原來(lái)win apache實(shí)現(xiàn)ssl 的證書(shū)認(rèn)證如此簡(jiǎn)單 windows apache的情況下，實(shí)現(xiàn)ssl 的證書(shū)認(rèn)證（win 下用openssl 做證書(shū)極為困難的問(wèn)題徹底解決了）我寫(xiě)得非常詳細(xì)，一步一

原來(lái)win apache實(shí)現(xiàn)ssl 的證書(shū)認(rèn)證如此簡(jiǎn)單 windows apache的情況下，實(shí)現(xiàn)ssl 的證書(shū)認(rèn)證

（win 下用openssl 做證書(shū)極為困難的問(wèn)題徹底解決了）

我寫(xiě)得非常詳細(xì)，一步一步都說(shuō)得很清楚。實(shí)際操作極為簡(jiǎn)單，要不了5分鐘，是我的字打得太多了. 如果發(fā)現(xiàn)錯(cuò)誤，遺漏請(qǐng)?zhí)岢觥?/p>

首先，到http://hunter.campbus.com/去下載和自己的apache 版本相同的的Apache_xxx-xxxOpenssl_xxx-Win32.zip。解壓縮后找到這5個(gè)文件mod_ssl.so（modules 目錄），ssl.conf ，ssl.default.conf （conf 目錄,

其中default.conf 作為備份），libeay32.dll, ssleay32.dll （這2個(gè)都在bin 目錄）。把它們?nèi)紡?fù)制到你自己的apahce 下的對(duì)應(yīng)目錄。

###############################################################################

接下來(lái)，更改設(shè)置文件

對(duì)于httpd.conf 和ssl.conf ，如果你的服務(wù)器沒(méi)有域名，那么servername 就填ip 好了。

比如：ServerName 10.10.10.10:80（httpd.conf ）

ServerName 10.10.10.10:443(ssl.conf)

打開(kāi)httpd.conf ：

找到#LoadModule ssl_module modules/mod_ssl.so，去掉前面的‘#‘，這樣就在啟動(dòng)時(shí)加載了ssl 模塊。

打開(kāi)ssl.conf ：

找到#;和#;，把前面的’#‘號(hào)都去掉，否則啟動(dòng)apache 時(shí)還要加參數(shù)，麻煩。 如下設(shè)置：

SSLMutex none （這個(gè)我是none ，有人是default ，具體怎么設(shè)可以研究一下）

SSLCertificateFile conf/server.crt （服務(wù)器證書(shū)的位置，就是公鑰吧？） SSLCertificateKeyFile conf/server.key （服務(wù)器私鑰的位置）

SSLCACertificateFile conf/ca.crt （CA 根證書(shū)的位置，進(jìn)行客戶(hù)端驗(yàn)證時(shí)需要。也是一個(gè)CA 公鑰吧？

我把它們都放在apache 的conf 目錄下了）

DocumentRoot "xxxxx" （指向要ssl 加密認(rèn)證的文檔目錄，比如"f:/http"）

SSLVerifyClient require （去掉前面的‘#’號(hào)，進(jìn)行客戶(hù)端驗(yàn)證時(shí)需要）

SSLVerifyDepth 1 （去掉前面的‘#’號(hào)，把10改為1，進(jìn)行客戶(hù)端驗(yàn)證時(shí)需要）

##############################################################################

現(xiàn)在，就要制作證書(shū)了

去openvpn.net 下載并安裝openvpn 。

這是一個(gè)虛擬個(gè)人網(wǎng)絡(luò)制作工具，他能完美的在win(linux,BSD也行) 下制作根、服務(wù)器、客戶(hù)端證書(shū)。

安裝完畢后，開(kāi)始-程序-附件-命令提示符，進(jìn)到openvpn 的easy-rsa 目錄，比如：

f:program filesopenvpn?sy-rsa>;_

輸入:

init-config 回車(chē)

會(huì)產(chǎn)生幾個(gè)文件，切換出來(lái)，打開(kāi)vars.bat 文件，修改其中的KEY_COUNTRY（國(guó)家2位字母）, KEY_PROVINCE（省2位字母）, KEY_CITY（城市）, KEY_ORG（組織）, KEY_EMAIL（電子郵箱）這幾個(gè)參數(shù)，免的后面制證時(shí)

反復(fù)輸入麻煩。保存退出，繼續(xù)使用命令提示符。

依次輸入以下兩個(gè)命令，當(dāng)然是分別回車(chē)嘍：

vars

clean-all （這兩個(gè)是準(zhǔn)備工作）

####################################################################################

1.

建立CA 根證書(shū)

接著輸入build-ca 回車(chē)（這個(gè)就是建立CA 根證書(shū)啦）

然后顯示：

ai:/usr/share/openvpn/easy-rsa # ./build-ca

Generating a 1024 bit RSA private key

............

...........

writing new private key to 'ca.key'

-----

You are about to be asked to enter information that will be incorporated into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [KG]: 國(guó)家名2位字母，默認(rèn)的參數(shù)就是我們剛才修改過(guò)的。

State or Province Name (full name) [NA]: 省、州名2位字母 Locality Name (eg, city) [BISHKEK]: 城市名

Organization Name (eg, company) [OpenVPN-TEST]: 組織名

Organizational Unit Name (eg, section) []: 組織里的單位名 Common Name (eg, your name or your server's hostname) []:這個(gè)是關(guān)鍵，應(yīng)該輸入頒發(fā)根證書(shū)單位的域名

，不過(guò)因?yàn)槭歉C書(shū)，所以怎么填都無(wú)所謂。只有服務(wù)器證書(shū)才需要認(rèn)真填。 Email Address [me@myhost.mydomain]: 電子郵箱

好了，CA 根證書(shū)制作完成！在keys 目錄下，它的名字就叫ca.crt ，CA 的私鑰是ca.key

#######################################################################

2.

現(xiàn)在制作服務(wù)器證書(shū)：

在命令提示符下，輸入

build-key-server server 回車(chē)

你會(huì)看到和上面很相似的東西

但要注意這里的Common Name (eg, your name or your server's hostname) []: 這個(gè)才是真正的關(guān)鍵。這里應(yīng)該輸入服務(wù)器的域名比如www.xxx.com 。 如果沒(méi)有域名，就應(yīng)該填ip ，與httpd.conf 和ssl.conf 里的設(shè)置對(duì)應(yīng)， ServerName 10.10.10.10:80（httpd.conf ）

ServerName 10.10.10.10:443(ssl.conf)

也就是說(shuō)填：10.10.10.10

接下來(lái)看到 a challenge password []:填不填隨便，我不填

an optional company name []: 填不填隨便，我不填

sign the certificate? [y/n] 敲y 回車(chē)。用CA 根證書(shū)對(duì)服務(wù)器證書(shū)簽字認(rèn)證。 1 out 1 certificate requests certified,commit? [y/n] 敲y 回車(chē)，確認(rèn)。

好了，建好了在keys 目錄下的server.crt （證書(shū)）和server.key （私鑰）

#######################################################################

3.

現(xiàn)在制作客戶(hù)端證書(shū):

在命令提示符下，輸入

build-key client1 回車(chē)

又是一通國(guó)家省市組織等等，comman name也是隨便填的。

然后

a challenge password []:填不填隨便，我不填

an optional company name []: 填不填隨便，我不填

sign the certificate? [y/n] 敲y 回車(chē)。用CA 根證書(shū)對(duì)客戶(hù)端證書(shū)簽字認(rèn)證。 1 out 1 certificate requests certified,commit? [y/n] 敲y 回車(chē)，確認(rèn)。

好了，建好了在keys 目錄下的client1.crt （客戶(hù)端證書(shū)）和client1.key （私鑰）

等等, .crt的客戶(hù)端證書(shū)是不能使用的, 必須把它轉(zhuǎn)化為.pfx 格式的文件!!

所以, 還是在命令提示符下, 輸入

openssl 回車(chē)

看到openssl>;

再輸入

pkcs12 -export –in keys/client1.crt -inkey keys/client1.key -out keys/client1.pfx

回車(chē),

看到Enter export password:會(huì)要求你建立客戶(hù)端證書(shū)的輸出密碼, 我填hehe ， verifying-Enter export password再確認(rèn)一遍hehe ，好了！

########################################################################

把keys 目錄下的ca.crt 和server.crt,server.key 都復(fù)制到apache 的conf 目錄下,(ssl.conf需要)

ca.key 自己保留吧，找個(gè)合適的地方儲(chǔ)存起來(lái).

#########################################################################

客戶(hù)端安裝證書(shū)

打開(kāi)internet explorer(IE)，工具-internet 選項(xiàng)-內(nèi)容-證書(shū)，點(diǎn)選' 個(gè)人' 再點(diǎn)擊導(dǎo)入, 把客戶(hù)端證書(shū)client1.pfx 導(dǎo)入到個(gè)人組里(別忘了擴(kuò)展名是pfx) 。 這里還要輸入剛才建立的輸出密碼hehe 才能倒入呢。

接著，點(diǎn)選' 受信任的根證書(shū)頒發(fā)機(jī)構(gòu)' ，點(diǎn)擊導(dǎo)入，把CA 根證書(shū)ca.crt 導(dǎo)入到受信任的根證書(shū)頒發(fā)機(jī)構(gòu)里。

#########################################################################

好啦，重新啟動(dòng)apache ，打開(kāi)IE ，

在地址欄里輸入https://10.10.10.10或者域名，彈出個(gè)窗口要選擇個(gè)人的數(shù)字證書(shū)。

點(diǎn)選，然后確定。

如果服務(wù)器證書(shū)的common name 填寫(xiě)正確的話(huà)，你就可以直接進(jìn)入網(wǎng)站了，看到右下角的小鎖頭（可靠的SSL128位）。

如果服務(wù)器證書(shū)的common name 填寫(xiě)不正確，就會(huì)彈出個(gè)‘安全警報(bào)’框，告訴你3條：

1. 安全證書(shū)由信任的站點(diǎn)頒發(fā)

（如果說(shuō)是由不信任的站點(diǎn)頒發(fā)，那就是你的ca 根證書(shū)ca.crt 沒(méi)有導(dǎo)入到ie

的受信任的根證書(shū)頒發(fā)機(jī)構(gòu)里）

2. 安全證書(shū)的日期有效

（這個(gè)日期缺省是10年，可以在openvpn 的easy-rsa 目錄下的openssl.cnf 里調(diào)整修改，然后重新制作一整套證書(shū)（openssl.cnf 看起來(lái)像撥

號(hào)網(wǎng)絡(luò)的快捷方式，要用記事本，寫(xiě)字板打開(kāi)修改））

3.“安全證書(shū)上的名稱(chēng)無(wú)效，或者與站點(diǎn)名稱(chēng)不匹配”

這就是服務(wù)器證書(shū)的common name 填寫(xiě)不正確所致，不過(guò)這也沒(méi)關(guān)系，有人好像愿意這樣。我是不想看到這個(gè)警告框，煩人。

即使有安全警報(bào)，你仍能進(jìn)入網(wǎng)站，看到右下角的小鎖頭（可靠的SSL128位）

#################################

最后，成功啦！用吧。

我自己把httpd.conf 里的listen 80都加#注釋了，servername 改為10.10.10.10:443，只用https 不用http ，嗬嗬?。?！