Apache安装MOD_SSL的手工签署证书的方法_绿色软件之家

绿色软件之家:您身边最放心的安全下载站! 最新更新|软件分类|软件专题|手机版|系统之家|纯净系统

您当前所在位置:首页服务器WEB服务器 → Apache安装MOD_SSL的手工签署证书的方法

Apache安装MOD_SSL的手工签署证书的方法

时间:2015/6/28来源:绿色软件之家作者:网管联盟我要评论(0)

虽然在安装MOD_SSL时已经使用 make certificate 命令建立了服务器的证书签名,但是有时你可能需要改变它。

当然有很多自动的脚本可以实现它,但是最可靠的方法是手工签署证书。

首先我假定你已经安装好了openssl和MOD_SSL,如果你的openssl安装时的prefix设置为/usr/local/openssl,那么把/usr/local/openssl/bin加入执行文件查找路径。还需要MOD_SSL源代码中的一个脚本,它在MOD_SSL的源代码目录树下的pkg.contrib目录中,文件名为 sign.sh。

将它拷贝到 /usr/local/openssl/bin 中。

先建立一个 CA 的证书,

首先为 CA 创建一个 RSA 私用密钥,

[S-1]

openssl genrsa -des3 -out ca.key 1024

系统提示输入 PEM pass phrase,也就是密码,输入后牢记它。生成 ca.key 文件,将文件属性改为400,并放在安全的地方。

[S-2]

chmod 400 ca.key

你可以用下列命令查看它的内容,

[S-3]

openssl rsa -noout -text -in ca.key

利用 CA 的 RSA 密钥创建一个自签署的 CA 证书(X.509结构)

[S-4]

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

然后需要输入下列信息:

Country Name: cn 两个字母的国家代号
State or Province Name: An Hui 省份名称
Locality Name: Bengbu 城市名称
Organization Name: Family Network 公司名称
Organizational Unit Name: Home 部门名称
Common Name: Chen Yang 你的姓名
Email Address: sunstorm@263.net Email地址
生成 ca.crt 文件,将文件属性改为400,并放在安全的地方。

[S-5]

chmod 400 ca.crt

你可以用下列命令查看它的内容,

[S-6]

openssl x509 -noout -text -in ca.crt

下面要创建服务器证书签署请求,

首先为你的 Apache 创建一个 RSA 私用密钥:

[S-7]

openssl genrsa -des3 -out server.key 1024

这里也要设定pass phrase。

生成 server.key 文件,将文件属性改为400,并放在安全的地方。

[S-8]

chmod 400 server.key

你可以用下列命令查看它的内容,

[S-9]

openssl rsa -noout -text -in server.key

用 server.key 生成证书签署请求 CSR.

[S-10]

openssl req -new -key server.key -out server.csr

这里也要输入一些信息,和[S-4]中的内容类似。

至于 'extra' attributes 不用输入。

你可以查看 CSR 的细节

[S-11]

openssl req -noout -text -in server.csr

下面可以签署证书了,需要用到脚本 sign.sh

[S-12]

sign.sh server.csr
就可以得到server.crt。
将文件属性改为400,并放在安全的地方。

[S-13]

chmod 400 server.crt

删除CSR

[S-14]

rm server.csr

最后apache设置

如果你的apache编译参数prefix为/usr/local/apache,那么拷贝server.crt 和 server.key 到 /usr/local/apache/conf

修改httpd.conf

将下面的参数改为:

SSLCertificateFILE /usr/local/apache/conf/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/server.key

可以 apachectl startssl 试一下了。

关键词标签:证书,方法,签署,手工,

相关阅读

文章评论
发表评论

热门文章 ISAPI Rewrite实现IIS图片防盗链ISAPI Rewrite实现IIS图片防盗链IIS6.0下配置MySQL+PHP5+Zend+phpMyAdminIIS6.0下配置MySQL+PHP5+Zend+phpMyAdmin在Windows服务器上快速架设视频编解码器全攻在Windows服务器上快速架设视频编解码器全攻win2000server IIS和tomcat5多站点配置win2000server IIS和tomcat5多站点配置

相关下载

人气排行 XAMPP配置出现403错误“Access forbidden!”的解决办法WIN2003 IIS6.0+PHP+ASP+MYSQL优化配置访问网站403错误 Forbidden解决方法Server Application Unavailable的解决办法如何从最大用户并发数推算出系统最大用户数报错“HTTP/1.1 400 Bad Request”的处理方法http 500内部服务器错误的解决办法(windows xp + IIS5.0)Windows Server 2003的Web接口