茫茫網海中的冷日
         
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已!
 恭喜您是本站第 1672195 位訪客!  登入  | 註冊
主選單

Google 自訂搜尋

Goole 廣告

隨機相片
IMG_60D_00308.jpg

授權條款

使用者登入
使用者名稱:

密碼:


忘了密碼?

現在就註冊!

小企鵝開談 : [Linux教學]如何設定apache2+SSL

討論區主頁 - 主題一覽 > 小企鵝開談 > [Linux教學]如何設定apache2+SSL
討論串 | 最新的先
前一個主題 | 下一個主題 | 頁尾
主題一覽的上方
發表者 討論內容
冷日
(冷日)		 發表時間:2004/8/6 1:19
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[Linux教學]如何設定apache2+SSL
我把苦了3天的安裝心得分享給各位
ps.Red hat9的openssl-0.9.7a有bug,記得安裝新版的openssl..
----------------------------------------
1.下載原始檔
Apache: 例如 httpd-2.0.48.tar.gz(http://www.apache.org)
OpenSSL: 例如 openssl-0.9.7c.tar.gz (http://www.openssl.org)

2.進行解壓縮
命令如下:
#tar xzvf httpd-2.0.48.tar.gz
#tar xzvf openssl-0.9.7c.tar.gz

4.接下來進行 OpenSSL 的安裝設定
# cd openssl-0.9.7c (進入解壓縮後的 openssl source 資料夾中)
# ./config --prefix=/usr/local --openssldir=/usr/local/openssl
#make
#make install


7.最後的安裝 Apache
#cd httpd-2.0.48 (進入解壓縮後的 apache 原始檔資料夾)
#./configure --prefix=/usr/local/apache --enable-so --enable-ssl --with-ssl=/usr/include
#make (編譯)
#make install (編譯完成執行安裝)


(三).產生及安裝憑證
1.完成以上軟體的安裝後, 我們便可開始進行憑證申請及安裝, 其程序大致如下:
1) 產製金鑰對
2) 產生憑證申請檔
3) 至網際威信申請憑證
4) 安裝憑證

2.接著, 請開始產製金鑰對, 為了有系統管理金鑰及憑證, 請在您安裝 apache 的資料夾中, 建立一新子目錄, 例如 certs, 並切換到該資料夾中

3.請輸入如下的命令, 產製金鑰對
#openssl genrsa –des3 –out mykeys.key 1024
參數說明: genrsa 表示使用 RSA 演算法產製金鑰
-des3 表示使用 DES3 加密演算法
-out mykeys.key 表示輸出的檔案為何, 檔名及路徑可自定
1024 表示金鑰對長度為 1024 (建議使用)
% 您可以另外使用 openssl genrsa ? 看其全部的參數
接著, 會出現 Generating RSA Private key, 1024 long module…至
Enter PEM pass phrase: (請在此輸入金鑰對密碼)

注意, 請特別保留該組密碼, 其作為將來啟動 Apache + SSL 時的密碼, 一旦遺失, 則便無法啟動

4.完成後, 便建立好金鑰對了, 您可以看到在所設定路徑下會有個金鑰對的檔案, 如本例子為 mykeys.key, 接著, 請輸入如下命令, 以產生 CSR 檔
#openssl req –new –key mykeys.key –out mysite.csr
參數說明: req 表示要產生 CSR 檔
-new 新的檔案
-key mykeys.key 金鑰對檔案的路徑及檔名
-out mysite.key 所產生的 CSR 檔案的路徑及檔名
接著, 會出現 Enter PEM pass phrase: (請輸入先前設定好的密碼)

之後, 便須開始輸入一些相關資料如下(請輸入英數字, 不可有任何特殊字元):
Country Name : TW (請用兩個英文字元表示)
State or Province Name: Taiwan (省份名稱)
Locality Name: Taipei (城市名稱)
Organization Name: (公司名稱)
Organizational Unit Name: (部門名稱)
Common Name: my.website.com.tw (網址名稱, 即公用名稱, 您要使用 SSL 加密的站台名稱)
Email Address: me@localhost.com.tw (網站管理者的email address)
此外, 尚有一些 extra 的資料, 您可不理會, 直接按 Enter 過去即可, 最後即可產生 mysite.csr 檔
請將該 CSR 以文字編輯軟體開啟, 並複製貼上至網際威信 http://www.hitrust.com.tw

5.在憑證核發後, 您會收到一封 Email, 其中包含憑證檔案

6.請將其剪下, 另存成一個文字檔, 檔名自定, 如 mysite.crt, 並放置於剛剛所建立為了管理方便起見的 certs 資料夾中(當然, 您可以依據自己的需要, 放置於您決定的路徑即可)

7.另外, 如果您是申請 VeriSign 128 bits SSL 伺服器數位憑證時, 在 Email 中亦會要求您至如下的網址, 取得中繼憑證, 請記得務必要執行此項動作

8.最後, 您只須修改 Apache 的設定檔 ssl.conf

1)
Listen 443
預設值 443

2)
<VirtualHost _default_:443>

# General setup for the virtual host
DocumentRoot "/var/www/html"
ServerName www.ooo.xxx:443
ServerAdmin mymail@mail.com.tw
ErrorLog /usr/local/apache/logs/error_log
TransferLog /usr/local/apache/logs/access_log
設定方式與httpd.conf雷同

3)
# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on
預設值 on

4) SSLCertificateFile
/usr/local/apache/certs/mysite.crt
即憑證路徑, 請指向放置憑證檔的路徑

5) SSLCertificateKeyFile
/usr/local/apache/certs/mykeys.key
即私鑰路徑, 請指向放置私鑰檔的路徑

6) SSLCertificateChainFile
/usr/local/apache/certs/intermediate.crt
若您申請 VeriSign 128 bits SSL 伺服器數位憑證, 您務必要設定

9.之後, 您便可重新啟動 apache 了, 命令如下:
#apachectl startssl
在啟動過程中, 會要求您輸入密碼如下:
Enter pass phrase: (請在此輸入您當初產製金鑰對時的密碼)
回覆
冷日
(冷日)		 發表時間:2011/7/13 8:18
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]製作憑證與建立安全連線(設定 Apache2 + SSL)

製作憑證與建立安全連線

2010-10-21 10:12

設定 Apache2 + SSL

在 Apache2 上面建立 SSL 連線,首先您要有伺服器憑證。
假如您尚未有伺服器憑證,請買一個、要一個、請別人做一個,或者參考其它文章自行製作。

‧自行製作憑證請注意:

憑證名稱 (Common Name) 請與伺服器名稱相同 (Server Name)。
製作好的憑證在使用上可能會出現「憑證無效」、「憑證無法驗證」等的訊息。
因為這些憑證的簽發者不是客戶端所已知且被信任的,所以您需要將簽發此憑證的根憑證發散出去給需要用到這些憑證的使用者。
在 Internet Explorer 上,下載根憑證後開啟可以將憑證匯入系統之內,
日後此根憑證所簽發的憑證都會被信任。
注意:發散的是憑證檔 (.crt, ex. RootCA.crt),不是 Private Key (.key, ex. RootCA.key) 檔。

From:http://giayiu.twbbs.org/FreeBSD/

‧使用 Ports 安裝 Apache2:

# 使用 CVSup 更新 Ports。
cd /usr/ports
make update
# 安裝 apache2
cd /usr/ports/www/apache2
make install clean

‧設定憑證資料:

將憑證檔與 Private Key 檔放至 /usr/local/etc/apache2/ssl.crt
Private Key 檔請更名為 server.key
憑證檔請更名為 server.crt
‧憑證設定注意:

您可以自行決定檔名及目錄,但請注意:
請修改 /usr/local/etc/apache2/ssl.conf 檔

「SSLCertificateFile」、「SSLCertificateKeyFile」的位置。
請修改 /usr/local/etc/rc.d/apache2.sh
將 start) 部份的 $PREFIX/etc/apache2/ssl.crt/server.crt 改成您的憑證位置,
這樣在開機啟動時,才會啟動 SSL。
/usr/local/etc/apache2/ssl.conf 預設的檔案位置:
Server Certificate:
SSLCertificateFile /usr/local/etc/apache2/ssl.crt/server.crt
Server Private Key:
SSLCertificateKeyFile /usr/local/etc/apache2/ssl.key/server.key

自行建立根憑證並簽發伺服器憑證

當你想為您的伺服器建立 SSL 連線時 (ex. web, smtp, pop3, imap ...),您首先需要製作一些憑證給伺服器以及客戶端使用。

假如您不需要花錢去申請公正憑證中心所簽發的憑證 (ex. VeriSign ...),您就可以使用如下的方式自行當做憑證中心簽發憑證給自行使用。

發行憑證流程:

1.使用者建立 Private Key,使用所建立的 Private Key 產生憑證申請書送至憑證中心。
2.憑證中心收到憑證申請書後,使用憑證中心的憑證對使用者的憑證申請書做簽名,完成簽發憑證。

建立憑證都需要三個步驟:

1. 建立 Private Key。
2. 使用 Private Key 產生憑證申請書。
3. 為憑證申請書籤名做簽發憑證。

所以您需要:

‧產生根憑證 (Root CA)。(簽發伺服器憑證用。)

要先建立根憑證的 Private Key。
產生根憑證的申請書。
使用根憑證本身簽髮根憑證。(因為您是憑證鍊的最高等級)
‧產生伺服器憑證。

建立伺服器憑證的 Private Key。

產生伺服器憑證的申請書。
使用根憑證簽發伺服器憑證。

‧在製作之前,有幾點要注意:

請自行更改所有的輸入、輸出檔名及路徑,放在 /usr/local/CA 是個不錯的選擇 。
所有的 Private Key 請妥善保存,不可外洩,否則其它人可以冒名簽發憑證,或者解碼被加密的資料。
根憑證的 Private Key 在製作時請一定要設定密碼。(不用做伺服器憑證)
根憑證的憑證名稱 (Common Name) 請填上發行人或單位名稱 (ex. ISU CNA Root CA)。
(不用做伺服器憑證)
伺服器憑證的憑證名稱 (Common Name) 請填上主機的全名 (ex. mail.cna.isu.edu.tw)。
憑證申請書填寫方法請見作法之後說明。
日後需要重新簽發或者製做其它的伺服器憑證,只需要重覆做產生伺服器憑證的動作就可以了。 (除非根憑證過期才需要重做根憑證。)
製作好的憑證在使用上可能會出現「憑證無效」、「憑證無法驗證」等的訊息。
因為這些憑證的簽發者不是客戶端所已知且被信任的,所以您需要將 RootCA.crt 發散出去給需要用到這些憑證的使用者。
在 Internet Explorer 上,下載根憑證後開啟可以將憑證匯入系統之內,日後此根憑證所簽發的憑證都會被信任。
注意:發散的是憑證檔 (.crt, ex. RootCA.crt),不是 Private Key (.key, ex. RootCA.key) 檔。

‧根憑證 (Root CA) 作法:

‧建立根憑證的 Private Key

# 在此步驟請務必要設定密碼!
openssl genrsa -des3 -out RootCA.key 2048
# 讓其它人無法讀寫 Private Key 檔。
chmod og-rwx RootCA.key

‧產生根憑證的申請書

# 請參考後面所提供的範例,Common Name 請不要填 Hostname。
# (不用做伺服器憑證)
# 在這要輸入產生根憑證 Private Key 時所設定的密碼。

openssl req -new -key RootCA.key -out RootCA.req

‧使用根憑證本身簽髮根憑證

# 在這要輸入產生根憑證 Private Key 時所設定的密碼。
# -days 設定根憑證的有效期限。(3650 ~= 十年)
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey RootCA.key -in RootCA.req -out RootCA.crt
# 刪除申請書。(憑證已經簽發完成)
rm -f RootCA.req

‧伺服器憑證作法:

‧建立伺服器憑證的 Private Key

# 伺服器憑證不設定密碼。(否則開機啟動時會停住要求使用者輸入密碼。)
openssl genrsa -out HostCA.key 2048
# 讓其它人無法讀寫 Private Key 檔。
chmod og-rwx HostCA.key

‧產生伺服器憑證的申請書

# 請參考後面所提供的範例,Common Name 請填上 Hostname。
openssl req -new -key HostCA.key -out HostCA.req

‧使用根憑證簽發伺服器憑證

# 在這要輸入產生根憑證 Private Key 時所設定的密碼。
# -days 設定根憑證的有效期限。(365 ~= 一年)
# CAserial 是憑證序號檔。
# CAcreateserial 是前面所指定的序號檔不在時自動建立之。
openssl x509 -req -days 365 -sha1 -extensions v3_req -CA RootCA.crt -CAkey RootCA.key -CAserial RootCA.srl -CAcreateserial -in HostCA.req -out HostCA.crt
# 刪除申請書。(憑證已經簽發完成)
rm -f HostCA.req

‧憑證申請書填寫方法


/usr/local/CA# openssl req -new -key RootCA.key -out RootCA.req


Enter pass phrase for RootCA.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
# 填入TW 代表 Taiwan
Country Name (2 letter code) [AU]:TW
# TW 的全名 Taiwan
State or Province Name (full name) [Some-State]:Taiwan
# 城市名
Locality Name (eg, city) []:Kaohsiung Country
# 組織名稱 (公司名稱)
Organization Name (eg, company) [Internet Widgits Pty Ltd]:I-Shou University
# 單位名稱 (部門名稱)
Organizational Unit Name (eg, section) []:Campus Network Association
# 憑證名稱 (請注意先前所提到有關根憑證與伺服器憑證的注意事項)
Common Name (eg, YOUR name) []:CNA Root CA
# 填入聯絡信箱
Email Address []:cna@cna.isu.edu.tw
# 以下請都按 [Enter] 跳過,不需要用到。
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:


An optional company name []:

設定 Sendmail + SASL2 + TLS (SSL)

‧SSL

要建立 SSL 連線,必需在編譯時加上 TLS Support 的選項。
TLS 是在原本的連接埠 (usually, 25) 上面使用 STARTTLS 來建立 SSL 連線。

‧SASL2

要使用 SASL2,要先安裝 cyrus-sasl2 與 cyrus-sasl2-saslauthd,再編譯 Sendmail。
SASL 讓使用者經過伺服器認證後,能使用本伺服器寄發信件。

‧Outlook Express 客戶端設定:

開啟 Outlook Express,點選[工具]→[帳戶]→雙點您的 Email 帳戶
SASL)→伺服器→勾選 "我的伺服器需要驗證"。
TLS)→進階→勾選在 外寄郵件-SMTP 下方的 "這個伺服器需要安全連線-SSL"。

‧使用 Ports 安裝 Sendmail + SASL2 + TLS:

# 使用 CVSup 更新 Ports。
cd /usr/ports/mail/sendmail
# 安裝 Sendmail Support SASL2+TLS
make -DSENDMAIL_WITH_TLS -DSENDMAIL_WITH_SASL2 install

‧使用 Port 安裝 Sendmail + SASL2 + TLS 請注意:

使用 ports 安裝並不會動到系統內建的 Sendmail。
在 /etc/rc.conf 設定 sendmail_enable="NONE" 以關閉系統內建的 Sendmail。
用 /usr/local/etc/rc.d/sendmail.sh start 啟動。(開機時會自動執行此檔)
想讓系統內建的 Sendmail Support SASL2+TLS 請參考非 Port 安裝部份。

請跳過此行之後的安裝步驟,跳至接在之後的 sendmail.cf 設定。
--------------< 非 Ports 安裝 Sendmail + SASL2 + TLS >---------------------

‧使用 Ports 安裝 cyrus-sasl2 與 cyrus-sasl2-saslauthd:

# 使用 CVSup 更新 Ports。
cd /usr/ports
make update
# 安裝 cyrus-sasl2
cd /usr/ports/security/cyrus-sasl2
make install clean
# 安裝 cyrus-sasl2-saslauthd
cd /usr/ports/security/cyrus-sasl2-saslauthd
make install clean

‧編譯 Sendmail

請在 /etc/make.conf 中加入一些 Sendmail 編譯選項:
SENDMAIL_CFLAGS=-I/usr/local/include -DSASL=2 -DSTARTTLS
SENDMAIL_LDFLAGS=-L/usr/local/lib
SENDMAIL_LDADD=-lsasl2 -lssl -lcrypto
您可以另外安裝 Sendmail 來替換系統內建的,或者在 /usr/src/usr.sbin/sendmail 重編譯系統內建的 Sendmail。
或者 make update 後順道 make world 一下。
重新編譯系統內建的 Sendmail 請用:
cd /usr/src/usr.sbin/sendmail ; make clea ; make all install
-------------------------< Sendmail.cf 檔設定 >----------------------------

‧設定 sendmail.cf

請在 /etc/mail 或 /usr/local/etc/mail 設定 {hostname}.mc

請加入以下設定:
dnl The following lines are used to enable the STARTTLS function
define(`confCACERT_PATH', `/usr/local/CA')
define(`confCACERT', `/usr/local/CA/RootCA.crt')
define(`confSERVER_CERT', `/etc/mail/CA/HostCA.crt')
define(`confSERVER_KEY', `/etc/mail/CA/HostCA.key')
define(`confCLIENT_CERT', `/etc/mail/CA/HostCA.crt')
define(`confCLIENT_KEY', `/etc/mail/CA/HostCA.key')
define(`confDONT_BLAME_SENDMAIL', `GroupReadableKeyFile')
dnl The following lines are used to enable CYRUS-SASL function
TRUST_AUTH_MECH(`LOGIN PLAIN')dnl
define(`confAUTH_MECHANISMS', `LOGIN PLAIN')dnl

製作並安裝 sendmail.cf
make install

‧憑證設定:

將根憑證 RootCA.crt 放在 /usr/local/CA/
將伺服器憑證: HostCA.crt 放在 /etc/mail/CA/
將伺服器憑證 Private Key: HostCA.key 放在 /etc/mail/CA
設定 Private Key 權限:
chgrp smmsp /etc/mail/CA/HostCA.key
chmod o-rwx /etc/mail/CA/HostCA.key

‧憑證設定注意:

您可以自行決定檔名及目錄,但請連同更改 {hostname}.mc 的 CA 位置。

記得重做 sendmail.cf (cd /etc/mail ; make install)。

設定 imap-uw (POP3,IMAP4) + SSL

‧Outlook Express 客戶端設定:

開啟 Outlook Express,點選[工具]→[帳戶]→雙點您的 Email 帳戶
POP3)→進階→勾選在 內收郵件-POP3 下方的 "這個伺服器需要安全連線-SSL"。(連接埠→995)
IMAP4)→進階→勾選在 內收郵件-IMAP 下方的 "這個伺服器需要安全連線-SSL"。(連接埠→993)

‧使用 Ports 安裝 imap-uw (POP3, IMAP4):

# 使用 CVSup 更新 Ports。
cd /usr/ports
make update
# 安裝 imap-uw Support SSL
cd /usr/ports/mail/imap-uw
make -DWITH_SSL_AND_PLAINTEXT install clean

‧憑證設定:

將伺服器憑證與 Private Key 放在同一個檔案。
cat HostCA.key > /usr/local/certs/imapd.pem
cat HostCA.crt >> /usr/local/certs/imapd.pem
設定憑證權限、ipop3d 憑證檔:
chmod og-rwx /usr/local/certs/imapd.pem
# pop3 與 imap4 使用同一個憑證。
ln -s /usr/local/certs/imapd.pem /usr/local/certs/ipop3d.pem

‧imap-uw 設定:

確認 /etc/services
imaps 993/tcp # imap4 protocol over TLS/SSL
imaps 993/udp

pop3s 995/tcp spop3 # pop3 protocol over TLS/SSL
pop3s 995/udp spop3
修改 /etc/inetd.conf
pop3 stream tcp nowait root /usr/local/libexec/ipop3d ipop3d
pop3s stream tcp nowait root /usr/local/libexec/ipop3d ipop3d
imap4 stream tcp nowait root /usr/local/libexec/imapd imapd
imaps stream tcp nowait root /usr/local/libexec/imapd imapd
重新啟動 inetd
kill -HUP `cat /var/run/inetd.pid`
‧憑證設定注意:

不可以更改憑證位置與檔名。(ipop3d/imapd 固定讀取路徑與檔名)

http://article.denniswave.com/589

原文出處:製作憑證與建立安全連線_晨曦_百度空间
回覆
冷日
(冷日)		 發表時間:2017/3/3 7:13
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]安裝自簽憑證在 XAMPP

安裝自簽憑證在XAMPP(CENTOS)的SERVER上

如果您想要有SSL連線的保護,但又沒有錢買正式的憑證來安裝,這邊有另一個選擇,您可以使用自簽憑證安裝在網站主機上,讓您的網頁server有SSL的連線保護(雖然瀏覽器會跳出警示)雖然有人說自簽憑證並不適合用於一般網站上,但是您可以當作測試網站時使用,本篇文章介紹您如何安裝自簽憑證在您的系統上,一起來了解!

我們先說明一下系統環境: OS: Centos 6 , 有安裝XAMPP SERVER (XAMPP會把apache php mysql openssl...安裝完成)! 主要安裝自簽憑證有四個步驟

1.製作自簽憑證

2.將自簽憑證與私鑰放到apache的設定檔案位置中

3.將設定檔案中的網域改成您的網域

4.開啟防火牆的SSL Port設定

5.打開https網頁測試看看

1.首先製作自簽憑證 請到本網站提供的SSL憑證產生工具進行製作,請連線到sslbuyer的憑證工具中憑證產生器,如下圖

點選紅色框框的選項, 可以看到填寫基本資料的畫面,如下圖


欄位填寫說明如下:

1.Common Name [CN] : 填寫您的網域名稱資料, 我們這次是要進行測試, 並沒有申請網域, 因此也可以填寫IP,此IP將會出現在憑證的CN中!

2.Organization [O] : 填寫您的組織(公司)名稱, 如SSLBUYER Ltd.

3.Org. Unit [OU] : 填寫您的部門名稱,例如資訊安全部(Information Security Dep.)

4.Locality [L] : 填寫組織(公司)的所在地 : 如在台北可填 Taipei

5.State [ST] : 填寫組織(公司)所在的州或郡, 沒有的話可填寫國家名稱,如Taiwan

6.Country [C] :選擇國家

7.選擇金鑰長度演算法: 有RSA與ECC兩種,目前大部分都選RSA2048,ECC的話要另外選擇curve的種類

8.Signature Key Type : 選擇雜湊函數演算法, 目前大部分都選SHA256

9.SSL Validity : 選擇這張憑證的效期 當您都填寫完成後,就如下圖的樣子

在檢查一下,沒問題後,按下send 就產生憑證以及私密金鑰,如下圖


這時候請將憑證檔案壓縮檔以及私密金鑰壓縮檔,下載到您的主機上(可按下下載按鈕),如下圖

2.將自簽憑證與私鑰放到apache的設定檔案位置中

然後解壓縮檔案把憑證檔案與金鑰檔案copy到您apache的設定檔案位置中, 我們先打開 /opt/lampp/etc/extra/httpd-ssl.conf檔案, 找到如下圖的紅色框框

這路徑就是您要放檔案的位置

憑證檔案server.crt請放在 /opt/lampp/etc/ssl.crt/server.crt

私密金鑰server.key檔案請放在/opt/lampp/etc/ssl.key/server.key

如下圖

server.crt真正放的地方

server.key真正放的地方

3.將設定檔案中的網域改成您的網域

因為我們這次是測試機,並沒有申請網域,只有內部IP的資料,所以,請找到以下紅色框框,把網域改成內部IP,

我們的IP為:192.168.48.128,如下圖

改好之後,輸入 /opt/lampp/lampp restart 重新啟動apache(XAMPP),如下圖

4.開啟防火牆的SSL Port設定

這時候我們檢查一下443 port是否有開, 請輸入 netstat -an | grep 443 ,如下圖


表示443port有打開, 這時候我們打開https的網頁看看是否OK, 發現連不上 , 如下圖

這時候先想到防火牆是否有開啟, 請輸入 service iptables stop 把防火牆先關閉(正式環境不建議使用),如下圖

看來的確是防火牆擋住,這時候請您打開iptable的檔案( vi /etc/sysconfig/iptables) 加入以下

-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT 

然後重新啟動防火牆(service iptables restart),把防火牆打開,如下圖


這時候再打開網頁看看是否可以看到,這時候OK拉,如下圖,有警告是因為這是自簽憑證,沒有經過瀏覽器廠商植入!

我們來看看憑證內容是否是跟我們製作的時候一樣,請打開網址列的鎖頭,會看到如下的圖

這時候我們點開憑證資訊,可以看到憑證的資料內容,如下圖 簽發者為自己簽給自己

簽發的內容跟填入的內容一樣

憑證路徑上只有一張


這樣就表示您的自簽憑證安裝完成了!

PS:自簽憑證主要可用來測試您安裝的正式憑證的前期作業,您可以使用本網站提供的工具進行安裝測試,等到您測OK後,就可以把您正式憑證放到主機上正式使用!

原文出處:安裝自簽憑證在XAMPP(CENTOS)的apache sever上 - SSL憑證推薦網 | SSL憑證 | code Sign
回覆
冷日
(冷日)		 發表時間:2017/3/3 7:16
Webmaster
  • 註冊日: 2008/2/19
  • 來自:
  • 發表數: 15771
[分享]Apache - HTTPS SSL 虛擬目錄設定
Apache - HTTPS SSL 虛擬目錄設定

摘要:Apache - HTTPS SSL 虛擬目錄設定

hosts的設定參考上一篇文章 http://www.dotblogs.com.tw/newmonkey48/archive/2013/11/15/129648.aspx

這一篇我要講的是設定https的虛擬目錄設定

我使用的是XAMPP一次安裝WAMP的工具。

然後,開啟 C:\xampp\apache\conf\extra\httpd-ssl.conf

我對Apache對SSL的port的設定,設定為444

設定如下資訊
<VirtualHost *:444>
DocumentRoot "D:/Project/LocalTest"
ServerName testing.local.com.tw:444
ServerAdmin admin@example.com
ErrorLog "C:/xampp/apache/logs/error.log"
TransferLog "C:/xampp/apache/logs/access.log"
    SSLEngine on
SSLCertificateFile "conf/ssl.crt/server.crt"
SSLCertificateKeyFile "conf/ssl.key/server.key"
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory "C:/xampp/apache/cgi-bin">
SSLOptions +StdEnvVars
</Directory>
BrowserMatch "MSIE [2-5]" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog "C:/xampp/apache/logs/ssl_request.log" \
 "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>

其它都仿照他原本的資訊,
這樣測試能通過完成。
可以在自己的本地端自由開發測試程式。
原文出處:Apache - HTTPS SSL 虛擬目錄設定 | 小賴的實戰記錄 - 點部落

冷日補充:
事實上因為 XAMPP 已經隨附好他產出的 server.crt 和 server.key,所以就只要修改 httpd-ssl.conf 就可以讓 XAMPP 的 Apache 走 https 了!
一整個完全免煩惱!
註:當然您若要有認證的過得憑證檔還是要付費取得喔!
回覆
主題一覽的下方
討論串
前一個主題 | 下一個主題 | 頁首 | | |

Powered by XOOPS 2.0 © 2001-2008 The XOOPS Project|