Apache-SSL/Apache-ModSSL說明由于Apache 版本非常多，每個版本都不盡相同，因此欲了解更多有關(guān)知識，請直接訪問http://www.apache.org。本文apache 安

Apache-SSL/Apache-ModSSL

說明

由于Apache 版本非常多，每個版本都不盡相同，因此欲了解更多有關(guān)知識，請直接訪問http://www.apache.org。本文apache 安裝配置示例使用的是apache 2.0.59版本，如果進(jìn)行apache 配置時不能成功完成，可能是版本原因，請參考apache 幫助文件中SSL 相關(guān)章節(jié)進(jìn)行配置。

本文要求系統(tǒng)中已經(jīng)安裝有openssl 軟件，且apache 有mod_ssl模塊：

openssl 用于生成私鑰和CSR，一般系統(tǒng)中已經(jīng)默認(rèn)安裝在/user/bin下，如果您的系統(tǒng)安裝在其他目錄，使用時請指定正確的目錄路徑。如果沒有openssl，請訪問http://www.openssl.org下載安裝。

Apache2默認(rèn)安裝沒有mod_ssl模塊，編譯時請在./configure 中加入--enable-ssl 選項。mod_ssl相關(guān)資料可以在http://www.modssl.org獲得。可以使用./apachectl -l 命令來查看apache 的模塊。

產(chǎn)生CSR

在生成CSR 文件時同時生成您的私鑰，如果您丟了私鑰或忘了私鑰密碼，則頒發(fā)證書給您后不能安裝成功！您必須重新生成私鑰和CSR 文件，利用證書補(bǔ)辦流程頒發(fā)新的證書。為了避免此情況的發(fā)生，請在生成CSR 后一定要備份私鑰文件和記住私鑰密碼，最好是在收到證書之前不要再動服務(wù)器。

“openssl”用于生成私鑰和CSR，一般系統(tǒng)中已經(jīng)默認(rèn)安裝在/user/bin下，如果您的系統(tǒng)安裝在其他目錄，請指定正確的目錄路徑。如果沒有openssl，請訪問http://www.openssl.org下載安裝。

以下所有命令假設(shè)您已經(jīng)成功安裝OpenSSL，將產(chǎn)生1024位的密鑰，加密算法采用3DES，您必須使用您要申請域名證書的域名來命名密鑰文件。

1. 生成私鑰

請使用以下命令來生成私鑰:

openssl genrsa -des3 -out www.domain.cn.key 1024

如上圖所示，此命令將生成1024位的RSA 私鑰，私鑰文件名為：

www.domain.cn.key，會提示您設(shè)定私鑰密碼，請設(shè)置密碼，并牢記

2. 生成CSR 文件

請使用以下命令來生成CSR:

openssl req -new -key www.domain.cn.key -out www.domain.cn.csr

此命令將提示您輸入X.509證書所要求的字段信息，包括國家(中國添CN)、省份、所在城市、單位名稱、單位部門名稱(可以不填直接回車)。請注意： 除國家縮寫必須填CN 外，其余都可以是英文或中文。這些信息具體內(nèi)容可以忽略，生成證書時信息以RA 系統(tǒng)中登記的為準(zhǔn)。

Common Name項請輸入您要申請域名證書的域名，如果您需要為www.domain.cn 申請域名證書就不能只輸入domain.cn。域名證書是嚴(yán)格綁定域名的。

請不要輸入Email、口令(challenge password)和可選的公司名稱，直接打回車即可。

您現(xiàn)在已經(jīng)成功生成了密鑰對，私鑰文件：www.domain.cn.key 保存在您的服務(wù)器中， 請把CSR 文件：www.domain.cn.csr 保存好，在下載證書時copy 給CNNIC 即可，CSR文件格式如下圖所示。

3. 備份私鑰文件

請備份您的私鑰文件并記下私鑰密碼。最好是把私鑰文件備份到軟盤或光盤中。

4.把CSR 發(fā)給CNNIC，并獲取證書

生成CSR 后，即可以登錄CNNIC 的證書下載頁面，根據(jù)頁面提示將CSR 中的內(nèi)容復(fù)制粘貼出來發(fā)送給CNNIC，下載獲取證書，域名證書文件名后綴可以為.cer或.crt。請一定不要再動您的服務(wù)器，等待證書的頒發(fā)。

證書下載

生成完CSR 后，既可以登錄CNNIC 可信網(wǎng)絡(luò)服務(wù)中心網(wǎng)頁（進(jìn)入www.cnnic.cn ，點擊“可信網(wǎng)絡(luò)”），點擊“網(wǎng)址衛(wèi)士”下載進(jìn)入到證書下載頁面。

1.下載域名證書

A ．點擊“網(wǎng)址衛(wèi)士第一部分”，根據(jù)網(wǎng)頁上的提示輸入從密碼信封中獲取的“參考號”和“授權(quán)碼”，復(fù)制上一步所生成的CSR 到網(wǎng)頁的“CSR ”文本框中，復(fù)制時不要復(fù)制頭尾的“-----BEGIN NEW CERTIFICATE REQUEST-----”和“-----END NEW CERTIFICATE REQUEST-----”，只要中間的部分。結(jié)果如下所示：

B ．點擊“下載”，如果參考號、授權(quán)碼和CSR 均無問題，顯示頁面如下所示。請根據(jù)頁面上的提示將文本框中的內(nèi)容拷貝下來，粘貼到一個新建的文本文件中，并保存，文件名可以是“www.domain.cn.txt ”。

注意：文本框中的內(nèi)容就是此次申請的證書，請一定將內(nèi)容拷貝保存下來，如果內(nèi)容丟失，就必須進(jìn)行證書補(bǔ)辦。

C ．將保存下來的文本文件的文件類型從.txt 改為.cer ，例如，這就是此次下載下來的域名證書。改完后可以雙擊打開文件，即可以查看到證書的具體信息。顯示類似如下（具體內(nèi)容有所不同）：

2.下載證書鏈上的其他證書

點擊證書下載頁面的“網(wǎng)址衛(wèi)士第二部分”，將壓縮包下載到本地，解壓縮即可以獲取證書鏈上的中級根證書和根證書。至此證書下載完成。

安裝證書

域名證書安裝指南 - Apache-SSL / Apache ModSSL

1. 保存證書文件

證書頒發(fā)后，假設(shè)你所下載保存的域名證書文件名為www.domain.cn.cer 。 另外，從CNNIC 還可以下載到證書鏈上的中級根證書和根證書，假設(shè)分別保存為root.cer（根證書）和CNNIC.cer（中級根證書）。

如果apache 版本較低，沒有預(yù)置根證書，則此時需要首先將這兩個證書合并成一個證書鏈文件,例如叫cachain.cer，以便將根證書一并安裝進(jìn)去，方法如下。一般較高版本apache 只需安裝中級根證書，請忽略如下步驟，直接進(jìn)入“2 安裝證書”步驟。

A．分別使用文本編輯工具（如notepad）將root.cer 和CNNIC.cer 分別打開，分別顯示如下所示

B．使用文本編輯工具新建一個文件cachain.cer，將root.cer 和CNNIC.cer 中的內(nèi)容拷貝進(jìn)去并保存，其中CNNIC.cer 的內(nèi)容在前，root.cer的內(nèi)容在后，顯示如下所示：

2. 安裝證書

A. 把域名證書文件和中級根證書文件或證書鏈文件拷貝到Apache 存放證書的目錄中，例如： /etc/httpd/conf/ssl.crt/

B.使用文本編輯器打開httpd.conf 或ssl.conf 文件，檢查你的虛擬主機(jī)配置內(nèi)是否有下面3行，如沒有請?zhí)砑尤缦?行參數(shù)。請只修改其中一個文件，否則會有沖突而使得Apache 不能正常啟動。

SSLCertificateFile /etc/httpd/conf/ssl.crt/www.domain.cn.cer //本地域名證書文件

SSLCertificateKeyFile /etc/httpd/conf/ssl.crt/www.domain.cn.key //私鑰文件

SSLCertificateChainFile /etc/httpd/conf/ssl.crt/CNNIC.cer //中級根證書文件或證書鏈文件cachain.cer

c. 保存修改。

d. 使用如下命令停止Apache 后再啟動Apache，以便Apache daemon能注冊修改的參數(shù)。

/usr/sbin/apachectl stop

/usr/sbin/apachectl startssl

或:

/usr/sbin/httpd -k stop

/usr/sbin/httpd -DSSL

3. 完成配置

如果分配了443端口作為https 服務(wù)端口，且域名解析配置正確，此時可以在瀏覽器地址欄輸入：https://www.domain.cn (申請證書的域名)測試您的SSL 證書是否安裝成功，如果成功，則瀏覽器下方會顯示一個安全鎖標(biāo)志。請注意：如果您的網(wǎng)頁中有不安全的元素，則會提供“是否顯示不安全的內(nèi)容”，建議修改網(wǎng)頁刪除不安全的內(nèi)容。