当前位置:Linux教程 - Linux资讯 - Apache安装MOD_SSL的补充--手工签署证书的方法

Apache安装MOD_SSL的补充--手工签署证书的方法

  虽然在安装MOD_SSL时已经使用 make certificate 命令建立了服务器   的证书签名,但是有时你可能需要改变它。     当然有很多自动的脚本可以实现它,但是最可靠的方法是手工签署   证书。     首先我假定你已经安装好了openssl和MOD_SSL,如果你的openssl安装时   的prefix设置为/usr/local/openssl,那么把/usr/local/openssl/bin加入   执行文件查找路径。还需要MOD_SSL源代码中的一个脚本,它在MOD_SSL的   源代码目录树下的pkg.contrib目录中,文件名为 sign.sh。   将它拷贝到 /usr/local/openssl/bin 中。     先建立一个 CA 的证书,   首先为 CA 创建一个 RSA 私用密钥,   [S-1]   openssl genrsa -des3 -out ca.key 1024   系统提示输入 PEM pass phrase,也就是密码,输入后牢记它。   生成 ca.key 文件,将文件属性改为400,并放在安全的地方。   [S-2]   chmod 400 ca.key   你可以用下列命令查看它的内容,   [S-3]   openssl rsa -noout -text -in ca.key     利用 CA 的 RSA 密钥创建一个自签署的 CA 证书(X.509结构)   [S-4]   openssl req -new -x509 -days 3650 -key ca.key -out ca.crt   然后需要输入下列信息:   Country Name: cn 两个字母的国家代号   State or Province Name: An Hui 省份名称   Locality Name: Bengbu 城市名称   Organization Name: Family Network 公司名称   Organizational Unit Name: Home 部门名称   Common Name: Chen Yang 你的姓名   Email Address: [email protected] Email地址   生成 ca.crt 文件,将文件属性改为400,并放在安全的地方。   [S-5]   chmod 400 ca.crt   你可以用下列命令查看它的内容,   [S-6]   openssl x509 -noout -text -in ca.crt     下面要创建服务器证书签署请求,   首先为你的 Apache 创建一个 RSA 私用密钥:   [S-7]   openssl genrsa -des3 -out server.key 1024   这里也要设定pass phrase。   生成 server.key 文件,将文件属性改为400,并放在安全的地方。   [S-8]   chmod 400 server.key   你可以用下列命令查看它的内容,   [S-9]   openssl rsa -noout -text -in server.key     用 server.key 生成证书签署请求 CSR.   [S-10]   openssl req -new -key server.key -out server.csr   这里也要输入一些信息,和[S-4]中的内容类似。   至于 extra attributes 不用输入。     你可以查看 CSR 的细节   [S-11]   openssl req -noout -text -in server.csr     下面可以签署证书了,需要用到脚本 sign.sh   [S-12]   sign.sh server.csr   就可以得到server.crt。   将文件属性改为400,并放在安全的地方。   [S-13]   chmod 400 server.crt     删除CSR   [S-14]   rm server.csr     最后apache设置   如果你的apache编译参数prefix为/usr/local/apache,   那么拷贝server.crt 和 server.key 到 /usr/local/apache/conf   修改httpd.conf   将下面的参数改为:   SSLCertificateFILE /usr/local/apache/conf/server.crt   SSLCertificateKeyFile /usr/local/apache/conf/server.key     可以 apachectl startssl 试一下了

(出处:http://www.sheup.com)


[1] 

(出处:http://www.sheup.com)


上一页 [1] [2]