威诚信,并备份保存证书私钥文件server.key,等待证书的签发。服务器证书密钥对必须配对使用,私钥文件丢失将导致证书不可用。

安装证书

获取服务器证书中级CA证书

        为保障服务器证书在客户端的兼容性,服务器证书需要安装两张中级CA证书(不同品牌证书,可能只有一张中级证书)。

        从邮件中获取中级CA证书:

        将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”)粘贴到同一个记事本等文本编辑器中,中间用回车换行分隔。修改文件扩展名,保存为conf/ssl.crt/intermediatebundle.crt文件(如果只有一张中级证书,则只需要保存并安装一张中级证书)。

获取EV服务器证书

        将证书签发邮件中的从BEGIN到 END结束的服务器证书内容(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”) 粘贴到记事本等文本编辑器中,保存为ssl.crt/server.crt文件

apache的配置 2.0的配置

        httpd.conf 中增加

1
2
3
4
5
6
7
8
9
10
11
12
Listen  443
NameVirtualHost *:443
    DocumentRoot "/data/web/www"
    ServerName aaa.com:443
    ErrorLog "logs/error.log"
    CustomLog "logs/access.log" combined
     
        SSLEngine on
        SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
        SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key
        SSLCertificateChainFile /usr/local/apache/conf/ssl.crt/intermediatebundle.crt