Apache

Apache SSL配置

生成服务器证书

安装好在bin目录下有一个openssl.exe文件,用来生成证书和密钥。

进入conf目录,执行命令行

openssl genrsa -out server.key 1024

有文档指出使用 openssl genrsa -des3 -out server.key 1024 生成私钥文件,这样生成的私钥文件是需要口令的。

Apache启动失败,错误提示是:Init: SSLPassPhraseDialog builtin is not supported on Win32 (key file .....)

原因是window下的apache不支持加密的私钥文件。

进入conf目录,执行命令行

  openssl req -new -key server.key -out server.csr -config openssl.cnf
  提示输入一系列的参数,
  ......
  Country Name (2 letter code) [AU]:
  State or Province Name (full name) [Some-State]:
  Locality Name (eg, city) []:
  Organization Name (eg, company) [Internet Widgits Pty Ltd]:
  Organizational Unit Name (eg, section) []:
  Common Name (eg, YOUR name) []:
  Email Address []:
  .....

注:Common Name必须和httpd.conf中server name必须一致,否则apache不能启动

启动apache时错误提示为:RSA server certificate CommonName (CN) `Koda' does NOT match server name!?

进入conf目录,执行命令行

openssl x509 -req -days 365 -in server.csr -signkey server.key -out  server.crt

以上签署证书仅仅做测试用,真正运行的时候,应该将CSR发送到一个CA返回真正的用书.网上有些文档描述生成证书文件的过程比较繁琐,就是因为他们自己建立了一个CA中心证书,然后再签署server.csr.

用openssl x509 -noout -text -in server.crt可以查看证书的内容。证书实际上包含了Public Key.

配置httpd.conf

找到一个443的虚拟主机配置项,如下:

<VirtualHost _default_:443>
   SSLEngine On
   SSLCertificateFile conf/ssl.crt/server.crt
   SSLCertificateKeyFile conf/ssl.key/server.key
   #SSLCertificateChainFile conf/ssl.crt/ca.crt // 暂未启用
   #......
   DocumentRoot "C:/programs/Apache2/htdocs"
   ServerName www.my.com:443
</VirtualHost>

这样启动apache后,访问https://www.my.com将访问C:/programs/Apache2/htdocs目录下的内容。

但是如果你想保留其他目录的访问仍然是http,那么你应该把

<VirtualHost _default_:443> 也改为 <VirtualHost www.my.com:443>

此时,即便ServerName是任意的,系统仍然正常运行,仅仅Apache log提示"does NOT match server name"

LoadModule ssl_module modules/mod_ssl.so

注意到ssl.conf的配置都在标签<IfDefine SSL>中,所以为了使IfDefine 指令有效,运行apache 的时候要加上 -D SSL 参数。

apache -D SSL -k start