Apache-SSL/Apache-ModSSL說(shuō)明由于Apache 版本非常多，每個(gè)版本都不盡相同，因此欲了解更多有關(guān)知識(shí)，請(qǐng)直接訪問(wèn)http://www.apache.org。本文apache 安

Apache-SSL/Apache-ModSSL

說(shuō)明

由于Apache 版本非常多，每個(gè)版本都不盡相同，因此欲了解更多有關(guān)知識(shí)，請(qǐng)直接訪問(wèn)http://www.apache.org。本文apache 安裝配置示例使用的是apache 2.0.59版本，如果進(jìn)行apache 配置時(shí)不能成功完成，可能是版本原因，請(qǐng)參考apache 幫助文件中SSL 相關(guān)章節(jié)進(jìn)行配置。

本文要求系統(tǒng)中已經(jīng)安裝有openssl 軟件，且apache 有mod_ssl模塊：

openssl 用于生成私鑰和CSR，一般系統(tǒng)中已經(jīng)默認(rèn)安裝在/user/bin下，如果您的系統(tǒng)安裝在其他目錄，使用時(shí)請(qǐng)指定正確的目錄路徑。如果沒(méi)有openssl，請(qǐng)?jiān)L問(wèn)http://www.openssl.org下載安裝。

Apache2默認(rèn)安裝沒(méi)有mod_ssl模塊，編譯時(shí)請(qǐng)?jiān)?/configure 中加入--enable-ssl 選項(xiàng)。mod_ssl相關(guān)資料可以在http://www.modssl.org獲得?？梢允褂?/apachectl -l 命令來(lái)查看apache 的模塊。

產(chǎn)生CSR

在生成CSR 文件時(shí)同時(shí)生成您的私鑰，如果您丟了私鑰或忘了私鑰密碼，則頒發(fā)證書(shū)給您后不能安裝成功！您必須重新生成私鑰和CSR 文件，利用證書(shū)補(bǔ)辦流程頒發(fā)新的證書(shū)。為了避免此情況的發(fā)生，請(qǐng)?jiān)谏蒀SR 后一定要備份私鑰文件和記住私鑰密碼，最好是在收到證書(shū)之前不要再動(dòng)服務(wù)器。

“openssl”用于生成私鑰和CSR，一般系統(tǒng)中已經(jīng)默認(rèn)安裝在/user/bin下，如果您的系統(tǒng)安裝在其他目錄，請(qǐng)指定正確的目錄路徑。如果沒(méi)有openssl，請(qǐng)?jiān)L問(wèn)http://www.openssl.org下載安裝。

以下所有命令假設(shè)您已經(jīng)成功安裝OpenSSL，將產(chǎn)生1024位的密鑰，加密算法采用3DES，您必須使用您要申請(qǐng)域名證書(shū)的域名來(lái)命名密鑰文件。

1. 生成私鑰

請(qǐng)使用以下命令來(lái)生成私鑰:

openssl genrsa -des3 -out www.domain.cn.key 1024

如上圖所示，此命令將生成1024位的RSA 私鑰，私鑰文件名為：

www.domain.cn.key，會(huì)提示您設(shè)定私鑰密碼，請(qǐng)?jiān)O(shè)置密碼，并牢記

2. 生成CSR 文件

請(qǐng)使用以下命令來(lái)生成CSR:

openssl req -new -key www.domain.cn.key -out www.domain.cn.csr

此命令將提示您輸入X.509證書(shū)所要求的字段信息，包括國(guó)家(中國(guó)添CN)、省份、所在城市、單位名稱、單位部門(mén)名稱(可以不填直接回車)。請(qǐng)注意： 除國(guó)家縮寫(xiě)必須填CN 外，其余都可以是英文或中文。這些信息具體內(nèi)容可以忽略，生成證書(shū)時(shí)信息以RA 系統(tǒng)中登記的為準(zhǔn)。

Common Name項(xiàng)請(qǐng)輸入您要申請(qǐng)域名證書(shū)的域名，如果您需要為www.domain.cn 申請(qǐng)域名證書(shū)就不能只輸入domain.cn。域名證書(shū)是嚴(yán)格綁定域名的。

請(qǐng)不要輸入Email、口令(challenge password)和可選的公司名稱，直接打回車即可。

您現(xiàn)在已經(jīng)成功生成了密鑰對(duì)，私鑰文件：www.domain.cn.key 保存在您的服務(wù)器中， 請(qǐng)把CSR 文件：www.domain.cn.csr 保存好，在下載證書(shū)時(shí)copy 給CNNIC 即可，CSR文件格式如下圖所示。

3. 備份私鑰文件

請(qǐng)備份您的私鑰文件并記下私鑰密碼。最好是把私鑰文件備份到軟盤(pán)或光盤(pán)中。

4.把CSR 發(fā)給CNNIC，并獲取證書(shū)

生成CSR 后，即可以登錄CNNIC 的證書(shū)下載頁(yè)面，根據(jù)頁(yè)面提示將CSR 中的內(nèi)容復(fù)制粘貼出來(lái)發(fā)送給CNNIC，下載獲取證書(shū)，域名證書(shū)文件名后綴可以為.cer或.crt。請(qǐng)一定不要再動(dòng)您的服務(wù)器，等待證書(shū)的頒發(fā)。

證書(shū)下載

生成完CSR 后，既可以登錄CNNIC 可信網(wǎng)絡(luò)服務(wù)中心網(wǎng)頁(yè)（進(jìn)入www.cnnic.cn ，點(diǎn)擊“可信網(wǎng)絡(luò)”），點(diǎn)擊“網(wǎng)址衛(wèi)士”下載進(jìn)入到證書(shū)下載頁(yè)面。

1.下載域名證書(shū)

A ．點(diǎn)擊“網(wǎng)址衛(wèi)士第一部分”，根據(jù)網(wǎng)頁(yè)上的提示輸入從密碼信封中獲取的“參考號(hào)”和“授權(quán)碼”，復(fù)制上一步所生成的CSR 到網(wǎng)頁(yè)的“CSR ”文本框中，復(fù)制時(shí)不要復(fù)制頭尾的“-----BEGIN NEW CERTIFICATE REQUEST-----”和“-----END NEW CERTIFICATE REQUEST-----”，只要中間的部分。結(jié)果如下所示：

B ．點(diǎn)擊“下載”，如果參考號(hào)、授權(quán)碼和CSR 均無(wú)問(wèn)題，顯示頁(yè)面如下所示。請(qǐng)根據(jù)頁(yè)面上的提示將文本框中的內(nèi)容拷貝下來(lái)，粘貼到一個(gè)新建的文本文件中，并保存，文件名可以是“www.domain.cn.txt ”。

注意：文本框中的內(nèi)容就是此次申請(qǐng)的證書(shū)，請(qǐng)一定將內(nèi)容拷貝保存下來(lái)，如果內(nèi)容丟失，就必須進(jìn)行證書(shū)補(bǔ)辦。

C ．將保存下來(lái)的文本文件的文件類型從.txt 改為.cer ，例如，這就是此次下載下來(lái)的域名證書(shū)。改完后可以雙擊打開(kāi)文件，即可以查看到證書(shū)的具體信息。顯示類似如下（具體內(nèi)容有所不同）：

2.下載證書(shū)鏈上的其他證書(shū)

點(diǎn)擊證書(shū)下載頁(yè)面的“網(wǎng)址衛(wèi)士第二部分”，將壓縮包下載到本地，解壓縮即可以獲取證書(shū)鏈上的中級(jí)根證書(shū)和根證書(shū)。至此證書(shū)下載完成。

安裝證書(shū)

域名證書(shū)安裝指南 - Apache-SSL / Apache ModSSL

1. 保存證書(shū)文件

證書(shū)頒發(fā)后，假設(shè)你所下載保存的域名證書(shū)文件名為www.domain.cn.cer 。 另外，從CNNIC 還可以下載到證書(shū)鏈上的中級(jí)根證書(shū)和根證書(shū)，假設(shè)分別保存為root.cer（根證書(shū)）和CNNIC.cer（中級(jí)根證書(shū)）。

如果apache 版本較低，沒(méi)有預(yù)置根證書(shū)，則此時(shí)需要首先將這兩個(gè)證書(shū)合并成一個(gè)證書(shū)鏈文件,例如叫cachain.cer，以便將根證書(shū)一并安裝進(jìn)去，方法如下。一般較高版本apache 只需安裝中級(jí)根證書(shū)，請(qǐng)忽略如下步驟，直接進(jìn)入“2 安裝證書(shū)”步驟。

A．分別使用文本編輯工具（如notepad）將root.cer 和CNNIC.cer 分別打開(kāi)，分別顯示如下所示

B．使用文本編輯工具新建一個(gè)文件cachain.cer，將root.cer 和CNNIC.cer 中的內(nèi)容拷貝進(jìn)去并保存，其中CNNIC.cer 的內(nèi)容在前，root.cer的內(nèi)容在后，顯示如下所示：

2. 安裝證書(shū)

A. 把域名證書(shū)文件和中級(jí)根證書(shū)文件或證書(shū)鏈文件拷貝到Apache 存放證書(shū)的目錄中，例如： /etc/httpd/conf/ssl.crt/

B.使用文本編輯器打開(kāi)httpd.conf 或ssl.conf 文件，檢查你的虛擬主機(jī)配置內(nèi)是否有下面3行，如沒(méi)有請(qǐng)?zhí)砑尤缦?行參數(shù)。請(qǐng)只修改其中一個(gè)文件，否則會(huì)有沖突而使得Apache 不能正常啟動(dòng)。

SSLCertificateFile /etc/httpd/conf/ssl.crt/www.domain.cn.cer //本地域名證書(shū)文件

SSLCertificateKeyFile /etc/httpd/conf/ssl.crt/www.domain.cn.key //私鑰文件

SSLCertificateChainFile /etc/httpd/conf/ssl.crt/CNNIC.cer //中級(jí)根證書(shū)文件或證書(shū)鏈文件cachain.cer

c. 保存修改。

d. 使用如下命令停止Apache 后再啟動(dòng)Apache，以便Apache daemon能注冊(cè)修改的參數(shù)。

/usr/sbin/apachectl stop

/usr/sbin/apachectl startssl

或:

/usr/sbin/httpd -k stop

/usr/sbin/httpd -DSSL

3. 完成配置

如果分配了443端口作為https 服務(wù)端口，且域名解析配置正確，此時(shí)可以在瀏覽器地址欄輸入：https://www.domain.cn (申請(qǐng)證書(shū)的域名)測(cè)試您的SSL 證書(shū)是否安裝成功，如果成功，則瀏覽器下方會(huì)顯示一個(gè)安全鎖標(biāo)志。請(qǐng)注意：如果您的網(wǎng)頁(yè)中有不安全的元素，則會(huì)提供“是否顯示不安全的內(nèi)容”，建議修改網(wǎng)頁(yè)刪除不安全的內(nèi)容。