apache 配置https 支持ssl

安装openssl

        apache2.0 建议安装0.9版本,曾经试过2.0.59 对openssl-1.0编译不过去。下载Openssl

1
2
3
4
tar -zxf openssl-0.9.8k.tar.gz #解压安装包
cd openssl-0.9.8k #进入已经解压的安装包
./config #配置安装。推荐使用默认配置
make && make install #编译及安装

        openssl默认将被安装到/usr/local/ssl

让apache支持ssl,编译的时候,要指定ssl支持。

        静态或者动态

  • 静态方法即 –enable-ssl=static –with-ssl=/usr/local/ssl
    • 动态方法 –enable-ssl=shared –with-ssl=/usr/local/ssl

        其中第二种方法会在module/ 目录下生成 mod_ssl.so 模块,而静态不会有,当然第二种方法也需要在httpd.conf 中加入

1
LoadModule ssl_module modules/mod_ssl.so

生成证书

创建私钥

        在创建证书请求之前,您需要首先生成服务器证书私钥文件。

1
2
cd /usr/local/ssl/bin #进入openssl安装目录
openssl genrsa -out server.key 2048 #运行openssl命令,生成2048位长的私钥server.key文件

        如果需要对 server.key 添加保护密码,请使用 -des3 扩展命令。Windows环境下不支持加密格式私钥,Linux环境下使用加密格式私钥时,每次重启Apache都需要输入该私钥密码(例:openssl genrsa -des3 -out server.key 2048)。

1
cp server.key /usr/local/apache/conf/ssl.key/

生成证书请求(CSR)文件

1
2
3
4
5
6
7
8
9
openssl req -new -key server.key -out certreq.csr
Country Name: #您所在国家的ISO标准代号,中国为CN
State or Province Name: #您单位所在地省/自治区/直辖市
Locality Name: #您单位所在地的市/县/区
Organization Name: #您单位/机构/企业合法的名称
Organizational Unit Name: #部门名称
Common Name: #通用名,例如:www.itrus.com.cn。此项必须与您访问提供SSL服务的服务器时所应用的域名完全匹配。
Email Address: #邮件地址,不必输入,直接回车跳过
"extra"attributes #以下信息不必输入,回车跳过直到命令执行完毕。

备份私钥并提交证书请求

        请将证书请求文件certreq.csr提交给天威诚信,并备份保存证书私钥文件server.key,等待证书的签发。服务器证书密钥对必须配对使用,私钥文件丢失将导致证书不可用。

安装证书

获取服务器证书中级CA证书

        为保障服务器证书在客户端的兼容性,服务器证书需要安装两张中级CA证书(不同品牌证书,可能只有一张中级证书)。

        从邮件中获取中级CA证书:

        将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”)粘贴到同一个记事本等文本编辑器中,中间用回车换行分隔。修改文件扩展名,保存为conf/ssl.crt/intermediatebundle.crt文件(如果只有一张中级证书,则只需要保存并安装一张中级证书)。

获取EV服务器证书

        将证书签发邮件中的从BEGIN到 END结束的服务器证书内容(包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”) 粘贴到记事本等文本编辑器中,保存为ssl.crt/server.crt文件

apache的配置 2.0的配置

        httpd.conf 中增加

1
2
3
4
5
6
7
8
9
10
11
12
Listen 443
NameVirtualHost *:443
DocumentRoot "/data/web/www"
ServerName aaa.com:443
ErrorLog "logs/error.log"
CustomLog "logs/access.log" combined
SSLEngine on
SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key
SSLCertificateChainFile /usr/local/apache/conf/ssl.crt/intermediatebundle.crt