环境：       作者:crazylinux
RedHat 9.0
说明：
使用$ 开头的是普通用户身份执行的命令
使用# 开头的是root帐号执行的命令

第一步：安装apache
下载apache2:
我需要mod_ssl的支持，和apache1不同的是，mod_ssl不在是单独的模块，而是放在apache发行包里面了，默认是不启用的，config的时候选择上就可以了。
我使用DSO方式编译安装apache，同时将全部模块都编译好，以方便后来可能的需要。只要编辑httpd.conf，在里面去掉不想要的模块（注释或者删除对应模块的LoadModule行），就可以定制自己的apache咯。
$ tar zxvf httpd-2.0.50.tar.gz
$ ./configure --prefix=/usr/local/apache2 --enable-so --enable-ssl=shared --enable-mods-shared=all --with-ssl=/usr/local/ssl
$ make
$ su
# make install

Apache有两种使用模块的方法，其一是永久性包含进核心；
如果操作系统支持动态共享对象(DSO)，而且能为autoconf所检测，则模块还可以被动态编译。
DSO模块的存储是独立与核心的，可以被核心使用由mod_so模块提供的运行时刻配置指令包含或排除。
如果编译中包含有任何动态模块，则mod_so模块会被自动包含进核心。如果希望核心能够装载DSO，而不实际编译任何动态模块，需要明确指定--enable-so。
()

第一次按照上述方法编译的apache，启动的时候会报错：
# cd /usr/local/apache2
# ./bin/apachectl startssl
Syntax error on line 251 of /usr/local/apache/conf/httpd.conf:
Cannot load /usr/local/apache/modules/mod_ssl.so into server: /usr/local/apache/modules/mod_ssl.so: undefined symbol: X509_free

原因是什么呢？看
因为按照下面的方法（参看：Apache2 + mod_ssl + php5 完全安装实录（2））安装的openssl默认是没有编译成动态链接库的，因为其文档说openssl的动态链接库还不成熟，可以使用 ./config shared 编译带动态链接库的openssl，但是还处于试验阶段。
解决这个问题的办法是：将mod_ssl静态的编译到apache里面。
请使用下面的方法重新来过：）
$ ./configure --prefix=/usr/local/apache2 --enable-so --enable-ssl=static --with-ssl=/usr/local/ssl --enable-mods-shared=all
$ make
$ su
# make install

这次启动apache的时候又发现一个错误：
# cd /usr/local/apache2
# ./bin/apachectl startssl
Syntax error on line 108 of /usr/local/apache2/conf/ssl.conf:
SSLCertificateFile: file '/usr/local/apache2/conf/ssl.crt/server.crt' does not exist or is empty

这又是什么原因呢？因为我们没有配置ssl，需要生成ssl需要的证书。
以前使用apache1+mod_ssl的时候，make之后有一个这样的步骤
$ make certificate
可以用来生成ssl所用到的证书。
现在没有这个工具了，只能自己动手生成了，对证书不熟悉的人，有一个工具可以使用：
# cd /usr/local/apache2/conf
# tar zxvf ssl.ca-0.1.tar.gz
# cd ssl.ca-0.1
# ./new-root-ca.sh                         (生成根证书)
No Root CA key round. Generating one
Generating RSA private key, 1024 bit long modulus
...........................++++++
....++++++
e is 65537 (0x10001)
Enter pass phrase for ca.key:              (输入一个密码)
Verifying - Enter pass phrase for ca.key:  (再输入一次密码)
......
Self-sign the root CA...                   (签署根证书)
Enter pass phrase for ca.key:              (输入刚刚设置的密码)
........
........                                   (下面开始签署)
Country Name (2 letter code) [MY]:CN
State or Province Name (full name) [Perak]:JiangSu
Locality Name (eg, city) [Sitiawan]:NanJing
Organization Name (eg, company) [My Directory Sdn Bhd]:Wiscom System Co.,Ltd
Organizational Unit Name (eg, section) [Certification Services Division]:ACSTAR
Common Name (eg, MD Root CA) []:WISCOM CA
Email Address []:acmail@wiscom.com.cn

这样就生成了ca.key和ca.crt两个文件，下面还要为我们的服务器生成一个证书：
# ./new-server-cert.sh server              (这个证书的名字是server)
......
......
Country Name (2 letter code) [MY]:CN
State or Province Name (full name) [Perak]:JiangSu
Locality Name (eg, city) [Sitiawan]:NanJing
Organization Name (eg, company) [My Directory Sdn Bhd]:Wiscom System Co.,Ltd
Organizational Unit Name (eg, section) [Secure Web Server]:ACSTAR
Common Name (eg, ) []:acmail.wiscom.com.cn
Email Address []:acmail@wiscom.com.cn

这样就生成了server.csr和server.key这两个文件。
还需要签署一下才能使用的：
# ./sign-server-cert.sh server
CA signing: server.csr ->; server.crt:
Using configuration from ca.config
Enter pass phrase for ./ca.key:             (输入上面设置的根证书密码)
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName            RINTABLE:'CN'
stateOrProvinceName    RINTABLE:'JiangSu'
localityName          RINTABLE:'NanJing'
organizationName       RINTABLE:'Wiscom System Co.,Ltd'
organizationalUnitName RINTABLE:'ACSTAR'
commonName             RINTABLE:'acmail.wiscom.com.cn'
emailAddress          :IA5STRING:'acmail@wiscom.com.cn'
Certificate is to be certified until Jul 16 12:55:34 2005 GMT (365 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
CA verifying: server.crt <->; CA cert
server.crt: OK
(如果这里出现错误，最好重新来过，删除ssl.ca-0.1这个目录，从解压缩处重新开始。)

下面要按照ssl.conf里面的设置，将证书放在适当的位置。
# chmod 400 server.key
# cd ..
# mkdir ssl.key
# mv ssl.ca-0.1/server.key ssl.key
# mkdir ssl.crt
# mv ssl.ca-0.1/server.crt ssl.crt

然后就可以启动啦！
# cd /usr/local/apache2
# ./bin/apachectl startssl

对于这个提示：
httpd: Could not determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
只需要编辑httpd.conf,找到ServerName xxxx这一行，去掉前面的注释即可。


openssl的安装

下载最新版本的openssl:
$ tar zxvf openssl-0.9.7d.tar.gz
$ cd openssl-0.9.7d
$ ./config
$ make
$ su
# make install

默认的安装最后生成的openssl库是静态库，而不是共享库。在编译apache的时候需要注意，需要使用 --enable-ssl=static 将mod_ssl静态的编译进去才可以正常使用，否则apache在启动的时候会提示错误的。

默认的安装是将openssl全部安装在 /usr/local/ssl 目录下面，所以编译apache的时候，需要指定ssl的目录：--with-ssl=/usr/local/ssl ，因为它在编译的时候要用到openssl提供的头文件和库。

 首先要下载所需的软件包：

Apache 1.3.17 这是什么我就不多说了 

apache/dist/apache_1.3.17.tar.gz 

PHP 4.0.4pl1 可选的，我只是要演示一下ssl和其他软件在一起的情况 

4.0.4pl1.tar.gz&source_site= 

openssl 0.9.6 要用他来生成密钥和签署证书 

openssl-0.9.6.tar.gz 

mod_ssl 2.8.0 本文的重点 

ssl-2.8.0-1.3.17.tar.gz 

所有这些都是Open Software。 

我的系统是RedHat 6.2，所以我用 tar zxvf file.tar.gz 的方法 

把它们解压缩到 /usr/local/src 。 

首先编译 PHP ： 

# cd /usr/local/src/apache_1.3.17 

# ./configure --prefix=/usr/local/apache 

# cd ../php-4.0.4pl1 

# ./configure --with-apache=/usr/local/src/apache_1.3.17 \ 

--enable-safe-mode --enable-bcmath --enable-ftp \ 

--with-gd --with-zlib --enable-trans-sid \ 

--enable-calendar --enable-dbase --enable-exif \ 

--with-mysql=/usr/local/mysql 

# make 

# make install 

# cp php.ini-dist /usr/local/lib/php.ini 

# vi /usr/local/lib/php.ini 

编辑 php.ini，可以在里面加入一些配置信息（比如ZendOptimizer） 

再编译 OpenSSL： 

# cd ../openssl-0.9.6 

# ./config --prefix=/usr/local/openssl 

注意，这里是 config 而不是 configure。 

# make 

# make test 

# make install 

下面是 MOD_SSL 

# cd ../mod_ssl-2.8.0-1.3.17 

# ./configure --with-apache=../apache_1.3.17 

好了，可以开始编译apache了（奇怪，mod_ssl怎么不要编译?） 

# cd ../apache_1.3.17 

# SSL_BASE=../openssl-0.9.6 \ 

./configure --prefix=/usr/local/apache \ 

--enable-module=ssl \ 

--activate-module=src/modules/php4/libphp4.a \ 

--enable-module=php4 \ 

--enable-shared=ssl 

# make 

下一步很重要，看清楚了！ 

# make certificate TYPE=custom 

这一步要生成你自己的 CA （如果你不知道，我也不能细说了，简单地 

说就是认证中心），和用它来为你的服务器签署证书。 

有很多东西要输入。 

STEP 0: 

选择算法，使用缺省的 RSA 

STEP 1: 

生成 ca.key，CA的私人密钥 

STEP 2: 

为CA生成X.509的认证请求 ca.csr 

要输入一些信息： 

Country Name: cn 国家代码，两个字母 

State or Provice name: An Hui 省份 

Locality Name: Bengbu 城市名 

Organization Name: Home CA 组织名，随便写吧 

Organization Unit Name: Mine CA 

Common Name: Mine CA 

Email Address: sunstorm@263.net 我的Email 

Certificate Validity: 4096 四千多天，够了吧 

STEP 3: 

生成CA的签名，ca.crt 

STEP 4: 

生成服务器的私人密钥，server.key 

STEP 5: 

生成服务器的认证请求，server.csr 

要输入一些信息，和STEP 2类似， 

不过注意 Common Name是你的网站域名，如  

Certificate Validity不要太大，365就可以了。 

STEP 6: 

为你的服务器签名，得到server.crt 

STEP 7-8 

为你的 ca.key 和 server.key 加密，要记住pass phrase。 

下面完成apache的安装 

# make install 

# vi /usr/local/apache/conf/httpd.conf 

修改BindAddress 和 ServerName 

加入关于PHP4的行 

如果要改变 DocumentRoot 要记得把httpd.conf里SSL Virtual Host Context部分 

的DocumentRoot设定也改掉。 

SSLCertificateFile和SSLCertificatKeyFile的设定也在 

SSL Virtual Host Context部分。 

它可能是这样设定的： 

SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt 

SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key 

要注意ssl.key ssl.crt等目录和文件的权限！ 

所有的key,csr,crt,prm文件都应该设为 400 属性！ 

最后测试： 

# cd /usr/local/apache 

# bin/apachectl startssl 

提示输入pass phrase（就是你前面输入的，不知道你还记不记得） 

输入后就启动了一个支持SSL的apache 

在Netscape里输入 试试， 

注意是https而不是http！ 

Netscape会有一些提示，不管他一个劲地Next好了！ 

然后你应该可以看到页面，而且窗口左下角的锁是锁上的。