`

Apache 2.2-SSL操作大全

 
阅读更多
制作CSR申请文件
安装证书文件
客户端证书认证
强制HTTPS访问
访问控制举例
证书的备份(导出)
证书的恢复(导入)
通配符和多域名证书在虚拟主机上的部署
Openssl编译简介


制作CSR申请文件

制作Apache下使用的CSR请求文件,最简单的办法就直接使用我们的 OpenSSL CSR在线生成器: https://www.myssl.cn/openssl/createcsr.asp
(注意:您必须同时保存server.key和server.csr文件)

Apache 2.2 SSL主要采用BASE64位的PEM文件格式,可以采用Openssl命令行工具来生成CSR文件,OpenSSL工具是免费的,可以从www.openssl.org下载到最新的源码,但需要自己编译(见Openssl编译简介),你也可以下载使用已经编译好的OpenSSL 0.9.8.a for win32,下载地址是: http://www.myssl.cn/download/OpenSSL_0.9.8.a_Win32.zip

1、Openssl是一个命令行工具,首先将下载包解压到C:\openssl下。

2、打开DOS命令行窗口,进入C:\openssl,输入命令:
openssl req -new -nodes -keyout server.key -out server.csr

Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
...........................++++++
....................................++++++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be
incorporated into your certificate request.
What you are about to enter is what is called a
Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Shanghai
Locality Name (eg, city) []:Shanghai
Organization Name (eg, company) [Internet Widgits Ltd]:
Shanghai Fastcom Technology Co.,Ltd.
Organizational Unit Name (eg, section) []:IT Dept.
Common Name (eg, YOUR name) []:www.myssl.cn
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3、在完成了如上的交互信息输入后,当前目录下将产生两个文件:server.key 和 server.csr。请妥善保存这两个文件,请不要泄露server.key私钥文件。

4、在这一命令执行的过程中,系统会要求您填写如下信息:

Country Name (2 letter code) 使用国际标准组织(ISO)国码格式,填写2个字母的国家代号。中国请填写CN。
State or Province Name (full name) 省份,比如填写Shanghai
Locality Name (eg, city) 城市,比如填写Shanghai
Organization Name (eg, company) 组织单位,比如填写公司名称的拼音
Organizational Unit Name (eg, section) 比如填写IT Dept
Common Name (eg, your websites domain name): 行使 SSL 加密的网站地址。请注意这里并不是单指您的域名,而是直接使用 SSL 的网站名称 例如:pay.abc.com。 一个网站这里定义是:
abc.com 是一个网站;
www.abc.com 是另外一个网站;
pay.abc.com 又是另外一个网站。

Email Address 邮件地址,可以不填
A challenge password 可以不填
An optional company name 可以不填


5、如何产生2048位的密钥对?

在上面的命令行交互中,我们看到“Generating a 1024 bit RSA private key”,即系统缺省采用1024位的RSA密钥长度,一般来说1024位是足够的,但是在申请EV证书的时候,我们必须采用2048位的密钥长度,要生成2048位的密钥,可以修改上面的命令行:(斜体部分为增加的参数)
openssl req -new -nodes -newkey rsa:2048 -keyout server.key -out server.csr

6、如何制作中文的CSR文件?

中文CSR文件,主要指企业名称、部门,城市,省份等信息采用中文,通用名和国家代码仍然必须是英文的,GeoTrust目前已经全面支持中文的CSR,要制作中文的CSR,最简单的办法仍然是采用我们的在线CSR生成器: https://www.myssl.cn/openssl/createcsr.asp

如果希望自己通过Openssl工具来制作中文CSR就需要多费一些工夫了,下面详细介绍一下采用Openssl命令行制作中文CSR的方法。
Openssl本身是可以支持UTF-8编码来支持中文的,但是如果通过DOS命令行是无法输入UTF-8的中文字符的,所以我们必须采用Opnessl.cnf配置文件的缺省值来实现中文字的输入。采用一个文本编辑器,最好是支持utf-8字符的,我采用UltraEdit,打开Openssl.cnf文件,首先修改:


string_mask = utf8only

这句话将强制字符的输入采用UTF-8的编码格式,然后修改缺省DN信息,录入我们需要合中文字符,如下
commonName_default = www.myssl.cn
0.organizationName_default = 上海迅通科技有限公司
organizationalUnitName_default = IT 部门
stateOrProvinceName_default = 上海
localityName_default = 上海
countryName_default = CN

然后将文件按utf-8,no bom的编码格式保存,在Ultraedit下,请选择“另存为”,格式为“UTF-8 - NO-BOM”。如果没有可以支持UTF-8的编辑工具,也可以下载一个ICONV来做编码转换工作。

准备好openss.cnf文件后,输入命令行:
openssl req -utf8 -config config.cnf -new -nodes -batch -keyout server.key -out server.csr
系统将自动生成CSR文件,保存在server.csr中。

CSR已经做好,最后强调,必须同时保存好server.csr和server.key2个文件,尤其是server.key一定丢失,将无法再使用这个证书。



安装证书文件

1、将证书内容存为一个文件:

您会收到一封来自迅通诚信的邮件,证书内容附在邮件中。如果证书是以附件的形式(Cert.cer)夹带在邮件中,您就可以直接应用它。如果您的证书中以文本的方式存在邮件中,您就需要将邮件中的证书部分的内容用Vi或Notepad存成一个纯文本文件。不要将其存成Microsoft Word 或其它字处理软件格式,并确定证书内容中不含有空行和空格,文件名可以为server.cer。如下所示:


将保存好的server.cer文件和制作CSR时候生成的server.key一起复制到服务器上。
2、修改httpd.conf文件。

Apache一般有2个版本下载,一个是带SSL模块的,一个是不带SSL的,请首先检查自己的SSL是包含了SSL模块的,否则就没法做了。Apache的参数配置都在httpd.conf文件中,SSL配置也是如此,此外还可以通过include httpd-ssl.conf来包含一个专门配置SSL的配置文件,如果激活了httpd-include ssl.conf,则可以打开httpd-ssl.conf来配置相应参数。

一般,我们直接在httpd.conf文件中直接配置SSL参数:


#加载模块mod_ssl.so,此模块是启用SSL功能必须的。
LoadModule ssl_module modules/mod_ssl.so

#监听443端口
Listen 443

#建立一个SSL的虚拟站点,避免SSL配置影响原来HTTP的站点配置。

DocumentRoot "C:/Program Files/Apache2/htdocs"
ServerName www.myssl.cn:443
SSLEngine on
SSLCertificateFile "C:/SSL/server.cer"
SSLCertificateKeyFile "C:/SSL/server.key"
SSLCertificateChainFile "C:/SSL/chain.cer"
ErrorLog "C:/Program Files/Apache2/logs/error.log"
TransferLog "C:/Program Files/Apache2/logs/access.log"


#说明主站是使用HTTP通信的,只有上面虚拟站点有SSL
SSLEngine off


配置参数说明如下(完整的SSL配置参数见这里):


Listen 443:
SSL协议监听的端口,同下面Virtualhost 中的端口需要匹配,SSL协议缺省使用443端口,也有使用8443的情况。
SSLEngine on:
SSL功能打开,如果在Virtualhost出现这句,则仅作用于虚拟机站点配置范围,这个虚拟机站点全部使用SSL通信,如果出现在Virtualhost外,则作用于全局,整个服务器都使用SSL(HTTPS)通信,不能采用HTTP通信,所以通常都在Virtualhost中加这句。
SSLCertificateFile:
证书文件,server.cer
SSLCertificateKeyFile
私钥文件,server.key
SSLCertificateChainFile
证书链文件,GeoTrust证书除了EV以外,都是单根证书,都不需要配置这个参数,如果是EV证书,则需要加入EV的证书链。
Errorlog,TranksferLog:
日志文件
SSLEngine off:
整个站点,除了虚拟站点外,关闭SSL,仍然支持HTTP通信。

3、重新启动Apache,如果是在Linux下,输入:
apachectl stop
apachectl startssl



客户端证书认证

1、基本客户证书认证

强制客户对整个站点都必须采用客户证书认证的方式,可以在原来的配置下增加如下参数:


......
......
......
# 需要客户有一个客户端证书,并由ca.cer这个CA证书签署
SSLVerifyClient require
SSLVerifyDepth 1
SSLCACertificateFile conf/ssl.crt/ca.cer


2、如果只要求对特定目录采用客户证书认证方式,其他目录都不需要客户端证书,则可以采用如下配置:


......
......
......
# 需要客户有一个客户端证书,并由ca.cer这个CA证书签署
SSLVerifyClient none
SSLCACertificateFile conf/ssl.crt/ca.crt

SSLVerifyClient require
SSLVerifyDepth 1





强制HTTPS访问

强制HTTPS访问,主要通过将用户访问的HTTP请求自动转换为HTTPS请求,有两种方式:一种是通过编程的方式,详见:"强制用户通过SSL访问网站" ;另一种方式则是通过Apache强大的Rewrite功能。

如果要针对整个网站全部执行HTTP自动转为HTTPS的功能,可以在httpd.conf文件中,增加:


RewriteEngine on
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*) https://%{SERVER_NAME}$1 [L,R]

如果,仅要求对\secure目录下的内容强制采用HTTPS访问,可以在httpd.conf文件中加入如下语句:



RewriteEngine on
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*) https://%{SERVER_NAME}/secure/$1 [L,R]




访问控制举例

如何对来自Internet并要访问Intranet的客户强制采用强加密的HTTPS通信,并采用基本或者客户证书的认证方式?同时还要确保来自Intranet的客户可以进行HTTP访问?

假设IntranetIP地址段是192.160.1.0/24,Intranet站点子区域的URL是/subarea ,则可以在HTTPS虚拟主机站点以外增加如下配置(这样可以同时作用于HTTPS和HTTP):

SSLCACertificateFile conf/ssl.crt/company-ca.crt


# subarea以外的区域只允许来自Intranet的访问
Order deny,allow
Deny from all
Allow from 192.168.1.0/24



# 在subarea以内,允许所有来自Intranet的访问,
# 但对来自Internet的访问,仅允许HTTPS+Strong-Cipher+Password
# 或者HTTPS+Strong-Cipher+Client-Certificate

# 如果使用了HTTPS,则确保使用高强度加密
# 同时允许客户以基本认证的形式认证
SSLVerifyClient optional
SSLVerifyDepth 1
SSLOptions +FakeBasicAuth +StrictRequire
SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128

# 强制来自Internet的客户使用HTTPS
RewriteEngine on
RewriteCond %{REMOTE_ADDR} !^192\.168\.1\.[0-9]+$
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*) https://%{SERVER_NAME}$1 [L,R]

# 允许网络访问和基本认证
Satisfy any

# 控制网络访问
Order deny,allow
Deny from all
Allow 192.168.1.0/24

# HTTP基本认证
AuthType basic
AuthName "Protected Intranet Area"
AuthBasicProvider file
AuthUserFile conf/protected.passwd
Require valid-user





证书的备份(导出)

在Apache下的证书备份是非常简单的,打开httpd.conf文件,找到SSLCertificateFile和SSLCertificateKeyFile指定的2个文件,通常是.cer(.crt)和.key文件,将这两个文件复制到备份媒质上即可。



证书的恢复(导入)

要恢复Apache的证书同样非常简单,将备份的.cer和.key文件,复制到新的服务器上,然后参考上面服务器证书安装说明,修改httpd.conf文件即可。



通配符和多域名证书在虚拟主机上的部署

如果要在一个IP地址上部署多个SSL网站,一种办法就是给每个网站分配不同的端口号,但这给用户使用带来很多麻烦。如果要在同一个IP地址的443端口上部署多个SSL网站,必须保证这些网站的域名都能匹配相同的一张SSL证书。这是因为SSL握手过程是通过IP+Port来进行通信,一个IP的443端口只能返给客户一张SSL证书(即使配置了多张证书,也只能返回第一张,因为用户请求信息中,只有看到IP地址,无法区分用户需要哪个证书),如果这张证书能够满足这些网站的主机名匹配要求,就可以使用。

一般能匹配多个主机名的证书有通配符证书*.domain.com和多域名证书(www.domain.com,ftp.domain.com等),以下我们提供一个典型同一个IP上的多主机名部署配置,www.domain.com对应的根目录在WWW下,ftp.domain.com对应的根目录在FTP下

NameVirtualHost 11.22.33.44:443


DocumentRoot "C:/Apache2.2/htdocs/www"
ServerName www.domain.com
SSLEngine on
SSLCertificateFile "C:/Apache2.2/conf/server.cer"
SSLCertificateKeyFile "C:/Apache2.2/conf/server.key"



DocumentRoot "C:/Apache2.2/htdocs/ftp"
ServerName ftp.domain.com
SSLEngine on
SSLCertificateFile "C:/Apache2.2/conf/server.cer"
SSLCertificateKeyFile "C:/Apache2.2/conf/server.key"





Openssl编译简介

1、Openssl是开源的,可以到http://www.openssl.org/source/下载最新的版本。然后解压到c:\openssl。

2、要编译Openssl,需要下载并安装ActivePerl,并在系统路径中添加“C:\Perl\site\bin;C:\Perl\bin”

3、安装Vs2003(也可以安装VS2005,2008但这2个版本的VC编译出来的Openssl是有BUG的,在特定情况下会产生win32异常错误,仅适合偶尔用一下的情况)。

4、使用VS2003下的Visual Studio.net 2003 Command Prompt进入控制台模式(这个模式会自动设置各种环境变量)

5、进入c:\openssl。

6、输入(注意大小写): perl Configure VC-WIN32

7、输入: ms\do_ms

8、输入: nmake -f ms\ntdll.mak

9、Openssl已经编译好了,执行程序在out32dll目录下。
分享到:
评论

相关推荐

    WLSPlugin12.2.1.4.0-Apache2.2-Apache2.4-Linux_x86_64-12.2.1.4.0.zip

    "WLSPlugin12.2.1.4.0-Apache2.2-Apache2.4-Linux_x86_64-12.2.1.4.0.zip" 是一个包含WebLogic Plugin的压缩包,适用于Apache 2.2和2.4版本,且专为Linux x86_64架构设计。 **WebLogic Plugin**: WebLogic Plugin...

    Apache_2.4.23-x86-no-ssl.zip

    这通常涉及到下载OpenSSL二进制文件,将其添加到系统路径,然后在Apache的配置文件httpd.conf中修改或添加必要的SSL设置,如SSL证书和私钥的位置,以及启用SSL模块。 Apache的配置文件httpd.conf是控制服务器行为的...

    windows_mod_wsgi_apache2.2-2.4_python2.6-3.4全版本都有

    标题和描述提及的是"windows_mod_wsgi_apache2.2-2.4_python2.6-3.4全版本都有",这表明这是一个针对Windows操作系统的mod_wsgi模块的集合,该模块是为Apache Web服务器设计的,支持Apache 2.2到2.4版本,并且兼容...

    php-apache-mysql配置\Apache2.2-httpd.conf配置.txt

    ### Apache 2.2 的 httpd.conf 配置 #### 1. PHP模块加载 ```plaintext #LoadModulessl_module modules/mod_ssl.soںУ LoadModule php5_module "D:/php5.3.1/php5apache2_2.dll" PHPIniDir "D:/php5.3.1" ``` - **...

    Apache2.2 tomcat-6.0.18负载均衡与集群

    Apache2.2是一个开源的HTTP服务器,它能够通过模块化设计来支持多种功能,如SSL/TLS加密、URL重写、代理服务等。Tomcat则是一款轻量级的应用服务器,主要用于处理Java Servlet和JavaServer Pages(JSP)应用程序。当...

    apache 2.2.29-x64

    Apache HTTP Server 2.2.29-x64 是一个针对64位操作系统的较旧但仍然具有广泛适用性的Web服务器版本。这个版本在很多情况下仍然被使用,尤其是在那些依赖于特定模块或功能的系统中,这些模块或功能可能在更新的版本...

    Apache 2.2安装包+Apache 2.2 中文手册

    1. 安装指南:手册详细介绍了如何在各种操作系统上安装Apache 2.2,包括必要的依赖和步骤。 2. 配置参考:提供所有可用配置指令的解释,帮助管理员根据需求定制服务器行为。 3. 模块介绍:详述了每个内置模块的功能...

    apache2.2 windows安装版 httpd-win32-src.zip

    这个版本(2.2.22)虽然较旧,但仍然包含了许多...Apache2.2虽然已经过时,但它提供了一个学习HTTP服务器基本操作和配置的良好平台。对于开发者和系统管理员来说,了解这些基础知识对于管理和维护现代Web环境至关重要。

    Apache2.2版本中文使用手册.zip

    这个中文使用手册提供了关于如何安装、配置、管理和优化Apache2.2的详细指南,对于开发者和系统管理员来说是宝贵的资源。以下是手册中可能包含的一些关键知识点: 1. **安装Apache2.2**: - Windows、Linux、Mac ...

    apache2.2.zip

    然而,如果你需要运行或维护一个旧系统,了解Apache 2.2的相关知识仍然是必要的。 首先,Apache 2.2引入了模块化的结构,允许用户根据需求自由地添加或移除服务器功能。例如,mod_rewrite模块用于URL重写,这对于...

    apache2.2安装包

    1. 获取软件包:Apache 2.2的安装包可以从Apache官方网站的历史版本中下载,确保选择对应操作系统的版本,例如Linux、Windows或Mac OS。 2. 解压文件:下载完成后,解压文件到合适的目录,如在Linux中,通常会放在 `...

    Apache 2.2中文手册

    1. **安装与配置**:手册会详细解释如何在不同的操作系统(如Windows、Linux、Mac OS X等)上安装Apache 2.2,并介绍配置文件httpd.conf的结构和各项设置,如监听端口、虚拟主机、日志记录等。 2. **模块管理**:...

    APACHE 2.2 中文参考手册

    Apache 2.2 是一款广泛使用的开源Web服务器软件,它为用户提供了一个稳定、高效且可扩展的平台来托管网页和应用程序。Apache 2.2 中文参考手册是针对这款服务器的详细指南,旨在帮助中文用户更好地理解和配置Apache...

    apache httpd-2.2 win64 x64

    本资源为"apache httpd-2.2 win64 x64",是专为64位Windows系统设计的Apache服务器版本,特别适用于Windows 7 64位操作系统。在官方下载页面可能找不到这个特定的64位Windows构建,因此这个分享显得尤为珍贵。 ...

    apache 2.2

    2. **线程支持**:Apache 2.2支持多线程模型(MPM,Multi-Processing Modules),如`prefork`和`worker` MPM,其中`worker`模式是线程化的,适用于高并发场景。 3. **安全性增强**:增加了安全相关的功能,比如支持...

    apache2.2(httpd-2.2.29-x86-r4.zip)

    - **安全增强**:Apache2.2加强了安全特性,如支持最新的SSL/TLS协议,可以防止诸如BEAST和POODLE等已知攻击。 - **更好的性能和内存管理**:通过优化内存分配和减少内存碎片,Apache2.2在处理请求时表现出更好的...

    官网Apache2.2

    这个压缩包文件`httpd-2.2.16-win32-x86-openssl-0.9.8o.msi`包含了在Windows环境下运行Apache 2.2所需的所有组件,包括SSL/TLS加密支持,这通过集成OpenSSL库0.9.8o实现。 **Apache 2.2的主要特点:** 1. **模块...

    apache2.2中文使用手册

    1. 安装过程:在不同的操作系统上(如Linux、Windows、Mac OS)安装Apache 2.2的步骤有所不同。通常涉及下载源码或预编译二进制包,然后按照官方文档进行编译或直接安装。 2. 配置文件:Apache的主要配置文件是`...

    apache2.2.rar

    这个“apache2.2.rar”压缩包包含了使用VC9(Visual C++ 2008)编译器构建的Apache 2.2版本,这意味着它是针对Windows平台的,并且使用了微软的编译工具链进行优化,以提高在Windows环境下的性能和兼容性。...

Global site tag (gtag.js) - Google Analytics