通過Linux+Apache+OpenSSL實現SSL(Secure Socket Layer)證書服務器,提供安全的HTTPS(Hypertext Transfer Protocol over Secure Socket Layer)服務。
安裝SSL
1. 安裝openssl
tar -zxvf openssl-0.9.8a.tar.gz
cd openssl-0.9.8a
./configure
make
make install
openssl 安裝在/usr/local/ssl目錄中
2. 安裝apache
tar -zxvf httpd-2.0.55.tar.gz
cd httpd-2.0.55
./configure –prefix=/usr/local/apache –enable-ssl –enable-rewrite –enable-so –with-ssl=/usr/local/ssl
make
make install
apache安裝在/usr/local/apache目錄中
以上是通過源碼方式安裝,最佳的安裝方式通過rpm安裝。先安裝apache的rpm,再安裝openssl的rpm,openssl可自動安裝到apache目錄中。
證書介紹
SSL安全證書可以自己生成,也可以通過第三方的CA(Certification Authority)認證中心付費申請頒發。
SSL安全證書包括:
1. CA證書,也叫根證書或中間級證書。單向認證的https,CA證書是可選的。主要目的是使證書構成一個證書鏈,以達到瀏覽器信任證書的目的。如果使用了CA證書,服務器證書和客戶證書都使用CA證書來簽名。如果不安裝CA證書,瀏覽器默認認爲是不安全的。
2. 服務器證書。必選。通過服務器私鑰,生成證書請求文件CSR,再通過CA證書籤名生成服務器證書。
3. 客戶證書。可選。如果有客戶證書,就是雙向認證的HTTPS,否則就是單向認證的HTTPS。生成步驟和服務器證書類似。
上面幾種證書都可以自己生成。商業上,一般自己提供服務器或客戶證書端的私鑰和證書請求CSR,向第三方機構付費申請得到通過CA證書籤名的服務器證書和客戶證書。
生成證書
用openssl提供的工具CA.sh簽名證書,證書放在/usr/local/apache2/conf/ssl.crt目錄,先把工具拷貝過來:
cp /usr/share/ssl/misc/CA.sh /usr/local/apache2/conf/ssl.crt
1. CA證書(根證書/中間級證書)
是CA認證機構提供,如果是雙向認證則必選,否則是可選。通過CA證書,構成一個證書鏈,目的是使瀏覽器信任你的證書。如果使用了CA證書,用它來簽名服務器和客戶證書,以達到瀏覽器信任的目的。
自己生成CA證書步驟:
./CA.sh –newca
回車創建新文件,輸入加密密碼,並填寫證書信息:
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:Shenzhen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxx
Organizational Unit Name (eg, section) []:xxx
Common Name (eg, YOUR name) []:www.shenmiguo.com
Email Address []:[email protected]
Common Name填入主機全稱是比較好的選擇。這個名稱必須與通過瀏覽器訪問您網站的URL完全相同,否則用戶會發現您服務器證書的通用名與站點的名字不匹配,用戶就會懷疑您的證書的真實性。服務器證書和客戶證書的Common Name應該和CA一致。
生成結果:demoCA/private/cakey.pem是CA證書的私鑰文件,demoCA/cacert.pem是CA證書。
這樣就建好了一個CA服務器,有了一個根證書的私鑰cakey.pem及一張根證書cacert.pem,現在就可以用cacert.pem來給服務器證書或客戶證書籤名了。
我們規範一下CA證書的命名,把CA證書和密鑰重命名一下:
cp demoCA/private/cakey.pem ca.key
cp demoCA/cacert.pem ca.crt
ca.key是中間級證書私鑰,ca.crt是中間級證書。
2. 服務器證書(一般單向認證,只需要服務器證書就可以。)
a) 生成服務器私鑰
openssl genrsa -des3 -out server.key 1024
輸入加密密碼,用128位rsa算法生成密鑰,得到server.key文件。
b) 生成服務器證書請求(CSR)
openssl req -new -key server.key -out server.csr
CSR(Certificate Signing Request)是一個證書籤名請求,在申請證書之前,首先要在WEB服務器上生成CSR,並將其提交給CA認證中心,CA才能給您簽發SSL服務器證書。可以這樣認爲,CSR就是一個在您服務器上生成的證書。CSR主要包括以下內容:
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:Shenzhen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxx
Organizational Unit Name (eg, section) []:xxx
Common Name (eg, YOUR name) []:shenmiguo.com
Email Address []:[email protected]
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Common Name填入主機名和CA一致。
c) 自己生成服務器證書
如果不使用CA證書籤名的話,用如下方式生成:
openssl req -x509 -days 1024 -key server.key -in server.csr > server.crt
用服務器密鑰和證書請求生成證書server.crt,-days參數指明證書有效期,單位爲天。商業上來說,服務器證書是由通過第三方機構頒發的,該證書由第三方認證機構頒發的。
如果使用CA證書籤名,用openssl提供的工具CA.sh生成服務器證書:
mv server.csr newreq.pem
./CA.sh -sign
mv newcert.pem server.crt
簽名證書後,可通過如下命令可查看服務器證書的內容:
openssl x509 -noout -text -in server.crt
可通過如下命令驗證服務器證書:
openssl verify -CAfile ca.crt server.crt
重啓apache時會要求輸入密碼:
openssl rsa -in server.key -out server.key
執行完成以後,並輸入密碼,以後再重啓apache就可以不用輸入密碼了。
3. 客戶證書
客戶證書是可選的。如果有客戶證書,就是雙向認證HTTPS,否則就是單向認證HTTPS。
a) 生成客戶私鑰
openssl genrsa -des3 -out client.key 1024
b) 生成客戶證書籤名請求
openssl req -new -key client.key -out client.csr
c) 生成客戶證書(使用CA證書籤名)
openssl ca -in client.csr -out client.crt
d) 證書轉換成瀏覽器認識的格式
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx
4. 證書列表
如果使用雙向認證,就會有三個私鑰和三個證書。分別是ca.key, ca.crt, server.key, server.crt, client.key, client.crt,以及給瀏覽器的client.pfx。
如果使用有CA證書的單向認證,證書和私鑰就是ca.key, ca.crt, server.key, server.crt。
如果使用無CA證書的單向認證,證書和私鑰就是server.key, server.crt。
轉自:http://hi.baidu.com/phphack/blog/item/d136b03987fcf730b9998f45.html