国密SSL协议之Apache集成

简介: Apache httpd自身支持标准的SSL协议,但并不支持国密SSL协议。本文描述了Apache httpd配置的国密SSL协议(单向)的完整过程,仅供学习和参考之用。

背景

Apache httpd自身支持标准的SSL协议,但并不支持国密SSL协议。
本文描述了Apache httpd配置的国密SSL协议(单向)的完整过程,仅供学习和参考之用。
特点:Apache httpd 无需改动源码、支持任意版本。

环境

服务器OS是CentOS7.7的64位版本,IP位192.168.0.96,客户端OS是WindowsXP。
CentOS7.7需安装development tools 开发环境,
如未安装,后续编译过程需安装必要开发包(已注明)。
Apache httpd是httpd-2.4.46.tar.gz 。
浏览器是360安全浏览器(支持国密)。

安装方法一:源码编译

GMSSL.cn提供一个OpenSSL的国密版库,可与Apache httpd编译,
生成的Apache httpd即支持国密SSL协议。
1) 准备gmssl_openssl

下载页面https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown
下载其中的gmssl_openssl_1.1_bx.tar.gz

拷贝到/root/目录
解压
tar xzfm gmssl_openssl_1.1_bxx.tar.gz -C /usr/local
则/usr/local/gmssl为国密版openssl目录
2) 准备Apache httpd
安装必要开发包:
yum install pcre-devel
yum install expat-devel
编译apr:
下载https://mirror.bit.edu.cn/apache//apr/apr-1.7.0.tar.gz
tar zxfm apr-1.7.0.tar.gz
cd apr-1.7.0
./configure --prefix=/usr/local/apr/apr
make install
编译apr-util:
下载https://mirrors.bfsu.edu.cn/apache//apr/apr-util-1.6.1.tar.gz
tar zxfm apr-util-1.6.1.tar.gz
cd apr-util-1.6.1
./configure --prefix=/usr/local/apr/util --with-apr=/usr/local/apr/apr
make install
下载展开Apache httpd:
下载https://mirrors.tuna.tsinghua.edu.cn/apache//httpd/httpd-2.4.46.tar.gz
tar zxfm httpd-2.4.46.tar.gz
cd httpd-2.4.46
3) 编译
安装必要开发包:
yum install -y bison bison-devel
yum install -y flex flex-devel
配置:
./configure --prefix=/usr/local/httpd --enable-so --enable-ssl --enable-cgi --enable-rewrite
--enable-modules=most --enable-mpms-shared=all --with-mpm=prefork --with-zlib --with-
apr=/usr/local/apr/apr --with-apr-util=/usr/local/apr/util --with-ssl=/usr/local/gmssl LDFLAGS=-lm
修改ssl为静态链接:/
vi build/config_vars.mk
找到ab_LIBS = -L/usr/local/gmssl/lib -lssl -lcrypto -lrt -lcrypt -lpthread -ldl
去掉
-L/usr/local/gmssl/lib -lssl -lcrypto
增加
/usr/local/gmssl/lib/libssl.a /usr/local/gmssl/lib/libcrypto.a
make install
则/usr/local/httpd为生成的国密版Apache httpd目录

安装方法二:直接安装

GMSSL.cn已经提供了一个按方法一编译好的国密版httpd,可以直接下载安装使用。

下载页面https://www.gmssl.cn/gmssl/index.jsp?go=apachedown

下载其中的gmssl_httpd_2.4.46_b6.tar.gz

拷贝到/root/目录
解压

tar zxfm gmssl_httpd_2.4.46_b6.tar.gz -C /usr/local

则/usr/local/http为国密版Apache httpd目录

国密双证书

1) 生成国密双证书
访问https://www.gmssl.cn/gmssl/index.jsp?go=ca
可生成免费的测试国密双证书。
gmssl.cn.png
提交后保存sm2.demo1.gmssl.cn.zip
传到服务器/root/下解压
unzip sm2.demo1.gmssl.cn.zip -d /root/sm2.demo1/

Apache httpd部署国密SSL

1) 开启SSL
vi /usr/local/httpd/conf/httpd.conf
取掉注释
LoadModule ssl_module modules/mod_ssl.so
取消注释
Include conf/extra/httpd-ssl.conf
2)配置
vi /usr/local/httpd/conf/extra/httpd-ssl.conf
注释掉所有带SSLSessionCache的配置行
配置算法

SSLCipherSuite HIGH:ECC-SM4-SM3:ECDHE-SM4-SM3

注释掉默认证书和key

#SSLCertificateFile "/usr/local/httpd/conf/server.crt"
#SSLCertificateKeyFile "/usr/local/httpd/conf/server.key"

配置国密双证书/私钥

SSLCertificateFile"/root/sm2.demo1/sm2.demo1.gmssl.cn.sig.crt.pem"
SSLCertificateKeyFile"/root/sm2.demo1/sm2.demo1.gmssl.cn.sig.key.pem"
SSLCertificateFile "/root/sm2.demo1/sm2.demo1.gmssl.cn.enc.crt.pem"
SSLCertificateKeyFile "/root/sm2.demo1/sm2.demo1.gmssl.cn.enc.key.pem"

3)测试启动
测试
/usr/local/httpd/bin/httpd -t
OpenSSL(GM version) by www.gmssl.cn. Test Only!!!
OpenSSL(GM version) by www.gmssl.cn. Test Only!!!
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using fe80::7747:d82a:32df:f84c%ens33. Set the 'ServerName' directive globally to suppress this message
Syntax OK
启动
/usr/local/httpd/bin/httpd -k start
OpenSSL(GM version) by www.gmssl.cn. Test Only!!!
OpenSSL(GM version) by www.gmssl.cn. Test Only!!!
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using fe80::7747:d82a:32df:f84c%ens33. Set the 'ServerName' directive globally to suppress this message
OpenSSL(GM version) by www.gmssl.cn. Test Only!!!
注:Test Only等信息是国密版OpenSSL输出的提示信息,不影响测试和使用。

访问验证

1)下载360安全浏览器
https://se.360.cn
2)开启国密SSL支持
gmssl2.png
3)启用极速模式
访问https://192.168.0.96
出现错误页面,开启极速模式
gmssl1.png
4)访问国密SSL成功
gmssl.png

小结

通过使用国密SSL组件,使得Apache httpd自身不做任何编译修改,即可比较简单的支持国密SSL协议,
满足等保等政策合规,确实是一个简单可操作的方法。gmssl.cn提供了全部免费的测试组件,
并且支持双向国密SSL,支持国密SSL/标准 SSL自适应,也支持Tomcat和Nginx,值得推荐和试用。

目录
相关文章
|
21天前
|
安全 网络安全 数据安全/隐私保护
HTTP 与 HTTPS 协议及 SSL 证书解析-http和https到底有什么区别?-优雅草卓伊凡
HTTP 与 HTTPS 协议及 SSL 证书解析-http和https到底有什么区别?-优雅草卓伊凡
64 3
|
2月前
|
算法 安全 应用服务中间件
云上部署WoSign SSL“国密RSA双证书”,助力国密合规建设
我国网络安全法规体系不断完善,形成了以《网络安全法》为核心的立体化法律框架。阿里云数字证书管理服务提供国产品牌SSL证书,支持签发基于国密算法的SSL/TLS证书,助力金融、政务等行业满足“网络与通信安全”合规需求。通过部署WoSign SSL国密RSA双证书方案,实现国际和国密算法自适应兼容,确保信息系统全球通用性与安全性。2025年3月阿里云“智惠采购季”活动期间,用户可享受SSL证书优惠折扣,助力信息安全建设。
143 2
云上部署WoSign SSL“国密RSA双证书”,助力国密合规建设
|
2月前
|
算法 应用服务中间件 网络安全
阿里云WoSign“国密RSA双SSL证书”应用实践
阿里云WoSign品牌SSL证书是阿里云平台热销的国产品牌证书之一,支持签发国密合规的SM2算法SSL证书以及全球信任的RSA算法SSL证书,能够满足平台用户不同的SSL证书应用需求,同时为用户提供国密模块支持,实现“国密/RSA双证书部署”。
447 6
阿里云WoSign“国密RSA双SSL证书”应用实践
|
2月前
|
存储 NoSQL Java
Tablestore集成MCP协议: 标量与向量混合检索的新范式
基于表格存储(Tablestore)实现的MCP(Model Context Protocol)服务,支持文档存储与混合检索工具两大功能。通过Cherry-Studio界面和通义千问qwen-max模型进行演示,展示了文本数据上传、向量嵌入及查询过程。此外,详细说明了Python和Java版本的本地运行步骤、环境配置及二次开发方法,并提供了集成三方工具如Cherry Studio的应用示例。Tablestore凭借混合查询、Serverless低成本、弹性扩展等优势,为MCP场景提供高效解决方案。
504 3
|
6月前
|
Dubbo 安全 应用服务中间件
Apache Dubbo 正式发布 HTTP/3 版本 RPC 协议,弱网效率提升 6 倍
在 Apache Dubbo 3.3.0 版本之后,官方推出了全新升级的 Triple X 协议,全面支持 HTTP/1、HTTP/2 和 HTTP/3 协议。本文将围绕 Triple 协议对 HTTP/3 的支持进行详细阐述,包括其设计目标、实际应用案例、性能测试结果以及源码架构分析等内容。
393 34
|
6月前
|
安全 算法 网络安全
SSL/TLS协议是什么?
SSL/TLS协议是什么?
423 57
|
9月前
|
安全 Linux 网络安全
如何在 CentOS 7 上为 Apache 创建 SSL 证书
如何在 CentOS 7 上为 Apache 创建 SSL 证书
147 0
|
6月前
|
消息中间件 Java Kafka
什么是Apache Kafka?如何将其与Spring Boot集成?
什么是Apache Kafka?如何将其与Spring Boot集成?
279 5
|
6月前
|
消息中间件 Java Kafka
Spring Boot 与 Apache Kafka 集成详解:构建高效消息驱动应用
Spring Boot 与 Apache Kafka 集成详解:构建高效消息驱动应用
134 1

热门文章

最新文章

推荐镜像

更多