銀聯(lián)金融認(rèn)證中心有限公司 China Financial Certification Authority一、 環(huán)境說明服務(wù)器端：apache 1.3.31(windows xp)客

銀聯(lián)金融認(rèn)證中心有限公司 China Financial Certification Authority

一、 環(huán)境說明

服務(wù)器端：apache 1.3.31(windows xp)

客戶端：Winxp IE6.0

數(shù)字證書：CFCA WEB 服務(wù)器證書、普通證書

二、安裝Apache

從 www.apache.org 下載apache 安裝包并安裝。建議安裝1.3.31版本，對下文的配置比較方便。

不要混淆1.3和2.0版本的apache, 不同的版本對應(yīng)不同的mod_ssl。 修改httpd.conf 的下列字段：

[將所有 192.168.120.220 換成你自己的域名或ip!]

Port 80 改成 # Port 80

? Listen 80 （標(biāo)準(zhǔn)web 端口）

? Listen 443 (監(jiān)聽SSL 端口)

? ServerName 192.168.120.220 ?

重啟apache 服務(wù)。

打開 http://192.168.120.220:443/. 此時連接并沒有加密但代表你的

apache 可以正常使用443端口。

三、取得Open_ssl和mod_ssl

從 http://hunter.campbus.com/ 下載并解開下面三個包

Apache_2.0.49-Openssl_0.9.7d-Win32.zip

Apache_1.3.31-Mod_SSL_2.8.20-Openssl_0.9.7d-Win32.zip

Openssl-0.9.7d-Win32.zip

（可能下載的包會有不同）

從openssl 壓縮包里拷貝ssleay32.dll 和libeay32.dll 到WINNTSystem32目錄下. 大約有 70 的人因為沒有這樣做導(dǎo)致安裝失敗。

從http://www.securityfocus.com/data/tools/openssl.conf下載一個openssl.conf 。

四、證書申請下載

1、申請證書

申請服務(wù)器證書：通過RA 系統(tǒng)向CFCA 提交web server的域名或者IP 地址，____________________________________________________________________________________________ 1 HTTP://WWW.CFCA.COM.CN

銀聯(lián)金融認(rèn)證中心有限公司 China Financial Certification Authority

發(fā)放web server證書，拿到web server證書的參考號和授權(quán)碼。

申請用戶端證書：在應(yīng)用中如果強制用戶端使用證書的話，那么用戶必須有

證書，則通過RA 系統(tǒng)向CFCA 提交web 證書（普通證書）的申請，用返回的參考號和授權(quán)碼，在用戶端下載web 證書, 在訪問SSL 服務(wù)器時使用。

2、生成證書請求

把openssl.conf 拷貝到解開的Openssl-0.9.7d-Win32目錄下，在命令提示符狀態(tài)下運行下面的命令

openssl req -new -nodes -keyout private.key -out public.csr –config

openssl.conf

在這里，您需要根據(jù)您Apache 服務(wù)器的實際信息回答一些問題，主要有：國家名（Country Name）、省或洲際名（State or Province Name）、地方名（Locality Name）、組織名（Organization Name）、組織單位名（Organization Unit Name）、通用名（Common Name）、email 地址（Email Name）、私鑰保護(hù)密碼（a challenge password）、可選公司名（An opentional company name）。

這里有必要注意的是，國家名一定要是標(biāo)準(zhǔn)的縮寫，中國是CN ；通用名一定____________________________________________________________________________________________ 2 HTTP://WWW.CFCA.COM.CN

銀聯(lián)金融認(rèn)證中心有限公司 China Financial Certification Authority 是FQDN 。

然后，在您的當(dāng)前目錄下會產(chǎn)生兩個文件：private.key 和public.csr 。 private.key 是您的私鑰，public.csr 是證書請求文件。

3、下載web 服務(wù)器證書

訪問http://210.74.41.87/cgi-bin/CGIProxy?action=start 進(jìn)入下面的頁面

點擊證書下載按鈕，填入取得的參考碼和授權(quán)碼，點擊下一步。

____________________________________________________________________________________________ 3 HTTP://WWW.CFCA.COM.CN

銀聯(lián)金融認(rèn)證中心有限公司 China Financial Certification Authority

私鑰產(chǎn)生方式選擇“提供PKCS10申請書”，點擊提交。

在“請?zhí)钊隤KCS10格式的申請書”文本框中填入public.csr 文件的內(nèi)容（-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----之間的內(nèi)容，不包括-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----），點擊開始下載證書，把證書編碼保存在public.der 文件中（需要加上-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----）即可。

建立一個目錄 Apache/conf/ssl 并拷貝 private.key 和 public.der到該目錄下。

____________________________________________________________________________________________ 4 HTTP://WWW.CFCA.COM.CN

銀聯(lián)金融認(rèn)證中心有限公司

4、安裝 China Financial Certification Authority CA 證書鏈

點擊根證書按扭，點擊CFCA RCA 鏈接，把文件保存在目錄Apache/conf/ssl下，名字為ca.crt ，點擊CFCA TEST CA鏈接，把文件保存在相同的目錄下，名字為ca-chain.crt ，并且把ca.crt 中的內(nèi)容也拷貝到ca-chain.crt 中去。（ca.crt 即root CA的內(nèi)容在最后面）

五、配置Apache 和mod_ssl

從下載的apache-mod_ssl 包里面拷貝所有的 (*.exe, *.dll, *.so) 文件到原始apache 目錄。注意不要覆蓋原始的配置文件httpd.conf 。

注意：查找所有子目錄里的這些后綴文件，拷貝到相應(yīng)目錄并覆蓋。

定位LoadModule 指令在 httpd.conf 文件的位置。增加下列指令：

LoadModule ssl_module modules/mod_ssl.so

在AddModule 指令部分的最后面加上

AddModule mod_ssl.c

從OpenSSL 源文件里拷貝 ssl.conf 到 Apache/conf/. 也可以下載 http://www.raibledesigns.com/tomcat/ssl.conf

在 httpd.conf的最后增加以下指令

SSLMutex sem

SSLRandomSeed startup builtin

SSLSessionCache none

ErrorLog logs/ssl.log

LogLevel info

SSLEngine On

SSLCertificateFile conf/ssl/public.der

SSLCertificateKeyFile conf/ssl/ private.key

SSLCACertificateFile conf/ssl/ca.crt

SSLCertificateChainFile conf/ssl/ca-chain.crt

SSLVerifyClient require

SSLVerifyDepth 10

如果配置文件里IfDefine 指令有效，則運行apache 的時候要加上 -D SSL 參數(shù)。

六、對CRL 查詢的支持

apache 根據(jù)系統(tǒng)里面擁有 的客戶端證書頒發(fā)CA 所簽發(fā)的CRL 來決定是否信任客戶端證書，此時，我們首先要獲得一個有效的CRL 。

登陸http://210.74.41.87/cgi-bin/CGIProxy?action=start

____________________________________________________________________________________________ 5 HTTP://WWW.CFCA.COM.CN

銀聯(lián)金融認(rèn)證中心有限公司 China Financial Certification Authority 點擊注銷鏈的下載CRL 鏈接，保存CRL 文件crl.crl 到本地的Apache/conf/ssl目錄下。

加項：

SSLCARevocationPath conf/ssl/

SSLCARevocationFile conf/ssl/crl.crl 修改httpd.conf 文件，在最后增加的對中增

七、啟動和驗證ssl

啟動apache 服務(wù)器，點擊開始->程序->Apache http server->control apache server->start即可

____________________________________________________________________________________________ 6 HTTP://WWW.CFCA.COM.CN

銀聯(lián)金融認(rèn)證中心有限公司 China Financial Certification Authority

如果一切順利，那么，打開IE ，訪問https://192.168.120.220, 測試SSL 服務(wù)是否正常。

彈出選擇證書的對話框，選擇證書后，彈出下面的提示框，點“確定

____________________________________________________________________________________________ 7 HTTP://WWW.CFCA.COM.CN

銀聯(lián)金融認(rèn)證中心有限公司 China Financial Certification Authority 能夠正常訪問頁面，服務(wù)正常。

____________________________________________________________________________________________ 8 HTTP://WWW.CFCA.COM.CN