Apache安裝MOD_SSL的補充--手工簽署證書的方法(轉)

Apache安裝MOD_SSL的補充--手工簽署證書的方法(轉)[@more@]

作者：sustomer

雖然在安裝MOD_SSL時已經使用 make certificate 命令建立了伺服器

的證書籤名，但是有時你可能需要改變它。

當然有很多自動的指令碼可以實現它，但是最可靠的方法是手工簽署

證書。

首先我假定你已經安裝好了openssl和MOD_SSL，如果你的openssl安裝時

的prefix設定為/usr/local/openssl，那麼把/usr/local/openssl/bin加入

執行檔案查詢路徑。還需要MOD_SSL原始碼中的一個指令碼，它在MOD_SSL的

原始碼目錄樹下的pkg.contrib目錄中，檔名為 sign.sh。

將它複製到 /usr/local/openssl/bin 中。

先建立一個 CA 的證書，

首先為 CA 建立一個 RSA 私用金鑰，

[S-1]

openssl genrsa -des3 -out ca.key 1024

系統提示輸入 PEM pass phrase，也就是密碼，輸入後牢記它。

生成 ca.key 檔案，將檔案屬性改為400，並放在安全的地方。

[S-2]

chmod 400 ca.key

你可以用下列命令檢視它的內容，

[S-3]

openssl rsa -noout -text -in ca.key

利用 CA 的 RSA 金鑰建立一個自簽署的 CA 證書（X.509結構）

[S-4]

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

然後需要輸入下列資訊：

Country Name: cn 兩個字母的國家代號

State or Province Name: An Hui 省份名稱

Locality Name: Bengbu 城市名稱

Organization Name: Family Network 公司名稱

Organizational Unit Name: Home 部門名稱

Common Name: Chen Yang 你的姓名

Email Address: sunstorm@263.net Email地址

生成 ca.crt 檔案，將檔案屬性改為400，並放在安全的地方。

[S-5]

chmod 400 ca.crt

你可以用下列命令檢視它的內容，

[S-6]

openssl x509 -noout -text -in ca.crt

下面要建立伺服器證書籤署請求，

首先為你的 Apache 建立一個 RSA 私用金鑰：

[S-7]

openssl genrsa -des3 -out server.key 1024

這裡也要設定pass phrase。

生成 server.key 檔案，將檔案屬性改為400，並放在安全的地方。

[S-8]

chmod 400 server.key

你可以用下列命令檢視它的內容，

[S-9]

openssl rsa -noout -text -in server.key

用 server.key 生成證書籤署請求 CSR.

[S-10]

openssl req -new -key server.key -out server.csr

這裡也要輸入一些資訊，和[S-4]中的內容類似。

至於 extra attributes 不用輸入。

你可以檢視 CSR 的細節

[S-11]

openssl req -noout -text -in server.csr

下面可以簽署證書了，需要用到指令碼 sign.sh

[S-12]

sign.sh server.csr

就可以得到server.crt。

將檔案屬性改為400，並放在安全的地方。

[S-13]

chmod 400 server.crt

刪除CSR

[S-14]

rm server.csr

最後apache設定

如果你的apache編譯引數prefix為/usr/local/apache，

那麼複製server.crt 和 server.key 到 /usr/local/apache/conf

修改httpd.conf

將下面的引數改為：

SSLCertificateFILE /usr/local/apache/conf/server.crt

SSLCertificateKeyFile /usr/local/apache/conf/server.key

可以 apachectl startssl 試一下了。