|
| 發表者 |
討論內容 |
冷日
(冷日) |
發表時間:2004/8/6 1:19 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15773
|
- [Linux教學]如何設定apache2+SSL
- 我把苦了3天的安裝心得分享給各位
ps.Red hat9的openssl-0.9.7a有bug,記得安裝新版的openssl..
----------------------------------------
1.下載原始檔
Apache: 例如 httpd-2.0.48.tar.gz(http://www.apache.org)
OpenSSL: 例如 openssl-0.9.7c.tar.gz (http://www.openssl.org)
2.進行解壓縮
命令如下:
#tar xzvf httpd-2.0.48.tar.gz
#tar xzvf openssl-0.9.7c.tar.gz
4.接下來進行 OpenSSL 的安裝設定
# cd openssl-0.9.7c (進入解壓縮後的 openssl source 資料夾中)
# ./config --prefix=/usr/local --openssldir=/usr/local/openssl
#make
#make install
7.最後的安裝 Apache
#cd httpd-2.0.48 (進入解壓縮後的 apache 原始檔資料夾)
#./configure --prefix=/usr/local/apache --enable-so --enable-ssl --with-ssl=/usr/include
#make (編譯)
#make install (編譯完成執行安裝)
(三).產生及安裝憑證
1.完成以上軟體的安裝後, 我們便可開始進行憑證申請及安裝, 其程序大致如下:
1) 產製金鑰對
2) 產生憑證申請檔
3) 至網際威信申請憑證
4) 安裝憑證
2.接著, 請開始產製金鑰對, 為了有系統管理金鑰及憑證, 請在您安裝 apache 的資料夾中, 建立一新子目錄, 例如 certs, 並切換到該資料夾中
3.請輸入如下的命令, 產製金鑰對
#openssl genrsa –des3 –out mykeys.key 1024
參數說明: genrsa 表示使用 RSA 演算法產製金鑰
-des3 表示使用 DES3 加密演算法
-out mykeys.key 表示輸出的檔案為何, 檔名及路徑可自定
1024 表示金鑰對長度為 1024 (建議使用)
% 您可以另外使用 openssl genrsa ? 看其全部的參數
接著, 會出現 Generating RSA Private key, 1024 long module…至
Enter PEM pass phrase: (請在此輸入金鑰對密碼)
注意, 請特別保留該組密碼, 其作為將來啟動 Apache + SSL 時的密碼, 一旦遺失, 則便無法啟動
4.完成後, 便建立好金鑰對了, 您可以看到在所設定路徑下會有個金鑰對的檔案, 如本例子為 mykeys.key, 接著, 請輸入如下命令, 以產生 CSR 檔
#openssl req –new –key mykeys.key –out mysite.csr
參數說明: req 表示要產生 CSR 檔
-new 新的檔案
-key mykeys.key 金鑰對檔案的路徑及檔名
-out mysite.key 所產生的 CSR 檔案的路徑及檔名
接著, 會出現 Enter PEM pass phrase: (請輸入先前設定好的密碼)
之後, 便須開始輸入一些相關資料如下(請輸入英數字, 不可有任何特殊字元):
Country Name : TW (請用兩個英文字元表示)
State or Province Name: Taiwan (省份名稱)
Locality Name: Taipei (城市名稱)
Organization Name: (公司名稱)
Organizational Unit Name: (部門名稱)
Common Name: my.website.com.tw (網址名稱, 即公用名稱, 您要使用 SSL 加密的站台名稱)
Email Address: me@localhost.com.tw (網站管理者的email address)
此外, 尚有一些 extra 的資料, 您可不理會, 直接按 Enter 過去即可, 最後即可產生 mysite.csr 檔
請將該 CSR 以文字編輯軟體開啟, 並複製貼上至網際威信 http://www.hitrust.com.tw
5.在憑證核發後, 您會收到一封 Email, 其中包含憑證檔案
6.請將其剪下, 另存成一個文字檔, 檔名自定, 如 mysite.crt, 並放置於剛剛所建立為了管理方便起見的 certs 資料夾中(當然, 您可以依據自己的需要, 放置於您決定的路徑即可)
7.另外, 如果您是申請 VeriSign 128 bits SSL 伺服器數位憑證時, 在 Email 中亦會要求您至如下的網址, 取得中繼憑證, 請記得務必要執行此項動作
8.最後, 您只須修改 Apache 的設定檔 ssl.conf
1)
Listen 443
預設值 443
2)
<VirtualHost _default_:443>
# General setup for the virtual host
DocumentRoot "/var/www/html"
ServerName www.ooo.xxx:443
ServerAdmin mymail@mail.com.tw
ErrorLog /usr/local/apache/logs/error_log
TransferLog /usr/local/apache/logs/access_log
設定方式與httpd.conf雷同
3)
# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on
預設值 on
4) SSLCertificateFile
/usr/local/apache/certs/mysite.crt
即憑證路徑, 請指向放置憑證檔的路徑
5) SSLCertificateKeyFile
/usr/local/apache/certs/mykeys.key
即私鑰路徑, 請指向放置私鑰檔的路徑
6) SSLCertificateChainFile
/usr/local/apache/certs/intermediate.crt
若您申請 VeriSign 128 bits SSL 伺服器數位憑證, 您務必要設定
9.之後, 您便可重新啟動 apache 了, 命令如下:
#apachectl startssl
在啟動過程中, 會要求您輸入密碼如下:
Enter pass phrase: (請在此輸入您當初產製金鑰對時的密碼)
|
|
|
討論串
|
[Linux教學]如何設定apache2+SSL (冷日