一、 安裝準備
1. 安裝Openssl
要使Apache支援SSL,需要首先安裝Openssl支援。推薦下載下傳安裝openssl-0.9.8k.tar.gz
下載下傳Openssl:http://www.openssl.org/source/
tar -zxf openssl-0.9.8k.tar.gz //解壓安裝包
cd openssl-0.9.8k //進入已經解壓的安裝包
./config //配置安裝。推薦使用預設配置
make && make install //編譯及安裝
openssl預設将被安裝到/usr/local/ssl
2. 安裝Apache
./configure --prefix=/usr/local/apache --enable-so --enable-ssl --with-ssl=/usr/local/ssl --enable-mods-shared=all //配置安裝。推薦動态編譯子產品
make && make install
動态編譯Apache子產品,便于子產品的加載管理。Apache 将被安裝到/usr/local/apache
二、 生成證書請求檔案
1. 建立私鑰
在建立證書請求之前,您需要首先生成伺服器證書私鑰檔案。
cd /usr/local/ssl/bin //進入openssl安裝目錄
openssl genrsa -out server.key 2048 //運作openssl指令,生成2048位長的私鑰server.key檔案。如果您需要對 server.key 添加保護密碼,請使用 -des3 擴充指令。Windows環境下不支援加密格式私鑰,Linux環境下使用加密格式私鑰時,每次重新開機Apache都需要您輸入該私鑰密碼(例:openssl genrsa -des3 -out server.key 2048)。
2. 生成證書請求(CSR)檔案
openssl req -new -key server.key -out certreq.csr
Country Name: //您所在國家的ISO标準代号,中國為CN
State or Province Name: //您機關所在地省/自治區/直轄市
Locality Name: //您機關所在地的市/縣/區
Organization Name: //您機關/機構/企業合法的名稱
Organizational Unit Name: //部門名稱
Common Name: //通用名,例如:www.itrus.com.cn。此項必須與您通路提供SSL服務的伺服器時所應用的域名完全比對。
Email Address: //您的郵件位址,不必輸入,直接回車跳過
"extra"attributes //以下資訊不必輸入,回車跳過直到指令執行完畢。
3. 備份私鑰并送出證書請求
請将證書請求檔案certreq.csr送出給天威誠信,并備份儲存證書私鑰檔案server.key,等待證書的簽發。伺服器證書密鑰對必須配對使用,私鑰檔案丢失将導緻證書不可用。
三、 安裝伺服器證書
1. 擷取伺服器證書中級CA憑證
從郵件中擷取中級CA憑證:
将證書簽發郵件中的從BEGIN到 END結束的中級CA憑證内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘貼到記事本文本檔案中。修改檔案擴充名,儲存為intermediate.crt檔案。
下載下傳中級CA憑證:http://www.itrus.com.cn/verisignchina/Service/download/
2. 擷取伺服器證書
将證書簽發郵件中的從BEGIN到 END結束的伺服器證書内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”) 粘貼到記事本等文本編輯器中,儲存為server.crt檔案
3. Apache 2.0.63的配置
打開apache安裝目錄下conf目錄中的httpd.conf檔案,找到
#LoadModule ssl_module modules/mod_ssl.so
删除行首的配置語句注釋符号“#”
儲存退出。
打開apache安裝目錄下conf目錄中的ssl.conf檔案,找到
在配置檔案中查找以下配置語句
SSLCertificateFile conf/ssl.crt/server.crt 将伺服器證書配置到該路徑下
SSLCertificateKeyFile conf/ssl.key/server.key 将伺服器證書私鑰配置到該路徑下
#SSLCertificateChainFile conf/ssl.crt/ca.crt 删除行首的“#”号注釋符,并将中級CA憑證intermediate.crt配置到該路徑下
儲存退出,并重新開機Apache。重新開機方式:
進入Apache安裝目錄下的bin目錄,運作如下指令
./apachectl -k -stop
./apachectl startssl
4. Apache 2.2.* 的配置
打開apache安裝目錄下conf目錄中的httpd.conf檔案,找到
#LoadModule ssl_module modules/mod_ssl.so
#Include conf/extra/httpd_ssl.conf
删除行首的配置語句注釋符号“#”
儲存退出。
打開apache安裝目錄下conf/extra目錄中的httpd-ssl.conf檔案
在配置檔案中查找以下配置語句
SSLCertificateFile conf/ssl.crt/server.crt 将伺服器證書配置到該路徑下
SSLCertificateKeyFile conf/ssl.key/server.key 将伺服器證書私鑰配置到該路徑下
#SSLCertificateChainFile conf/ssl.crt/ca.crt 删除行首的“#”号注釋符,并将中級CA憑證intermediate.crt配置到該路徑下
儲存退出,并重新開機Apache。重新開機方式:
進入Apache安裝目錄下的bin目錄,運作如下指令
./apachectl -k -stop
./apachectl startssl
通過https方式通路您的站點,測試站點證書的安裝配置。
四、 伺服器證書的備份及恢複
在您成功的安裝和配置了伺服器證書之後,請務必依據下面的操作流程,備份好您的伺服器證書,以防證書丢失給您帶來不便。
1. 伺服器證書的備份
備份伺服器證書私鑰檔案server.key,伺服器證書檔案server.crt,以及伺服器證書中級CA憑證檔案intermediate.crt即可完成伺服器證書的備份操作。
2. 伺服器證書的恢複
請參照伺服器證書配置部分,将伺服器證書密鑰檔案恢複到您的伺服器上,并修改配置檔案,恢複伺服器證書的應用。