Chinaunix首页 | 论坛 | 博客
  • 博客访问: 7610297
  • 博文数量: 368
  • 博客积分: 9600
  • 博客等级: 上校
  • 技术积分: 18875
  • 用 户 组: 普通用户
  • 注册时间: 2009-01-01 00:00
文章分类

全部博文(368)

文章存档

2017年(9)

2016年(19)

2015年(3)

2014年(6)

2013年(8)

2012年(78)

2011年(66)

2010年(135)

2009年(44)

分类: LINUX

2010-01-29 14:36:45

Apache添加ssl的流程

 

1. 首先保证安装了Openssl,并且能够在在终端执行它。  
  2.
为你的Apache(三倍-DES加密,PEM格式)   创建一个RSA私钥。  
  $   openssl   genrsa   -des3   -out   server.key   1024    
 
请将你的server.key文件备份,并且记住你输入得进入密码。能够通过以下的命令察看该文件:  
  $   openssl   rsa   -noout   -text   -in   server.key    
 
你也可以通过以下的命令创建一个没有加密的版本(不建议):  
  $   openssl   rsa   -in   server.key   -out   server.key.unsecure    
  3.
通过RSA私钥文件来创建一个证书请求文件(PEM格式,CSR  
  $   openssl   req   -new   -key   server.key   -out   server.csr    
 
同样,你需要做一个备份,同时,在Openssl命令行提示输入CommonName的过程中,你必须输入一个FQDN(一个完全的有资格的域名),一个站点生成了一个CSR请求文件。可以通过以下的命令来查看CSR的详细内容:  
  $   openssl   req   -noout   -text   -in   server.csr    
  4.
现在,你已经有了一个证书请求文件(CSR)了,你可以将此文件发送给一个认证机构来进行认证,当然会等一段时间并且花上一些钱。或者通过自己的CA认证机构来进行认证。  
  § Verisign  
     
  § Thawte   Consulting  
     
  § CertiSign   Certificadora   Digital   Ltda.  
     
  § IKS   GmbH  
     
  § Uptime   Commerce   Ltd.  
     
  § BelSign   NV/SA  
     
 
通过以下的命令来察看经过认证的证书信息。  
  $   openssl   x509   -noout   -text   -in   server.crt    
  5.
现在,我们有了两个文件,server.keyserver.crt   ,下面就是在Apache中的httpd.conf文件配置:  
  SSLCertificateFile         /path/to/this/server.crt  
  SSLCertificateKeyFile   /path/to/this/server.key  
                 
 
请求文件不再需要了。  
  ·
使用自认证机构:  
 
最简单的就是通过CA.pl或者是通过CA.sh来对请求文件签名。  
  1.
为你的CA创建一个RSA私钥(三DES加密并且是PEM格式):  
  $   openssl   genrsa   -des3   -out   ca.key   1024    
 
备份并且记住你输入的访问密码。通过以下的命令可以查看私钥的详细信息:  
  $   openssl   rsa   -noout   -text   -in   ca.key    
 
你也可以创建一个非加密的PEM格式的私钥:  
  $   openssl   rsa   -in   ca.key   -out   ca.key.unsecure    
  2.
创建一个自签名的证书文件(X.509   结构,输出为PEM格式):  
  $   openssl   req   -new   -x509   -days   365   -key   ca.key   -out   ca.crt    
 
通过以下的命令查询:  
  $   openssl   x509   -noout   -text   -in   ca.crt    
  3.
准备一个脚本文件来对请求文件签名,Openssl不允许简单的通过openssl   ca来对请求文件签名。所以一个名为sign.sh的脚本文件(mod_ssl的子目录pkg.contrib下),是用这个来进行签名,不过还是建议使 用下面的方法进行签名。  
   
  4.
现在可以用这个脚本来进行签名了(刚才生成的CA的私钥和证书必须在这个脚本的目录下):  
  $   ./sign.sh   server.csr    
 
得到一个证书文件server.crt.    
  ·
怎样更改我的私钥的   pass-phrase   密码?  
 
只需要简单的读取它并重新写入,同时指定它的pass-phrase   ,通过以下的命令完成:  
  $   openssl   rsa   -des3   -in   server.key   -out   server.key.new  
  $   mv   server.key.new   server.key  
 
这时,你被要求两次来输入一个PEM   pass-phrase,第一次要求输入旧密码,第二次要求输入新密码。  
  ·
怎样可以消除Apache启动的时候的密码(pass-phrase)提示对话框:  
 
原因是保存在你的私钥文件中的RSA私钥是一个一加密格式保存的。密码是保证能够读取这个密钥文件,如果保证你的服务器足够的安全的话,可以通过以下的命令消除:  
  1.
RSA私钥中移除密码(同时保留源文件):  
  $   cp   server.key   server.key.org  
  $   openssl   rsa   -in   server.key.org   -out   server.key    
  2.
保证私钥只能被root用户读取:  
  $   chmod   400   server.key    
 
现在这是一个没有没有加密的密钥拷贝。在使用这个密钥文件的时候,将不会再提示你输入密码,然而,如果其他任何人的到这个私钥文件,他都可以在网络上模仿你。所以一定要保证这个密钥文件只能被root用户读取。  
  ·
怎么验证私钥文件和我的证书文件是匹配的?  
 
私钥文件包括一系列的数字。这些数字中的两个是来自公钥文件的,其他的是私钥的一部分。公钥的一些bit值被嵌入到你的证书中(我们可以从证书CSR中得到),通过以下的命令来查看输出的数字,同时比较这些数字:  
  $   openssl   x509   -noout   -text   -in   server.crt  
  $   openssl   rsa   -noout   -text   -in   server.key    
 
他们必须一致,因为它们都是很长的串,所以可以通过下面的方法来查看:  
  $   openssl   x509   -noout   -modulus   -in   server.crt   |   openssl   md5  
  $   openssl   rsa   -noout   -modulus   -in   server.key   |   openssl   md5    
 
这时比较两个短的数字串  
  $   openssl   req   -noout   -modulus   -in   server.csr   |   openssl   md5    

阅读(2796) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~