| Apache 安裝 MOD_SSL 補充--手工簽署証書 來源:sustomer |
雖然在安裝 MOD_SSL 時已經使用 make certificate 命令建立了伺服器的証書簽名,但是有時你可能需要改變它。
當然有很多自動的 Script 可以實現它,但是最可靠的方法是手工簽署証書。
首先假定你已經安裝好了 OpenSSL 和 MOD_SSL,如果你的 OpenSSL 安裝時的 prefix 設置為 /usr/local/openssl,
那把 /usr/local/openssl/bin 加入執行文件尋找路徑。
還需要 MOD_SSL 源代碼中的一個 Script,
它在 MOD_SSL 的源代碼目錄樹下的 pkg.contrib 目錄中,文件名為 sign.sh。將它拷貝到 /usr/local/openssl/bin 中。
- 先建立一個 CA 的証書,首先為 CA 創建一個 RSA 私用密鑰
openssl genrsa -des3 -out ca.key 1024
系統提示輸入 PEM pass phrase,也就是密碼,輸入牢記它。
- 將產生的 ca.key 文件,將文件屬性改為 400,並放在安全的地方。
chmod 400 ca.key
- 你可以用下列命令查看它的內容
openssl rsa -noout -text -in ca.key
- 利用 CA 的 RSA 密鑰創建一個自簽署的 CA 証書(X.509 結構)
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
然後需要輸入下列訊息:
Country Name: cn 兩個字母的國家代號
State or Province Name: An Hui 省份名稱
Locality Name: Bengbu 城市名稱
Organization Name: Family Network 公司名稱
Organizational Unit Name: Home 部門名稱
Common Name: Chen Yang 你的姓名
Email Address: sunstorm@263.net Email地址
- 將產生的 ca.crt 文件屬性改為 400,並放在安全的地方。
chmod 400 ca.crt
- 你可以用下列命令查看它的內容
openssl x509 -noout -text -in ca.crt
- 下面要建立伺服器証書簽署請求,首先為你的 Apache 建立一個 RSA 私用密鑰:
openssl genrsa -des3 -out server.key 1024
這裡也要設定 pass phrase 密碼。
- 將產生的 server.key 文件屬性改為 400,並放在安全的地方。
chmod 400 server.key
- 你可以用下列命令查看它的內容
openssl rsa -noout -text -in server.key
- 用 server.key 產生証書簽署請求 CSR.
openssl req -new -key server.key -out server.csr
這裡同樣輸入一些証書訊息,和上述的內容類似。一直到 'extra' attributes 不用輸入。
- 你可以查看 CSR 的細節
openssl req -noout -text -in server.csr
- 下面可以簽署証書了,需要用到 Script sign.sh
sign.sh server.csr
就可以得到 server.crt。
- 將文件屬性改為 400,並放在安全的地方。
chmod 400 server.crt
- 刪除 CSR
rm server.csr
- 最後 apache 的設定,如果你的 apache 編譯參數 prefix 為 /usr/local/apache,
那拷貝 server.crt 和 server.key 到 /usr/local/apache/conf
修改 httpd.conf 將下面的參數改為:
SSLCertificateFILE /usr/local/apache/conf/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/server.key
- 可以 apachectl startssl 試一下了。