Chinaunix首页 | 论坛 | 博客
  • 博客访问: 573726
  • 博文数量: 130
  • 博客积分: 7473
  • 博客等级: 少将
  • 技术积分: 1466
  • 用 户 组: 普通用户
  • 注册时间: 2008-05-10 22:29
文章分类

全部博文(130)

文章存档

2012年(1)

2011年(22)

2010年(2)

2009年(58)

2008年(47)

分类: LINUX

2008-11-25 20:20:20

环境:       作者:crazylinux
RedHat 9.0
说明:
使用$ 开头的是普通用户身份执行的命令
使用# 开头的是root帐号执行的命令

第一步:安装apache
下载
apache2:
我需要mod_ssl的支持,和apache1不同的是,mod_ssl不在是单独的模块,而是放在apache发行包里面了,默认是不启用的,config的时候选择上就可以了。

我使用DSO方式编译安装apache,同时将全部模块都编译好,以方便后来可能的需要。只要编辑httpd.conf,在里面去掉不想要的模块(注释或者删除对应模块的LoadModule行),就可以定制自己的apache咯。
$ tar zxvf httpd-2.0.50.tar.gz
$ ./configure --prefix=/usr/local/apache2 --enable-so --enable-ssl=shared --enable-mods-shared=all --with-ssl=/usr/local/ssl
$ make
$ su
# make install

Apache
有两种使用模块的方法,其一是永久性包含进核心;
如果操作系统支持动态共享对象(DSO),而且能为autoconf所检测,则模块还可以被动态编译。
DSO
模块的存储是独立与核心的,可以被核心使用由mod_so模块提供的运行时刻配置指令包含或排除。
如果编译中包含有任何动态模块,则mod_so模块会被自动包含进核心。如果希望核心能够装载DSO,而不实际编译任何动态模块,需要明确指定--enable-so
()

第一次按照上述方法编译的apache,启动的时候会报错:
# cd /usr/local/apache2
# ./bin/apachectl startssl
Syntax error on line 251 of /usr/local/apache/conf/httpd.conf:
Cannot load /usr/local/apache/modules/mod_ssl.so into server: /usr/local/apache/modules/mod_ssl.so: undefined symbol: X509_free

原因是什么呢?看
因为按照下面的方法(参看:Apache2 + mod_ssl + php5 完全安装实录(2))安装的openssl默认是没有编译成动态链接库的,因为其文档说openssl的动态链接库还不成熟,可以使用 ./config shared 编译带动态链接库的openssl,但是还处于试验阶段。

解决这个问题的办法是:将mod_ssl静态的编译到apache里面。
请使用下面的方法重新来过:)
$ ./configure --prefix=/usr/local/apache2 --enable-so --enable-ssl=static --with-ssl=/usr/local/ssl --enable-mods-shared=all
$ make
$ su
# make install

这次启动apache的时候又发现一个错误:
# cd /usr/local/apache2
# ./bin/apachectl startssl
Syntax error on line 108 of /usr/local/apache2/conf/ssl.conf:
SSLCertificateFile: file '/usr/local/apache2/conf/ssl.crt/server.crt' does not exist or is empty

这又是什么原因呢?因为我们没有配置ssl,需要生成ssl需要的证书。
以前使用apache1+mod_ssl的时候,make之后有一个这样的步骤
$ make certificate
可以用来生成ssl所用到的证书。
现在没有这个工具了,只能自己动手生成了,对证书不熟悉的人,有一个工具可以使用:
# cd /usr/local/apache2/conf
# tar zxvf ssl.ca-0.1.tar.gz
# cd ssl.ca-0.1
# ./new-root-ca.sh                         (
生成根证书
)
No Root CA key round. Generating one
Generating RSA private key, 1024 bit long modulus
...........................++++++
....++++++
e is 65537 (0x10001)
Enter pass phrase for ca.key:              (
输入一个密码
)
Verifying - Enter pass phrase for ca.key:  (
再输入一次密码
)
......
Self-sign the root CA...                   (
签署根证书
)
Enter pass phrase for ca.key:              (
输入刚刚设置的密码
)
........
........                                   (
下面开始签署
)
Country Name (2 letter code) [MY]:CN
State or Province Name (full name) [Perak]:JiangSu
Locality Name (eg, city) [Sitiawan]:NanJing
Organization Name (eg, company) [My Directory Sdn Bhd]:Wiscom System Co.,Ltd
Organizational Unit Name (eg, section) [Certification Services Division]:ACSTAR
Common Name (eg, MD Root CA) []:WISCOM CA
Email Address []:acmail@wiscom.com.cn

这样就生成了ca.keyca.crt两个文件,下面还要为我们的服务器生成一个证书:

# ./new-server-cert.sh server              (
这个证书的名字是server)
......
......
Country Name (2 letter code) [MY]:CN
State or Province Name (full name) [Perak]:JiangSu
Locality Name (eg, city) [Sitiawan]:NanJing
Organization Name (eg, company) [My Directory Sdn Bhd]:Wiscom System Co.,Ltd
Organizational Unit Name (eg, section) [Secure Web Server]:ACSTAR
Common Name (eg, ) []:acmail.wiscom.com.cn
Email Address []:acmail@wiscom.com.cn

这样就生成了server.csrserver.key这两个文件。

还需要签署一下才能使用的:
# ./sign-server-cert.sh server
CA signing: server.csr ->; server.crt:
Using configuration from ca.config
Enter pass phrase for ./ca.key:             (
输入上面设置的根证书密码)
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           
RINTABLE:'CN'
stateOrProvinceName   
RINTABLE:'JiangSu'
localityName         
RINTABLE:'NanJing'
organizationName      
RINTABLE:'Wiscom System Co.,Ltd'
organizationalUnitName
RINTABLE:'ACSTAR'
commonName            
RINTABLE:'acmail.wiscom.com.cn'
emailAddress          :IA5STRING:'acmail@wiscom.com.cn'
Certificate is to be certified until Jul 16 12:55:34 2005 GMT (365 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
CA verifying: server.crt <->; CA cert
server.crt: OK
(
如果这里出现错误,最好重新来过,删除ssl.ca-0.1这个目录,从解压缩处重新开始。)

下面要按照ssl.conf里面的设置,将证书放在适当的位置。

# chmod 400 server.key
# cd ..
# mkdir ssl.key
# mv ssl.ca-0.1/server.key ssl.key
# mkdir ssl.crt
# mv ssl.ca-0.1/server.crt ssl.crt

然后就可以启动啦!
# cd /usr/local/apache2
# ./bin/apachectl startssl

对于这个提示:
httpd: Could not determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
只需要编辑httpd.conf,找到ServerName xxxx这一行,去掉前面的注释即可。


openssl
的安装

下载最新版本的openssl:
$ tar zxvf openssl-0.9.7d.tar.gz
$ cd openssl-0.9.7d
$ ./config
$ make
$ su
# make install

默认的安装最后生成的openssl库是静态库,而不是共享库。在编译apache的时候需要注意,需要使用 --enable-ssl=static mod_ssl静态的编译进去才可以正常使用,否则apache在启动的时候会提示错误的。


默认的安装是将openssl全部安装在 /usr/local/ssl 目录下面,所以编译apache的时候,需要指定ssl的目录:--with-ssl=/usr/local/ssl ,因为它在编译的时候要用到openssl提供的头文件和库。

 

 首先要下载所需的软件包:

Apache 1.3.17 这是什么我就不多说了 
apache/dist/apache_1.3.17.tar.gz 
PHP 4.0.4pl1 可选的,我只是要演示一下ssl和其他软件在一起的情况 
4.0.4pl1.tar.gz&source_site= 
openssl 0.9.6 要用他来生成密钥和签署证书 
openssl-0.9.6.tar.gz 
mod_ssl 2.8.0 本文的重点 
ssl-2.8.0-1.3.17.tar.gz 
所有这些都是Open Software 
我的系统是RedHat 6.2,所以我用 tar zxvf file.tar.gz 的方法 
把它们解压缩到 /usr/local/src  
首先编译 PHP  
# cd /usr/local/src/apache_1.3.17 
# ./configure --prefix=/usr/local/apache 
# cd ../php-4.0.4pl1 
# ./configure --with-apache=/usr/local/src/apache_1.3.17 \ 
--enable-safe-mode --enable-bcmath --enable-ftp \ 
--with-gd --with-zlib --enable-trans-sid \ 
--enable-calendar --enable-dbase --enable-exif \ 
--with-mysql=/usr/local/mysql 
# make 
# make install 
# cp php.ini-dist /usr/local/lib/php.ini 
# vi /usr/local/lib/php.ini 
编辑 php.ini,可以在里面加入一些配置信息(比如ZendOptimizer 
再编译 OpenSSL 
# cd ../openssl-0.9.6 
# ./config --prefix=/usr/local/openssl 
注意,这里是 config 而不是 configure 
# make 
# make test 
# make install 
下面是 MOD_SSL 
# cd ../mod_ssl-2.8.0-1.3.17 
# ./configure --with-apache=../apache_1.3.17 
好了,可以开始编译apache了(奇怪,mod_ssl怎么不要编译? 
# cd ../apache_1.3.17 
# SSL_BASE=../openssl-0.9.6 \ 
./configure --prefix=/usr/local/apache \ 
--enable-module=ssl \ 
--activate-module=src/modules/php4/libphp4.a \ 
--enable-module=php4 \ 
--enable-shared=ssl 
# make 
下一步很重要,看清楚了! 
# make certificate TYPE=custom 
这一步要生成你自己的 CA (如果你不知道,我也不能细说了,简单地 
说就是认证中心),和用它来为你的服务器签署证书。 
有很多东西要输入。 
STEP 0: 
选择算法,使用缺省的 RSA 
STEP 1: 
生成 ca.keyCA的私人密钥 
STEP 2: 
CA生成X.509的认证请求 ca.csr 
要输入一些信息: 
Country Name: cn 国家代码,两个字母 
State or Provice name: An Hui 省份 
Locality Name: Bengbu 城市名 
Organization Name: Home CA 组织名,随便写吧 
Organization Unit Name: Mine CA 
Common Name: Mine CA 
Email Address: sunstorm@263.net 我的Email 
Certificate Validity: 4096 四千多天,够了吧 
STEP 3: 
生成CA的签名,ca.crt 
STEP 4: 
生成服务器的私人密钥,server.key 
STEP 5: 
生成服务器的认证请求,server.csr 
要输入一些信息,和STEP 2类似, 
不过注意 Common Name是你的网站域名,如  
Certificate Validity不要太大,365就可以了。 
STEP 6: 
为你的服务器签名,得到server.crt 
STEP 7-8 
为你的 ca.key  server.key 加密,要记住pass phrase 
下面完成apache的安装 
# make install 
# vi /usr/local/apache/conf/httpd.conf 
修改BindAddress  ServerName 
加入关于PHP4的行 
如果要改变 DocumentRoot 要记得把httpd.confSSL Virtual Host Context部分 
DocumentRoot设定也改掉。 
SSLCertificateFileSSLCertificatKeyFile的设定也在 
SSL Virtual Host Context部分。 
它可能是这样设定的: 
SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt 
SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key 
要注意ssl.key ssl.crt等目录和文件的权限! 
所有的key,csr,crt,prm文件都应该设为 400 属性! 
最后测试: 
# cd /usr/local/apache 
# bin/apachectl startssl 
提示输入pass phrase(就是你前面输入的,不知道你还记不记得) 
输入后就启动了一个支持SSLapache 
Netscape里输入 试试, 
注意是https而不是http 
Netscape会有一些提示,不管他一个劲地Next好了! 
然后你应该可以看到页面,而且窗口左下角的锁是锁上的。
阅读(9060) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~