linux下安裝Apache(https) 伺服器證書安裝配置指南

一、  安裝準備

1.    安裝Openssl

要使Apache支援SSL，需要首先安裝Openssl支援。推薦下載下傳安裝openssl-0.9.8k.tar.gz  

下載下傳Openssl：http://www.openssl.org/source/

       tar -zxf openssl-0.9.8k.tar.gz    //解壓安裝包  

       cd openssl-0.9.8k                 //進入已經解壓的安裝包  

       ./config                          //配置安裝。推薦使用預設配置  

       make && make install              //編譯及安裝  

openssl預設将被安裝到/usr/local/ssl

2.    安裝Apache 

./configure --prefix=/usr/local/apache --enable-so --enable-ssl --with-ssl=/usr/local/ssl --enable-mods-shared=all                               //配置安裝。推薦動态編譯子產品  

make && make install 

動态編譯Apache子產品，便于子產品的加載管理。Apache 将被安裝到/usr/local/apache  

二、  生成證書請求檔案

1.    建立私鑰 

在建立證書請求之前，您需要首先生成伺服器證書私鑰檔案。 

cd /usr/local/ssl/bin                    //進入openssl安裝目錄 

openssl genrsa -out server.key 2048      //運作openssl指令，生成2048位長的私鑰server.key檔案。如果您需要對 server.key 添加保護密碼，請使用 -des3 擴充指令。Windows環境下不支援加密格式私鑰，Linux環境下使用加密格式私鑰時，每次重新開機Apache都需要您輸入該私鑰密碼（例：openssl genrsa -des3 -out server.key 2048）。

2.    生成證書請求（CSR）檔案  

openssl req -new -key server.key -out certreq.csr  

Country Name：                           //您所在國家的ISO标準代号，中國為CN  

State or Province Name：                 //您機關所在地省/自治區/直轄市  

Locality Name：                          //您機關所在地的市/縣/區  

Organization Name：                      //您機關/機構/企業合法的名稱  

Organizational Unit Name：               //部門名稱  

Common Name：                            //通用名，例如：www.itrus.com.cn。此項必須與您通路提供SSL服務的伺服器時所應用的域名完全比對。  

Email Address：                          //您的郵件位址，不必輸入，直接回車跳過  

"extra"attributes                        //以下資訊不必輸入，回車跳過直到指令執行完畢。

3.    備份私鑰并送出證書請求  

請将證書請求檔案certreq.csr送出給天威誠信，并備份儲存證書私鑰檔案server.key，等待證書的簽發。伺服器證書密鑰對必須配對使用，私鑰檔案丢失将導緻證書不可用。

三、  安裝伺服器證書

1.    擷取伺服器證書中級CA憑證

從郵件中擷取中級CA憑證：

将證書簽發郵件中的從BEGIN到 END結束的中級CA憑證内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘貼到記事本文本檔案中。修改檔案擴充名，儲存為intermediate.crt檔案。  

下載下傳中級CA憑證：http://www.itrus.com.cn/verisignchina/Service/download/

2.    擷取伺服器證書  

将證書簽發郵件中的從BEGIN到 END結束的伺服器證書内容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”） 粘貼到記事本等文本編輯器中，儲存為server.crt檔案 

3.    Apache 2.0.63的配置  

打開apache安裝目錄下conf目錄中的httpd.conf檔案，找到  

#LoadModule ssl_module modules/mod_ssl.so  

删除行首的配置語句注釋符号“#”  

儲存退出。  

打開apache安裝目錄下conf目錄中的ssl.conf檔案，找到  

在配置檔案中查找以下配置語句  

SSLCertificateFile conf/ssl.crt/server.crt             将伺服器證書配置到該路徑下  

SSLCertificateKeyFile conf/ssl.key/server.key        将伺服器證書私鑰配置到該路徑下  

#SSLCertificateChainFile conf/ssl.crt/ca.crt          删除行首的“#”号注釋符，并将中級CA憑證intermediate.crt配置到該路徑下  

儲存退出，并重新開機Apache。重新開機方式：  

進入Apache安裝目錄下的bin目錄，運作如下指令  

./apachectl -k -stop  

./apachectl startssl

4.    Apache 2.2.* 的配置  

打開apache安裝目錄下conf目錄中的httpd.conf檔案，找到  

#LoadModule ssl_module modules/mod_ssl.so  

#Include conf/extra/httpd_ssl.conf  

删除行首的配置語句注釋符号“#”  

儲存退出。  

打開apache安裝目錄下conf/extra目錄中的httpd-ssl.conf檔案  

在配置檔案中查找以下配置語句  

SSLCertificateFile conf/ssl.crt/server.crt         将伺服器證書配置到該路徑下  

SSLCertificateKeyFile conf/ssl.key/server.key    将伺服器證書私鑰配置到該路徑下  

#SSLCertificateChainFile conf/ssl.crt/ca.crt      删除行首的“#”号注釋符，并将中級CA憑證intermediate.crt配置到該路徑下  

儲存退出，并重新開機Apache。重新開機方式：  

進入Apache安裝目錄下的bin目錄，運作如下指令  

./apachectl -k -stop  

./apachectl startssl

通過https方式通路您的站點，測試站點證書的安裝配置。

四、  伺服器證書的備份及恢複 

在您成功的安裝和配置了伺服器證書之後，請務必依據下面的操作流程，備份好您的伺服器證書，以防證書丢失給您帶來不便。

1.    伺服器證書的備份  

備份伺服器證書私鑰檔案server.key，伺服器證書檔案server.crt，以及伺服器證書中級CA憑證檔案intermediate.crt即可完成伺服器證書的備份操作。

2.    伺服器證書的恢複  

請參照伺服器證書配置部分，将伺服器證書密鑰檔案恢複到您的伺服器上，并修改配置檔案，恢複伺服器證書的應用。