在Apache上安裝MOD_SSL(轉)

在Apache上安裝MOD_SSL(轉)[@more@]

我也看過其它的文章介紹這個，不過說的很不清楚。看著他們的文章安裝MOD_SSL磕磕碰碰地裝好了SSL。這裡我就介紹一下我的經驗。 因為怎樣安裝Apache,PHP等軟體，介紹的文章已經很多了，所以我把重點放在了SSL的安裝上。

首先要下載所需的軟體包：

Apache 1.3.17 這是什麼我就不多說了

PHP 4.0.4pl1 可選的，我只是要演示一下ssl和其他軟體在一起的情況

openssl 0.9.6 要用他來生成金鑰和簽署證照

mod_ssl 2.8.0 本文的重點

所有這些都是Open Software。

我的系統是RedHat 6.2，所以我用 tar zxvf file.tar.gz 的方法把它們解壓縮到 /usr/local/src 。

首先編譯 PHP ：

# cd /usr/local/src/apache_1.3.17

# ./configure --prefix=/usr/local/apache

# cd ../php-4.0.4pl1

# ./configure --with-apache=/usr/local/src/apache_1.3.17

--enable-safe-mode --enable-bcmath --enable-ftp

--with-gd --with-zlib --enable-trans-sid

--enable-calendar --enable-dbase --enable-exif

--with-mysql=/usr/local/mysql

# make

# make install

# cp php.ini-dist /usr/local/lib/php.ini

# vi /usr/local/lib/php.ini

編輯 php.ini，可以在裡面加入一些配置資訊（比如ZendOptimizer）

再編譯 OpenSSL：

# cd ../openssl-0.9.6

# ./config --prefix=/usr/local/openssl

注意，這裡是 config 而不是 configure。

# make

# make test

# make install

下面是 MOD_SSL

# cd ../mod_ssl-2.8.0-1.3.17

# ./configure --with-apache=../apache_1.3.17

好了，可以開始編譯apache了（奇怪，mod_ssl怎麼不要編譯?）

# cd ../apache_1.3.17

# SSL_BASE=../openssl-0.9.6

./configure --prefix=/usr/local/apache

--enable-module=ssl

--activate-module=src/modules/php4/libphp4.a

--enable-module=php4

--enable-shared=ssl

# make

下一步很重要，看清楚了！

# make certificate TYPE=custom

這一步要生成你自己的 CA （如果你不知道，我也不能細說了，簡單地 說就是認證中心），和用它來為你的伺服器簽署證照。 有很多東西要輸入。

STEP 0: 選擇演算法，使用預設的 RSA

STEP 1: 生成 ca.key，CA的私人金鑰

STEP 2: 為CA生成X.509的認證請求 ca.csr 要輸入一些資訊：

Country Name: cn 國家程式碼，兩個字母

State or Provice name: An Hui 省份

Locality Name: Bengbu 城市名

Organization Name: Home CA 組織名，隨便寫吧

Organization Unit Name: Mine CA

Common Name: Mine CA

Email Address: sunstorm@263.net 我的Email

Certificate Validity: 4096 四千多天，夠了吧

STEP 3: 生成CA的簽名，ca.crt

STEP 4: 生成伺服器的私人金鑰，server.key

STEP 5: 生成伺服器的認證請求，server.csr 要輸入一些資訊，和STEP 2類似，

不過注意 Common Name是你的網站域名，如 Certificate Validity不要太大，365就可以了。

STEP 6: 為你的伺服器簽名，得到server.crt

STEP 7-8 :為你的 ca.key 和 server.key 加密，要記住pass phrase。

下面完成apache的安裝

# make install

# vi /usr/local/apache/conf/httpd.conf

修改BindAddress 和 ServerName 加入關於PHP4的行 .如果要改變 DocumentRoot 要記得把httpd.conf裡SSL Virtual Host Context部分的DocumentRoot設定也改掉。

SSLCertificateFile和SSLCertificatKeyFile的設定也在 SSL Virtual Host Context部分。 它可能是這樣設定的：

SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt

SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key

要注意ssl.key ssl.crt等目錄和檔案的許可權！ 所有的key,csr,crt,prm檔案都應該設為 400 屬性！

最後測試：

# cd /usr/local/apache

# bin/apachectl startssl

提示輸入pass phrase（就是你前面輸入的，不知道你還記不記得）輸入後就啟動了一個支援SSL的apache

在Netscape裡輸入 試試，注意是https而不是http！

Netscape會有一些提示，不管他一個勁地Next好了！ 然後你應該可以看到頁面，而且視窗左下角的鎖是鎖上的。 手工簽署證照的方法

雖然在安裝MOD_SSL時已經使用 make certificate 命令建立了伺服器 的證照籤名，但是有時你可能需要改變它。

當然有很多自動的指令碼可以實現它，但是最可靠的方法是手工簽署 證照。

首先我假定你已經安裝好了openssl和MOD_SSL，如果你的openssl安裝時 的prefix設定為/usr/local/openssl，那麼把/usr/local/openssl/bin加入 執行檔案查詢路徑。還需要MOD_SSL原始碼中的一個指令碼，它在MOD_SSL的 原始碼目錄樹下的pkg.contrib目錄中，檔名為 sign.sh。將它複製到 /usr/local/openssl/bin 中。

先建立一個 CA 的證照，首先為 CA 建立一個 RSA 私用金鑰，

[S-1]

openssl genrsa -des3 -out ca.key 1024

系統提示輸入 PEM pass phrase，也就是密碼，輸入後牢記它。生成 ca.key 檔案，將檔案屬性改為400，並放在安全的地方。

[S-2]

chmod 400 ca.key

你可以用下列命令檢視它的內容，

[S-3]

openssl rsa -noout -text -in ca.key

利用 CA 的 RSA 金鑰建立一個自簽署的 CA 證照（X.509結構）

[S-4]

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

然後需要輸入下列資訊：

Country Name: cn 兩個字母的國家代號

State or Province Name: An Hui 省份名稱

Locality Name: Bengbu 城市名稱

Organization Name: Family Network 公司名稱

Organizational Unit Name: Home 部門名稱

Common Name: Chen Yang 你的姓名

Email Address: sunstorm@263.net Email地址

生成 ca.crt 檔案，將檔案屬性改為400，並放在安全的地方。

[S-5]

chmod 400 ca.crt

你可以用下列命令檢視它的內容，

[S-6]

openssl x509 -noout -text -in ca.crt

下面要建立伺服器證照籤署請求，

首先為你的 Apache 建立一個 RSA 私用金鑰：

[S-7]

openssl genrsa -des3 -out server.key 1024

這裡也要設定pass phrase。 生成 server.key 檔案，將檔案屬性改為400，並放在安全的地方。

[S-8]

chmod 400 server.key 你可以用下列命令檢視它的內容，

[S-9]

openssl rsa -noout -text -in server.key

用 server.key 生成證照籤署請求 CSR.

[S-10]

openssl req -new -key server.key -out server.csr

這裡也要輸入一些資訊，和[S-4]中的內容類似。 至於 'extra' attributes 不用輸入。

你可以檢視 CSR 的細節

[S-11]

openssl req -noout -text -in server.csr

下面可以簽署證照了，需要用到指令碼 sign.sh

[S-12]

sign.sh server.csr

就可以得到server.crt。 將檔案屬性改為400，並放在安全的地方。

[S-13]

chmod 400 server.crt

刪除CSR

[S-14]

rm server.csr

最後apache設定

如果你的apache編譯引數prefix為/usr/local/apache， 那麼複製server.crt 和 server.key 到 /usr/local/apache/conf .修改httpd.conf 將下面的引數改為：

SSLCertificateFILE /usr/local/apache/conf/server.crt

SSLCertificateKeyFile /usr/local/apache/conf/server.key

可以 apachectl startssl 試一下了