Linux下使用Apache+OpenSSL实现HTTPS

为了使Apache支持https访问,系统需要安有apache、openssl、mod_ssl.so

1、安装openssl:

基本上系统都已经安装了,在/usr/bin/openssl下,直接使用openssl命令即可;如果系统未安装,则下载openssl进行安装。

2、安装mod_ssl.so:

现在Apache都自带了这个模块,默认是不安装的。安装方式有两种:静态编译和动态加载。

静态编译:即在编译安装apache的时候,在./configure的时候添加--enable--ssl,这样mod_ssl.so模块就加载进了Apache。(如果已经static编译过的模块,再次修改httpd.conf方式用loadmodule命令,在启动apache时会报"模块名" is built-in and can't be loaded.的错误。)

动态编译:无需重新编译apache,直接进入[source]/modules/ssl;执行[apache]/bin/apxs -a -i -c -L/usr/lib/openssl/engines/lib -c *.c -lcrypto -lssl -ldl;这种方式加载之后,在apache的安装目录下的modules目录会生成一个mod_ssl.so,同时httpd.conf中会增加一行LoadModule php5_module modules/libphp5.so([apache]表示Apache的安装目录,[source]表示Apache源码目录)

注:

apxs命令参数说明:
-i  此选项表示需要执行安装操作,以安装一个或多个动态共享对象到服务器的modules目录中。
-a  此选项自动增加一个LoadModule行到httpd.conf文件中,以激活此模块,或者,如果此行已经存在,则启用之。
-A  与 -a 选项类似,但是它增加的LoadModule命令有一个井号前缀(#),即此模块已经准备就绪但尚未启用。

-c  此选项表示需要执行编译操作。它首先会编译C源程序(.c)files为对应的目标代码文件(.o),然后连接这些目标代码和files中其余的目标代码文件(.o和.a),以生成动态共享对象dsofile 。如果没有指定 -o 选项,则此输出文件名由files中的第一个文件名推测得到,也就是默认为mod_name.so 

3、生成密钥和证书:

新建一个目录testCA或者直接进入Apache安装目录下的conf目录;

建立三个文件(不然为网站服务器签署证书的时候会报错):

mkdir newcerts 

echo "01" > serial

touch index.txt

建立服务器密钥:

openssl genrsa -des3 1024  > server.key

从密钥中删除密码(以避免系统启动后被询问口令):

openssl rsa -in  server.key >  server2.key

替换文件:

mv  server2.key  server.key

建立服务器密钥请求文件:

openssl req -new -key server.key -out server.csr

建立服务器证书:

openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365

4、Apache添加SSL支持:

修改httpd.conf,去掉 Include conf/extra/httpd-ssl.conf 行首的“#”

5、修改httpd-ssl.conf:

修改端口Listen 443

(若生成的server.crt、server.key、server.csr等文件是在testCA目录下,还需要修改SSLCertificateFile等的路径)

6、重启Apache服务器:

7、输入https://网站进行验证,成功则表示已经支持ssl

 

posted @ 2014-10-29 15:46  淡然的优雅  阅读(4871)  评论(0编辑  收藏  举报