开发者社区> 技术小胖子> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

详解 Windows下apache 实现 SSL

简介:
+关注继续查看



 

SSL:安全套接层,是netscape公司设计的主要用于web的安全传输协议。这种协议在WEB上获得了广泛的应用。通过证书认证来确保客户端和网站服务器之间的数据是安全,过程大致如下:
SSL客户端在TCP连接建立之后,发出一个消息给服务器,这个消息里面包含了自己可实现的算法列表和其它一些需要的消息,SSL的服务器端会回应一个数据包,这里面确定了这次通信所需要的算法,然后发过去自己的证书(里面包含了身份和自己的公钥)。Client在收到这个消息后会生成一个秘密消息,用SSL服务器的公钥加密后传过去,SSL服务器端用自己的私钥解密后,会话密钥协商成功,双方可以用同一份会话密钥来通信了。
如果对于一般的应用,管理员只需生成证书请求(后缀大多为.csr),它包含你的名字和公钥,然后把这份请求交给诸如verisign等有CA服务公司,你的证书请求经验证后,CA用它的私钥签名,形成正式的证书发还给你。管理员再在web server上导入这个证书就行了。如果你不想花那笔钱,或者想了解一下原理,可以自己做CA。从ca的角度讲,你需要CA的私钥和公钥。从想要证书的服务器角度将,需要把服务器的证书请求交给CA.
如果你要自己做CA,别忘了客户端需要导入CA的证书(CA的证书是自签名的,导入它意味着你信任这个CA签署的证书)。而商业CA的一般不用,因为它们已经内置在你的浏览器中了。
实现HTTPS,经我个人测试,每个版本实现的细节都有所不同,但个人认为最为简单的还是apache_2.2.8-win32-x86-openssl-0.9.8g  那么我下面就以这个版本来介绍一下如何实现基于windows下的https.
思路:
1 配置 apache 以支持 SSL
2 为网站服务器生成私钥及申请文件
3 安装CA 使用两种方法
4.通过CA为网站服务器签署证书
5.测试
 
步骤1:配置 APACHE以支持SSL
LoadModule ssl_module modules/mod_ssl.so
 Include conf/extra/httpd-ssl.conf
去掉两行前面的#
 
步骤2 为网站服务器生成证书及私钥文件
生成服务器的私钥
C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl genrsa -out server.key 1024
生成一个server.key
生成签署申请
C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl req -new –out server.csr -key server.key -config ..\conf\openssl.cnf
此时生成签署文件  SERVER.CSR
 
步骤3
CA方面:
应该是一个专门的CA机构,我们这里就自己在同一台机器搭建一个企业内部CA
这里可以直接使用商业CA,但要交纳一定的费用,我们来自己动手搭建一个企业内部CA
我们这里介绍两种方法,一种是使用OPENSSL 另一种是使用WNDOWS系统自带的 CA服务。
我们先看第一种方法,使用OPENSSL
生成CA私钥
C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl genrsa  -out ca.key 1024
多出CA.key文件
利用CA的私钥产生CA的自签署证书
C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl req  -new -x509 -days 365 -key ca.key -out ca.crt  -config ..\conf\openssl.cnf
此时生成了一个自己的证书文件,CA就可以工作了,等着生意上门了。
下面准备为网站服务器签署证书
C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config ..\conf\openssl.cnf
但,此时会报错:
所以我们需要先创建以下文件结构用于存放相应文件
再执行一遍,即可生成  server.crt文件
然后将  server.crt    server.key复制到  conf文件夹下
重新启动 APACHE即可!
但要在IE中导入CA的证书,否则会报告证书不可信任!
实验终于OK!!
 
当然也可以使用WINDOWS的证书服务来为网站服务器签署证书:下面我们就来看一看:
安装成功后会在默认站点下生成certsr虑拟目录
下面我们开始签署过程
先停止APACHE,因为80口在占用。开启IIS的默认网站
然后选择高级证书申请
 
然后开始颁发即可:
然后再将  server.key也复制到 conf文件夹下。
重新启动 APACHE,即可!
 
步骤4 重新启动 APACHE即可!
 
到此,实验终于结束了.两天的时间,终于可以放松一下了!!!!!!!





 本文转自 dufei 51CTO博客,原文链接:http://blog.51cto.com/dufei/90532,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
在Windows Server系统上配置静态IP
在Windows Server系统上配置静态IP的方法
0 0
阿里云国际版Windows Server 2012更新时提示“8024400A"和"80072EE2”错误码
本文www.123clouds.com介绍阿里云国际版Windows Server 2012更新时提示“8024400A"和"80072EE2”错误码。
0 0
PVE安装Windows Server 2022最佳实践
由于PVE安装Windows Server 2022有概率会出现启动失败等情况,所以我在这里做一个记录,希望能帮助到更多的人。
0 0
阿里云国际版Windows系统提示找不到“Server Manager.lnk”
本文www.123clouds.com介绍阿里云国际版Windows系统提示找不到“Server Manager.lnk”的解决方法
0 0
Windows server 2012 设置开机自动登陆并启动启动程序
Windows server 2012 设置开机自动登陆并启动启动程序
0 0
Windows Server 2008 R2配置.Net环境
Windows Server 2008 R2配置.Net环境
0 0
windows server 2012 standard如何设置只能一个用户远程登录
windows server 2012 standard如何设置只能一个用户远程登录
0 0
内网部署Windows Server 2012的WSUS补丁服务器(下)
内网部署Windows Server 2012的WSUS补丁服务器(下)
0 0
内网部署Windows Server 2012的WSUS补丁服务器(上)
内网部署Windows Server 2012的WSUS补丁服务器
0 0
文章
问答
文章排行榜
最热
最新
相关电子书
更多
Apache spark Mllib's
立即下载
Apache Wicket User Guide - Ref
立即下载
Apache Wicket User Guide-Refer
立即下载