Linux+Apache+OpenSSL实现证书服务器提供HTTPS服务

2019-05-0811:51:34服务器及运维Comments2,424 views字数 4768阅读模式

Linux+Apache+OpenSSL 实现 SSL ( Secure Socket Layer )证书服务器,提供安全的 HTTPS ( Hypertext Transfer Protocol over Secure Socket Layer )服务。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

安装 SSL文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

1.       安装 openssl文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

tar -zxvf openssl-0.9.8a.tar.gz文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

cd openssl-0.9.8a文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

./configure文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

make文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

make install文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

openssl 安装在 /usr/local/ssl 目录中文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

2.       安装 apache文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

tar -zxvf httpd-2.0.55.tar.gz文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

cd httpd-2.0.55文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

./configure –prefix=/usr/local/apache –enable-ssl   –enable-rewrite –enable-so –with-ssl=/usr/local/ssl文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

make文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

make install文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

apache 安装在 /usr/local/apache 目录中文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

以上是通过源码方式安装,最佳的安装方式通过 rpm 安装。先安装 apache 的 rpm ,再安装 openssl 的 rpm , openssl 可自动安装到 apache 目录中。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

证书介绍文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSL 安全证书可以自己生成,也可以通过第三方的 CA ( Certification Authority )认证中心付费申请颁发。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSL 安全证书包括:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

1.       CA 证书,也叫根证书或中间级证书。单向认证的 https , CA 证书是可选的。主要目的是使证书构成一个证书链,以达到浏览器信任证书的目的。如果使用了 CA 证书,服务器证书和客户证书都使用 CA 证书来签名。如果不安装 CA 证书,浏览器默认认为是不安全的。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

2.       服务器证书。必选。通过服务器私钥,生成证书请求文件 CSR ,再通过 CA 证书签名生成服务器证书。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

3.       客户证书。可选。如果有客户证书,就是双向认证的 HTTPS ,否则就是单向认证的 HTTPS 。生成步骤和服务器证书类似。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

上面几种证书都可以自己生成。商业上,一般自己提供服务器或客户证书端的私钥和证书请求 CSR ,向第三方机构付费申请得到通过 CA 证书签名的服务器证书和客户证书。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

生成证书文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

用 openssl 提供的工具 签名证书,证书放在 /usr/local/apache2/conf/ 目录,先把工具拷贝过来:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

cp /usr/share/ssl/misc/ /usr/local/apache2/conf/文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

1.       CA 证书(根证书 / 中间级证书)文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

是 CA 认证机构提供,如果是双向认证则必选,否则是可选。通过 CA 证书,构成一个证书链,目的是使浏览器信任你的证书 。如果使用了 CA 证书,用它来签名服务器和客户证书,以达到浏览器信任的目的。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

自己生成 CA 证书步骤:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

./ –newca文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

回车创建新文件,输入加密密码,并填写证书信息:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Country Name (2 letter code) [AU]:CN文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

State or Province Name (full name) [Some-State]:Guangdong文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Locality Name (eg, city) []:Shenzhen文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxx文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Organizational Unit Name (eg, section) []:xxx文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Common Name (eg, YOUR name) []:www.shenmiguo.com文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Email Address []:xxx@xxx.com文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Common Name 填入主机全称是比较好的选择。这个名称必须与通过浏览器访问您网站的 URL 完全相同,否则用户会发现您服务器证书的通用名与站点的名字不匹配,用户就会怀疑您的证书的真实性。服务器证书和客户证书的 Common Name 应该和 CA 一致。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

生成结果: demoCA/private/ 是 CA 证书的私钥文件, demoCA/ 是 CA 证书。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

这样就建好了一个 CA 服务器,有了一个根证书的私钥 及一张根证书 , 现在就可以用 来给服务器证书或客户证书签名了。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

我们规范一下 CA 证书的命名,把 CA 证书和密钥重命名一下:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

cp demoCA/private/ ca.key文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

cp demoCA/文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

ca.key 是中间级证书私钥, 是中间级证书。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

2.       服务器证书文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

a)  生成服务器私钥文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

openssl genrsa -des3 -out 1024文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

输入加密密码,用 128 位 rsa 算法生成密钥,得到 文件。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

b)  生成服务器证书请求( CSR )文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

openssl req -new -key -out server.csr文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

CSR ( Certificate Signing Request )是一个证书签名请求,在申请证书之前,首先要在 WEB 服务器上生成 CSR ,并将其提交给 CA 认证中心, CA 才能给您签发 SSL 服务器证书。可以这样认为, CSR 就是一个在您服务器上生成的证书。 CSR 主要包括以下内容:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Country Name (2 letter code) [AU]:CN文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

State or Province Name (full name) [Some-State]:Guangdong文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Locality Name (eg, city) []:Shenzhen文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxx文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Organizational Unit Name (eg, section) []:xxx文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Common Name (eg, YOUR name) []:shenmiguo.com文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Email Address []:xxx@xxx.com文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Please enter the following ‘extra’ attributes文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

to be sent with your certificate request文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

A challenge password []:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

An optional company name []:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Common Name 填入主机名和 CA 一致。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

c)  自己生成服务器证书文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

如果不使用 CA 证书签名的话,用如下方式生成:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

openssl req -x509 -days 1024 -key -in server.csr >文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

用服务器密钥和证书请求生成证书 , -days 参数指明证书有效期,单位为天。商业上来说,服务器证书是由通过第三方机构颁发的,该证书由第三方认证机构颁发的。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

如果使用 CA 证书签名,用 openssl 提供的工具 生成服务器证书:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

mv server.csr newreq.pem文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

./ -sign文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

mv newcert.pem文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

签名证书后,可通过如下命令可查看服务器证书的内容:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

openssl x509 -noout -text -in文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

可通过如下命令验证服务器证书:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

openssl verify -CAfile文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

3.       客户证书文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

客户证书是可选的。如果有客户证书,就是双向认证 HTTPS ,否则就是单向认证 HTTPS 。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

a)  生成客户私钥文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

openssl genrsa -des3 -out client.key 1024文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

b)  生成客户证书签名请求文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

openssl req -new -key client.key -out client.csr文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

c)  生成客户证书(使用 CA 证书签名)文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

openssl ca -in client.csr -out client.crt文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

d)  证书转换成浏览器认识的格式文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

4.       证书列表文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

如果使用双向认证,就会有三个私钥和三个证书。分别是 ca.key, , , , client.key, client.crt ,以及给浏览器的 。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

如果使用有 CA 证书的单向认证,证书和私钥就是 ca.key, , , 。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

如果使用无 CA 证书的单向认证,证书和私钥就是 , 。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

配置证书文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Apache 规范的做法是将扩展的配置都配置在相应的 conf 文件中, 直接 Include 包含各功能配置的 conf 文件(如 php 相关配置叫 , ssl 相关配置叫 )。这样的好处是配置易于管理和变更, 可以依然保持简要易懂。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

1.       配置文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

<IfModule mod_ssl.c>文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Include conf/文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

</IfModule>文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

2.       配置文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

主要配置包括证书路径和认证策略:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

Listen 443   #https 端口文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSLRandomSeed startup builtin文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSLPassPhraseDialog builtin文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSLSessionCache dbm:logs/ssl_scache文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSLSessionCacheTimeout 300文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSLMutex default文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

<VirtualHost *:443>文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

ServerAdmin文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

DocumentRoot /usr/local/apache2/htdocs/文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

#DirectoryIndex digitalidCenter.htm文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

ServerName shenmiguo.com:443文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

ErrorLog logs/443-error_log文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

CustomLog /usr/local/apache2/logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

LogLevel info文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

<IfModule mod_ssl.c>文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSLEngine on文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSLCertificateFile /usr/local/apache2/conf// # 指定服务器证书路径文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSLCertificateKeyFile /usr/local/apache2/conf// # 服务器证书私钥路径文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSLCertificateChainFile /usr/local/apache2/conf// #CA 中间级证书路径文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSLCACertificatePath /usr/local/apache2/conf/ # 客户证书目录 ( 双向认证才用 )文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSLCACertificateFile /usr/local/apache2/conf//client.crt # 客户证书路径 ( 双向认证才用 )文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSLVerifyClient require # 强制客户必须持有 SSL 证书请求文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSLVerifyDepth 10文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

</IfModule>文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

</VirtualHost>文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

更多 mod_ssl 配置选项说明可以见 apache 的文档:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

http://lamp.linux.gov.cn/Apache/ApacheMenu/mod/mod_ssl.html文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

3.       启动 Apache文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

cd /usr/local/apache2/bin文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

./apachectl startssl文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

可修改 apachectl 脚本,改成默认 ssl 方式启动 apache 。 apachectl 脚本中的:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

start|stop|restart |graceful)文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

$HTTPD -k $ARGV文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

ERROR=$?文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

;;文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

startssl|sslstart|start-SSL)文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

$HTTPD -k start -DSSL文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

ERROR=$?文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

;;文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

修改为:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

stop|graceful)文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

$HTTPD -k $ARGV文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

ERROR=$?文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

;;文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

restart )文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

killall -9 httpd文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

$HTTPD -k start -DSSL文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

;;文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

start |startssl|sslstart|start-SSL)文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

$HTTPD -k start -DSSL文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

ERROR=$?文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

;;文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

启动的时候需要输入 的密码。可以通过服务器私钥解密存储,重启也无需输入密码:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

openssl rsa -in -out my-文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

chmod 400文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

中的配置变更成:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

SSLCertificateKeyFile /usr/local/apache2/conf//my- # 服务器证书解密私钥路径。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/yunwei/11875.html

  • 本站内容整理自互联网,仅提供信息存储空间服务,以方便学习之用。如对文章、图片、字体等版权有疑问,请在下方留言,管理员看到后,将第一时间进行处理。
  • 转载请务必保留本文链接:https://www.cainiaoxueyuan.com/yunwei/11875.html

Comment

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

确定