在Apache上安装MOD_SSL(转)-白红宇

在Apache上安装MOD_SSL(转)

阅读量：2451 次

发布时间：2019-05-10

本文共 4930 字，大约阅读时间需要 16 分钟。

在Apache上安装MOD_SSL(转)[@more@]

我也看过其它的文章介绍这个，不过说的很不清楚。看着他们的文章安装MOD_SSL磕磕碰碰地装好了SSL。这里我就介绍一下我的经验。因为怎样安装Apache,PHP等软件，介绍的文章已经很多了，所以我把重点放在了SSL的安装上。

首先要下载所需的软件包：

Apache 1.3.17 这是什么我就不多说了

http://www.tux.org/pub/net/apache/dist/apache_1.3.17.tar.gz

PHP 4.0.4pl1 可选的，我只是要演示一下ssl和其他软件在一起的情况

http://www.php.net/do_download.php?download_file=php-4.0.4pl1.tar.gz&source_site=www.php.net

openssl 0.9.6 要用他来生成密钥和签署证书

http://www.openssl.org/source/openssl-0.9.6.tar.gz

mod_ssl 2.8.0 本文的重点

http://www.modssl.org/source/mod_ssl-2.8.0-1.3.17.tar.gz

所有这些都是Open Software。

我的系统是RedHat 6.2，所以我用 tar zxvf file.tar.gz 的方法把它们解压缩到 /usr/local/src 。

首先编译 PHP ：

# cd /usr/local/src/apache_1.3.17

# ./configure --prefix=/usr/local/apache

# cd ../php-4.0.4pl1

# ./configure --with-apache=/usr/local/src/apache_1.3.17

--enable-safe-mode --enable-bcmath --enable-ftp

--with-gd --with-zlib --enable-trans-sid

--enable-calendar --enable-dbase --enable-exif

--with-mysql=/usr/local/mysql

# make

# make install

# cp php.ini-dist /usr/local/lib/php.ini

# vi /usr/local/lib/php.ini

编辑 php.ini，可以在里面加入一些配置信息（比如ZendOptimizer）

再编译 OpenSSL：

# cd ../openssl-0.9.6

# ./config --prefix=/usr/local/openssl

注意，这里是 config 而不是 configure。

# make

# make test

# make install

下面是 MOD_SSL

# cd ../mod_ssl-2.8.0-1.3.17

# ./configure --with-apache=../apache_1.3.17

好了，可以开始编译apache了（奇怪，mod_ssl怎么不要编译?）

# cd ../apache_1.3.17

# SSL_BASE=../openssl-0.9.6

./configure --prefix=/usr/local/apache

--enable-module=ssl

--activate-module=src/modules/php4/libphp4.a

--enable-module=php4

--enable-shared=ssl

# make

下一步很重要，看清楚了！

# make certificate TYPE=custom

这一步要生成你自己的 CA （如果你不知道，我也不能细说了，简单地说就是认证中心），和用它来为你的服务器签署证书。有很多东西要输入。

STEP 0: 选择算法，使用缺省的 RSA

STEP 1: 生成 ca.key，CA的私人密钥

STEP 2: 为CA生成X.509的认证请求 ca.csr 要输入一些信息：

Country Name: cn 国家代码，两个字母

State or Provice name: An Hui 省份

Locality Name: Bengbu 城市名

Organization Name: Home CA 组织名，随便写吧

Organization Unit Name: Mine CA

Common Name: Mine CA

Email Address: sunstorm@263.net 我的Email

Certificate Validity: 4096 四千多天，够了吧

STEP 3: 生成CA的签名，ca.crt

STEP 4: 生成服务器的私人密钥，server.key

STEP 5: 生成服务器的认证请求，server.csr 要输入一些信息，和STEP 2类似，

不过注意 Common Name是你的网站域名，如 www.mydomain.com Certificate Validity不要太大，365就可以了。

STEP 6: 为你的服务器签名，得到server.crt

STEP 7-8 :为你的 ca.key 和 server.key 加密，要记住pass phrase。

下面完成apache的安装

# make install

# vi /usr/local/apache/conf/httpd.conf

修改BindAddress 和 ServerName 加入关于PHP4的行 .如果要改变 DocumentRoot 要记得把httpd.conf里SSL Virtual Host Context部分的DocumentRoot设定也改掉。

SSLCertificateFile和SSLCertificatKeyFile的设定也在 SSL Virtual Host Context部分。它可能是这样设定的：

SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt

SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key

要注意ssl.key ssl.crt等目录和文件的权限！所有的key,csr,crt,prm文件都应该设为 400 属性！

最后测试：

# cd /usr/local/apache

# bin/apachectl startssl

提示输入pass phrase（就是你前面输入的，不知道你还记不记得）输入后就启动了一个支持SSL的apache

在Netscape里输入https://localhost/ 试试，注意是https而不是http！

Netscape会有一些提示，不管他一个劲地Next好了！然后你应该可以看到页面，而且窗口左下角的锁是锁上的。手工签署证书的方法

虽然在安装MOD_SSL时已经使用 make certificate 命令建立了服务器的证书签名，但是有时你可能需要改变它。

当然有很多自动的脚本可以实现它，但是最可靠的方法是手工签署证书。

首先我假定你已经安装好了openssl和MOD_SSL，如果你的openssl安装时的prefix设置为/usr/local/openssl，那么把/usr/local/openssl/bin加入执行文件查找路径。还需要MOD_SSL源代码中的一个脚本，它在MOD_SSL的源代码目录树下的pkg.contrib目录中，文件名为 sign.sh。将它拷贝到 /usr/local/openssl/bin 中。

先建立一个 CA 的证书，首先为 CA 创建一个 RSA 私用密钥，

[S-1]

openssl genrsa -des3 -out ca.key 1024

系统提示输入 PEM pass phrase，也就是密码，输入后牢记它。生成 ca.key 文件，将文件属性改为400，并放在安全的地方。

[S-2]

chmod 400 ca.key

你可以用下列命令查看它的内容，

[S-3]

openssl rsa -noout -text -in ca.key

利用 CA 的 RSA 密钥创建一个自签署的 CA 证书（X.509结构）

[S-4]

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt