当前位置导航:炫浪网>>网络学院>>操作系统>>Linux教程

Apache安装MOD_SSL的补充--手工签署证书的方法


  虽然在安装MOD_SSL时已经使用 make certificate 命令建立了服务器
  的证书签名,但是有时你可能需要改变它。
  
  当然有很多自动的脚本可以实现它,但是最可靠的方法是手工签署
  证书。
  
  首先我假定你已经安装好了openssl和MOD_SSL,如果你的openssl安装时
  的prefix设置为/usr/local/openssl,那么把/usr/local/openssl/bin加入
  执行文件查找路径。还需要MOD_SSL源代码中的一个脚本,它在MOD_SSL的
  源代码目录树下的pkg.contrib目录中,文件名为 sign.sh。
  将它拷贝到 /usr/local/openssl/bin 中。
  
  先建立一个 CA 的证书,
  首先为 CA 创建一个 RSA 私用密钥,
  [S-1]
  openssl genrsa -des3 -out ca.key 1024
  系统提示输入 PEM pass phrase,也就是密码,输入后牢记它。
  生成 ca.key 文件,将文件属性改为400,并放在安全的地方。
  [S-2]
  chmod 400 ca.key
  你可以用下列命令查看它的内容,
  [S-3]
  openssl rsa -noout -text -in ca.key
  
  利用 CA 的 RSA 密钥创建一个自签署的 CA 证书(X.509结构)
  [S-4]
  openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
  然后需要输入下列信息:
  Country Name: cn 两个字母的国家代号
  State or Province Name: An Hui 省份名称
  Locality Name: Bengbu 城市名称
  Organization Name: Family Network 公司名称
  Organizational Unit Name: Home 部门名称
  Common Name: Chen Yang 你的姓名
  Email Address: [email protected] Email地址
  生成 ca.crt 文件,将文件属性改为400,并放在安全的地方。
  [S-5]
  chmod 400 ca.crt
  你可以用下列命令查看它的内容,
  [S-6]
  openssl x509 -noout -text -in ca.crt
  
  下面要创建服务器证书签署请求,
  首先为你的 Apache 创建一个 RSA 私用密钥:
  [S-7]
  openssl genrsa -des3 -out server.key 1024
  这里也要设定pass phrase。
  生成 server.key 文件,将文件属性改为400,并放在安全的地方。
  [S-8]
  chmod 400 server.key
  你可以用下列命令查看它的内容,
  [S-9]
  openssl rsa -noout -text -in server.key
  
  用 server.key 生成证书签署请求 CSR.
  [S-10]
  openssl req -new -key server.key -out server.csr
  这里也要输入一些信息,和[S-4]中的内容类似。
  至于 extra attributes 不用输入。
  
  你可以查看 CSR 的细节
  [S-11]
  openssl req -noout -text -in server.csr
  
  下面可以签署证书了,需要用到脚本 sign.sh
  [S-12]
  sign.sh server.csr
  就可以得到server.crt。
  将文件属性改为400,并放在安全的地方。
  [S-13]
  chmod 400 server.crt
  
  删除CSR
  [S-14]
  rm server.csr
  
  最后apache设置
  如果你的apache编译参数prefix为/usr/local/apache,
  那么拷贝server.crt 和 server.key 到 /usr/local/apache/conf
  修改httpd.conf
  将下面的参数改为:
  SSLCertificateFILE /usr/local/apache/conf/server.crt
  SSLCertificateKeyFile /usr/local/apache/conf/server.key
  
  可以 apachectl startssl 试一下了
相关内容
赞助商链接