windows 下Apache 配置HTTPS协议搭载SSL配置

 

在设置Apache + SSL之前, 需要做:

安装Apache, 下载安装Apache时请下载带有ssl版本的Apache安装程序.

  并且ssl需要的文件在如下的位置:

    [Apache安装目录]/modules/ mod_ssl.so

    [Apache安装目录]/bin/ openssl.exe, libeay32.dll, ssleay32.dll, openssl.cnf

    [Apache安装目录]/conf/ openssl.cnf

创建SSL证书

打开CMD，进入到Apache安装目录下的bin目录下

步骤一：

       执行命令：openssl genrsa 1024 >server.key

       (RSA密钥对的默认长度是1024，取值是2的整数次方，并且密钥长度约长，安全性相对会高点）。 

      完成密钥server.key生产完毕后进行步骤二操作。

步骤二：

        生产为签署的server.csr

       继续在bin目录下执行命令：

       openssl req -new -config openssl.cnf -key server.key >server.csr

       (如果不加-config .openssl.cnf参数的话，常会报Unable to load config info from .../ssl/openssl.cnf）

        之后就会要求输入一系列的参数：

       Country Name (2 letter code) [AU]:CN ISO 国家代码（只支持两位字符）

       State or Province Name (full name) [Some-State]:ZJ 所在省份

        Locality Name (eg, city) []:HZ 所在城市

        Organization Name (eg, company): 公司名称

        Organizational Unit Name (eg, section) []: 组织名称

        Common Name (eg, YOUR name) []: 申请证书的域名（必须和httpd.conf中serverName必须一致）

        Email Address []:admin@admin.com 管理员邮箱

        Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: 交换密钥 

        An optional company name []: 

        注：Common Name必须和httpd.conf中serverName必须一致，否则apache不能启动（启动 apache 时错误提示为：server RSA certificate CommonName (CN) `Kedou' does NOT match server name!? ）

        完成签署的server.csr配置。

步骤三：

       签署服务器证书文件 server.crt

       在 bin/目录下执行命令：

       openssl req -x509 -days 5000 -config openssl.cnf -key server.key -in server.csr >server.crt

       说明：这是用步骤 1,2 的的密钥和证书请求生成证书 server.crt，-days 参数 指明证书有效期，单位为天，x509 表示生成的为 X.509 证书。

步骤四：

       在bin 目录下，找到server.crt、server.csr、server.key三个文件，将此三个文件复制到Apache的conf目录下。

步骤五：

       配置 httpd.conf. 在Apache的conf\extra目录下的 httpd_ssl.conf 文件是关于 ssl 的配置，是httpd.conf的一 部分。

       在 httpd.conf 中添加下列两行：

       LoadModule ssl_module modules/mod_ssl.so

       Include conf/extra/httpd-ssl.conf

       将ServerName：去掉前面的# 后面的80改为443.

       在Listen 80前加#

步骤六：

       在conf\extra目录下，编辑 httpd_ssl.conf

       61行：

          SSLSessionCache  "dbm:D:/Program/Apache Software/Apache2.2.17/logs/ssl_scache"

       62行：

  #SSLSessionCache   "shmcb:D:/Program/Apache Software/Apache2.2.17/logs/ssl_scache(512000)"

       将61行的SSLSessionCache前#号去掉，将62行的SSLSessionCache前面加上#号，

       （否则启动 apache 时就会出错误：Syntax error on line 62 of D:/Program Files/..../conf/httpd-  ssl.conf：SSLSessionCache:Invalid argument:size has to be >= 8192 bytes）

 

       找到

       <VirtualHost _default_:443>

       修改以下内容

       SSLEngine On 

       SSLCertificateFile "C:/Program Files/Apache Software Foundation/Apache2.2/conf/server.crt"（选择刚刚创建的证书目录）

       SSLCertificateKeyFile "C:/Program Files/Apache Software Foundation/Apache2.2/conf/server.key"

       保存后，重启Apache 服务。