LINUX平台上APACHE服务器SSL证书安装配置指南

blogdaren 2015-05-07 抢沙发 2326人次

本文以symantec大陆代理公司天威诚信的 EV SSL 证书产品为例做个分享:

安装准备

1、安装Openssl 
要使Apache支持SSL,需要首先安装Openssl支持。
下载Openssl:http://www.openssl.org/source/
tar -zxf openssl-*.*.*.tar.gz    
cd openssl-*.*.*
./configure
make && make install
openssl默认将被安装到/usr/local/ssl
2、安装Apache  
./configure --prefix= /usr/local/apache --enable-so --enable-ssl --with-ssl=/usr/local/ssl --enable-mods-shared=all                               
make && make install  

推荐动态编译Apache模块,便于模块的加载管理。

生成CSR证书请求文件

* 密钥文件不区分操作系统平台,推荐使用天威诚信官方autocsr工具在本地创建证书请求文件。
* 下载AutoCSR:http://verisign.itrus.com.cn/soft/autocsr.rar

33.png


44.png

* 使用工具创建csr文件之后,将生成的certreq.csr文件发送给天威诚信sslcsr@itrus.com.cn邮箱,等待证书的签发。请同时备份server.key文件并稍后上传到服务器上进行配置。
* 注意:一定要妥善保存好Cert文件夹下server.key这个证书私钥文件,以避免私钥丢失而导致证书无法安装。

在LINUX服务器上直接创建证书请求及密钥,请参考如下步骤:

1. 创建私钥


在创建证书请求之前,您需要首先生成服务器证书私钥文件。  

运行openssl命令,生成2048位长的私钥server.key文件。如果您需要对 server.key 添加保护密码,请使用 -des3 扩 展命令。Windows环境下不支持加密格式私钥,Linux环境下使用加密格式私钥时,每次重启Apache都需要您输入该私钥密码,操作如下:

cd /usr/local/ssl/bin                 
openssl genrsa -out server.key 2048
2. 生成证书请求(CSR)文件   
openssl req -new -key server.key -out certreq.csr   
Country Name:                 //您所在国家的ISO标准代号,中国为CN   
State or Province Name:       //您单位所在地省/自治区/直辖市   
Locality Name:                //您单位所在地的市/县/区   
Organization Name:            //您单位/机构/企业合法的名称   
Organizational Unit Name:     //部门名称   
Common Name:       //通用名,很重要,例如:blogdaren.com,通用名必须与您访问提供SSL服务的服务器时所应用的域名完全匹配
Email Address:     //您的邮件地址,不必输入,直接回车跳过   
"extra" attributes  //以下信息不必输入,回车跳过直到命令执行完毕。 

3. 备份私钥并提交证书请求   
请将证书请求文件certreq.csr提交给天威诚信,并备份保存证书私钥文件server.key,等待证书的签发。服务器证书密钥对必须配对使用,私钥文件丢失将导致证书不可用。   

安装服务器证书

1. 获取服务器证书中级CA证书   
服务器证书需要安装两张中级CA证书(以证书签发邮件为准,部分证书产品只有一张中级证书),从邮件中获取中级CA证书:   
将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容

包括“-----BEGIN CERTIFICATE-----”和 “-----END CERTIFICATE-----”】

粘贴到同一个记事本等文本编辑器中,中间用回车换行分隔,然后保存为 server-ca.crt文件

2. 获取服务器证书  
将证书签发邮件中的从BEGIN到 END结束的服务器证书内容:

【包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”】

粘贴到记事本等文本编辑器中,然后保存为server.crt文件
3. Apache 2.2.* 的配置  

>> 打开apache安装目录下conf目录中的httpd.conf文件,启用如下配置段并保存退出:  
LoadModule ssl_module modules/mod_ssl.so   
Include conf/extra/httpd_ssl.conf     

>> 打开apache安装目录下conf/extra目录中的httpd-ssl.conf文件,启用如下配置段保存退出:
SSLCertificateFile      conf/ssl.crt/server.crt         将服务器证书配置到该路径下   
SSLCertificateKeyFile   conf/ssl.key/server.key         将服务器证书私钥配置到该路径下   
SSLCertificateChainFile conf/ssl.crt/server-ca.crt      将中级CA证书配置到该路径下   

>> 最后重启Apache:  apachectl -k restart

4. SSL 证书安装校验:
通过https方式访问您的站点或者通过官方网站提供的工具在线检测证书安装情况:

https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

55.png

服务器证书的备份及恢复

在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。

1. 服务器证书的备份   
备份服务器证书私钥文件server.key,服务器证书文件server.crt,以及服务器证书中级CA证书文件service-ca.crt到硬盘的某个角落,即可完成服务器证书的备份操作。 

2. 服务器证书的恢复   
请参照服务器证书配置部分,将服务器证书密钥文件恢复到您的服务器上,并修改配置文件,恢复服务器证书的应用。

问题总结

最后简单的总结下SSL证书的申请和安装的原型,这个过程无论是哪家CA基本都是大同小异:
1. 自己本地或在线生成一个证书请求文件即CSR文件,注意保存好公钥和私钥
2. 将CSR文件提交给证书颁发机构CA比如: VerifySign | geoTrust | WoSign | MySSL等等
3. 提交成功后,一般CA会审核认证你网站一些信息的有效性比如域名所有权以及是否具有独立IP等等
4. 确认成功以后CA一般会通过邮件颁发SSL证书给你,你从邮件里下载证书即可
5. 将下载下来的证书安装在你的服务器上并进行配置即可

66.png

#apache##SSL证书##CSR#

版权声明:除非注明,本文由( blogdaren )原创,转载请保留文章出处。

本文链接:LINUX平台上APACHE服务器SSL证书安装配置指南

发表评论:

您的昵称:
电子邮件:
个人主页:

Free Web Hosting