Apache-SSL/Apache-ModSSL

wlyyb521

说明

由于Apache版本非常多，每个版本都不尽相同，因此欲了解更多有关知识，请 直接访问http://www.apache.org。本文apache安装配置示例使用的是apache 2.0.59 版本，如果进行apache配置时不能成功完成，可能是版本原因，请参考apache 帮助文件中SSL相关章节进行配置。

本文要求系统中已经安装有openssl软件，且apache有mod_ssl模块。
openssl用于生成私钥和CSR，一般系统中已经默认安装在/user/bin下，如果 您的系统安装在其他目录，使用时请指定正确的目录路径。如果没有openssl， 请访问 http://www.openssl.org 下载安装。

Apache2默认安装没有mod—ssl模块，编译时请在./configure中加入--enable-ssl 选项。mod_ssl相关资料可以在http://www.modssl.org获得。可以使用./apachectl -l 命令来查看apache的模块。

产生CSR
在生成CSR文件时同时生成您的私钥，如果您丢了私钥或忘了私钥密码，则颁发 证书给您后不能安装成功！您必须重新生成私钥和CSR文件，利用证书补办流程 颁发新的证书。为了避免此情况的发生，请在生成CSR后一定要备份私钥文件和 记住私钥密码，最好是在收到证书之前不要再动服务器。

“openssl”用于生成私钥和CSR，一般系统中已经默认安装在/user/bin下，如 果您的系统安装在其他目录，请指定正确的目录路径。如果没有openssl，请访 问 http://www.openssl.org 下载安装。

以下所有命令假设您已经成功安装OpenSSL，将产生1024位的密钥，加密算法 采用3DES，您必须使用您要申请域名证书的域名来命名密钥文件。

1.生成私钥
请使用以下命令来生成私钥：
opensslgenrsa -des3 -out www.domain.cn.key 1024


如上图所示，此命令将生成1024位的RSA私钥，私钥文件名为： www.domain.cn.key，会提示您设定私钥密码，请设置密码，并牢记

2.生成CSR文件
请使用以下命令来生成CSR:
openssl req -new -key www. domain.cn.key -out www.domain.cn.csr
　　


此命令将提示您输入X.509证书所要求的字段信息，包括国家（中国添CN)、省 份、所在城市、单位名称、单位部门名称(可以不填直接回车）。请注意：除国 家缩写必须填CN外，其余都可以是英文或中文。这些信息具体内容可以忽略， 生成证书时信息以RA系统中登记的为准。

Common Name项请输入您要申请域名证书的域名，如果您需要为www.domain.cn 申请域名证书就不能只输入domain.cn。域名证书是严格绑定域名的。

您现在已经成功生成了密钥对，私钥文件：www.domain.cn.key保存在您的服务 器中，请把CSR文件www.domain.cn.csr保存好，在下载证书时copy给CNNIC 即可，CSR文件格式如下图所示。



3.备份私钥文件
请备份您的私钥文件并记下私钥密码。最好是把私钥文件备份到软盘或光盘中。

4.把CSR发给CNNIC，并获取证书
生成CSR后，即可以登录CNNIC的证书下载页面，根据页面提示将CSR中的内容 复制粘贴出来发送给CNNIC，下载获取证书，域名证书文件名后缀可以为.cer 或.crt。请一定不要再动您的服务器，等待证书的颁发。

证书下载
生成完CSR后，既可以登录CNNIC可信网络服务中心网页（进入www.cnnic.cn
点击“可信网络”)，点击“网址卫士”下载进入到证书下载页面。

1.下载域名证书
请不要输入Email、口令(challenge password)和可选的公司名称，直接打回车 即可。

A.点击“网址卫士第一部分”，根据网页上的提示输入从密码信封中获取的“参 考号”和“授权码”，复制上一步所生成的CSR到网页的“CSR”文本框中，复 制时不要复制头尾的 “-----BEGIN NEW CERTIFICATE REQUEST----- ” 和 “_…―END NEW CERTIFICATE REQUEST-----”，只要中间的部分。结果如下所 示：



B.点击“下载”，如果参考号、授权码和CSR均无问题，显示页面如下所示。 请根据页面上的提示将文本框中的内容拷贝下来，粘贴到一个新建的文本文件 中，并保存，文件名可以是“www.domain.cn.txt”。
注意：文本框中的内容就是此次申请的证书，请一定将内容拷贝保存下来，如果 内容丢失，就必须进行证书补办。

证书下载-证书生成
Web服务器证书请将证书编码框中的内容拷贝，并粘贴到文本中，保存成Web服务器能够识别的格式


C.将保存下来的文本文件的文件类型从.txt改为.cer，例如www.domain.cer，这
就是此次下载下来的域名证书。改完后可以双击打开文件，即可以查看到证书的 具体信息。显示类似如下（具体内容有所不同）：
　　



2.下载证书链上的其他证书
点击证书下载页面的“网址卫士第二部分”，将压缩包下载到本地，解压缩即可 以获取证书链上的中级根证书和根证书。至此证书下载完成。

安装证书
域名证书安装指南-Apache-SSL / Apache ModSSL
1.保存证书文件
证书颁发后，假设你所下载保存的域名证书文件名为www.domain.cn.cer

另外，从CNNIC还可以下载到证书链上的中级根证书和根证书，假设分别保存为 root.cer (根证书）和CNNIC.cer (中级根证书），此时需要首先将这两个证书 合并成一个证书链文件，例如cachain.cer:
A.分别使用文本编辑工具（如notepad)将root.cer和CNNIC.cer分别打开， 分别显示如下所示



　　
　　B.使用文本编辑工具新建一个文件cachain.cer，将root.cer和CNNIC.cer中 的内容拷贝进去并保存，其中CNNIC.cer的内容在前，root.cer的内容在后， 显示如下所示：



2.安装证书
A. 把域名证书文件和证书链文件拷贝到Apache存放证书的目录中，例如： /etc/httpd/conf/ssl.crt/
B. 使用文本编辑器打开httpd.conf或ssl.conf文件，检查你的虚拟主机配置内 是否有下面3行，如没有请添加如下3行参数。请只修改其中一个文件，否则会 有冲突而使得Apache不能正常启动。
SSLCertificateFile /etc/httpd/conf/ssl.crt/www.domain.cn.cer//本地域 名证书文件
SSLCertificateKeyFile /etc/httpd/conf/ssl.crt/www.domain.cn.key//私 钥文件
SSLCertificateChainFile /etc/httpd/conf/ssl.crt/cachain.cer //证书链 文件
C.保存修改
D.使用如下命令停止Apache后再启动Apache，以便Apache daemon能注册修改的参数。
/usr/sbin/apachectl stop
/usr/sbin/apachectlstartssl 或:
/usr/sbin/httpd-k stop /usr/sbin/httpd –DSSL
3.完成配置
请确认分配了 443端口和一个固定的IP地址给主机，此时可以在浏览器地址栏 输入：https://www.domain.cn (申请证书的域名）测试您的SSL证书是否安装成 功，如果成功，则浏览器下方会显示一个安全锁标志。请注意：如果您的网页中 有不安全的元素，则会提供“是否显示不安全的内容”，建议修改网页删除不安 全的内容。

摘自：下载(重命名pdf文件)