Linux+Apache安装生成配置SSL证书(一)

yiwai

通过Linux+Apache+OpenSSL实现SSL（Secure Socket Layer）证书服务器，提供安全的HTTPS（Hypertext Transfer Protocol over Secure Socket Layer）服务。 安装SSL1.       安装openssltar -zxvf openssl-0.9.8a.tar.gz cd openssl-0.9.8a ./configuremake make installopenssl 安装在/usr/local/ssl目录中 2.       安装apachetar -zxvf httpd-2.0.55.tar.gzcd httpd-2.0.55./configure –prefix=/usr/local/apache –enable-ssl   –enable-rewrite –enable-so –with-ssl=/usr/local/sslmakemake installapache安装在/usr/local/apache目录中 以上是通过源码方式安装，最佳的安装方式通过rpm安装。先安装apache的rpm，再安装openssl的rpm，openssl可自动安装到apache目录中。 证书介绍SSL安全证书可以自己生成，也可以通过第三方的CA（Certification Authority）认证中心付费申请颁发。SSL安全证书包括：1.       CA证书，也叫根证书或中间级证书。单向认证的https，CA证书是可选的。主要目的是使证书构成一个证书链，以达到浏览器信任证书的目的。如果使用了CA证书，服务器证书和客户证书都使用CA证书来签名。如果不安装CA证书，浏览器默认认为是不安全的。2.       服务器证书。必选。通过服务器私钥，生成证书请求文件CSR，再通过CA证书签名生成服务器证书。3.       客户证书。可选。如果有客户证书，就是双向认证的HTTPS，否则就是单向认证的HTTPS。生成步骤和服务器证书类似。上面几种证书都可以自己生成。商业上，一般自己提供服务器或客户证书端的私钥和证书请求CSR，向第三方机构付费申请得到通过CA证书签名的服务器证书和客户证书。 生成证书用openssl提供的工具CA.sh签名证书，证书放在/usr/local/apache2/conf/ssl.crt目录，先把工具拷贝过来：cp /usr/share/ssl/misc/CA.sh /usr/local/apache2/conf/ssl.crt 1.       CA证书（根证书/中间级证书）是CA认证机构提供，如果是双向认证则必选，否则是可选。通过CA证书，构成一个证书链，目的是使浏览器信任你的证书。如果使用了CA证书，用它来签名服务器和客户证书，以达到浏览器信任的目的。自己生成CA证书步骤：./CA.sh –newca回车创建新文件，输入加密密码，并填写证书信息：Country Name (2 letter code) [AU]:CNState or Province Name (full name) [Some-State]:GuangdongLocality Name (eg, city) []:ShenzhenOrganization Name (eg, company) [Internet Widgits Pty Ltd]:xxxOrganizational Unit Name (eg, section) []:xxxCommon Name (eg, YOUR name) []:www.shenmiguo.com Email Address []:xxx@xxx.comCommon Name填入主机全称是比较好的选择。这个名称必须与通过浏览器访问您网站的URL完全相同，否则用户会发现您服务器证书的通用名与站点的名字不匹配，用户就会怀疑您的证书的真实性。服务器证书和客户证书的Common Name应该和CA一致。生成结果：demoCA/private/cakey.pem是CA证书的私钥文件，demoCA/cacert.pem是CA证书。这样就建好了一个CA服务器，有了一个根证书的私钥cakey.pem及一张根证书cacert.pem,现在就可以用cacert.pem来给服务器证书或客户证书签名了。我们规范一下CA证书的命名，把CA证书和密钥重命名一下：cp demoCA/private/cakey.pem ca.keycp demoCA/cacert.pem ca.crtca.key是中间级证书私钥，ca.crt是中间级证书。 2.       服务器证书（一般单向认证，只需要服务器证书就可以。）a）  生成服务器私钥openssl genrsa -des3 -out server.key 1024输入加密密码，用128位rsa算法生成密钥，得到server.key文件。 b）  生成服务器证书请求（CSR）openssl req -new -key server.key -out server.csrCSR（Certificate Signing Request）是一个证书签名请求，在申请证书之前，首先要在WEB服务器上生成CSR，并将其提交给CA认证中心，CA才能给您签发SSL服务器证书。可以这样认为，CSR就是一个在您服务器上生成的证书。CSR主要包括以下内容：Country Name (2 letter code) [AU]:CNState or Province Name (full name) [Some-State]:GuangdongLocality Name (eg, city) []:ShenzhenOrganization Name (eg, company) [Internet Widgits Pty Ltd]:xxxOrganizational Unit Name (eg, section) []:xxxCommon Name (eg, YOUR name) []:shenmiguo.comEmail Address []:xxx@xxx.com Please enter the following ‘extra’ attributesto be sent with your certificate requestA challenge password []:An optional company name []:Common Name填入主机名和CA一致。 c）  自己生成服务器证书如果不使用CA证书签名的话，用如下方式生成：openssl req -x509 -days 1024 -key server.key -in server.csr > server.crt用服务器密钥和证书请求生成证书server.crt，-days参数指明证书有效期，单位为天。商业上来说，服务器证书是由通过第三方机构颁发的，该证书由第三方认证机构颁发的。 如果使用CA证书签名，用openssl提供的工具CA.sh生成服务器证书：mv server.csr newreq.pem./CA.sh -signmv newcert.pem server.crt 签名证书后，可通过如下命令可查看服务器证书的内容：openssl x509 -noout -text -in server.crt可通过如下命令验证服务器证书：openssl verify -CAfile ca.crt server.crt 重启apache时会要求输入密码：openssl rsa -in server.key -out server.key执行完成以后，并输入密码，以后再重启apache就可以不用输入密码了。   3.       客户证书客户证书是可选的。如果有客户证书，就是双向认证HTTPS，否则就是单向认证HTTPS。a）  生成客户私钥openssl genrsa -des3 -out client.key 1024b）  生成客户证书签名请求openssl req -new -key client.key -out client.csrc）  生成客户证书（使用CA证书签名）openssl ca -in client.csr -out client.crtd）  证书转换成浏览器认识的格式openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx 4.       证书列表如果使用双向认证，就会有三个私钥和三个证书。分别是ca.key, ca.crt, server.key, server.crt, client.key, client.crt，以及给浏览器的client.pfx。如果使用有CA证书的单向认证，证书和私钥就是ca.key, ca.crt, server.key, server.crt。如果使用无CA证书的单向认证，证书和私钥就是server.key, server.crt。　　转自：http://hi.baidu.com/phphack/blog/item/d136b03987fcf730b9998f45.html