热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

【转】原来win+apache实现ssl的证书认证如此简单

[精华]原来win+apache实现ssl的证书认证如此简单http:www.chinaunix.net作者:ataman发表于:2008-05-2218:16:46【
[精华] 原来win+apache实现ssl的证书认证如此简单

http://www.chinaunix.net 作者:ataman  发表于:2008-05-22 18:16:46
【发表评论】 【查看原文】 【Web服务器讨论区】【关闭】
windows+apache的情况下,实现ssl的证书认证 (win下用openssl做证书极为困难的问题彻底解决了)
我写得非常详细,一步一步都说得很清楚。实际操作极为简单,要不了5分钟,是我的字打得太多了.如果发现错误,遗漏请提出。
首先,到http://hunter.campbus.com/去下载和自己的apache版本相同的的Apache_xxx-xxxOpenssl_xxx-Win32.zip。解压缩后找到这5个文件mod_ssl.so(modules目录),ssl.conf,ssl.default.conf(conf目录,
其中default.conf作为备份),libeay32.dll, ssleay32.dll(这2个都在bin目录)。把它们全都复制到你自己的apahce下的对应目录。

###############################################################################
接下来,更改设置文件
对于httpd.conf和ssl.conf,如果你的服务器没有域名,那么servername就填ip好了。 比如:ServerName 10.10.10.10:80(httpd.conf) ServerName 10.10.10.10:443(ssl.conf)
打开httpd.conf: 找到#LoadModule ssl_module modules/mod_ssl.so,去掉前面的‘#‘,这样就在启动时加载了ssl模块。
打开ssl.conf: 找到#;和#;,把前面的’#‘号都去掉,否则启动apache时还要加参数,麻烦。 如下设置: SSLMutex none                         (这个我是none,有人是default,具体怎么设可以研究一下) SSLCertificateFile conf/server.crt    (服务器证书的位置,就是公钥吧?) SSLCertificateKeyFile conf/server.key (服务器私钥的位置) SSLCACertificateFile conf/ca.crt      (CA根证书的位置,进行客户端验证时需要。也是一个CA公钥吧?
我把它们都放在apache的conf目录下了) DocumentRoot "xxxxx"                  (指向要ssl加密认证的文档目录,比如"f:/http")
SSLVerifyClient require               (去掉前面的‘#’号,进行客户端验证时需要) SSLVerifyDepth  1                     (去掉前面的‘#’号,把10改为1,进行客户端验证时需要)

############################################################################## 现在,就要制作证书了
去open***.net下载并安装open***。 这是一个虚拟个人网络制作工具,他能完美的在win(linux,BSD也行)下制作根、服务器、客户端证书。 安装完毕后,开始-程序-附件-命令提示符,进到open***的easy-rsa目录,比如: f:\program files\open***\easy-rsa>;_ 输入: init-config 回车
会产生几个文件,切换出来,打开vars.bat文件,修改其中的KEY_COUNTRY(国家2位字母), KEY_PROVINCE(省2位字母), KEY_CITY(城市), KEY_ORG(组织),  KEY_EMAIL(电子邮箱)这几个参数,免的后面制证时
反复输入麻烦。保存退出,继续使用命令提示符。 依次输入以下两个命令,当然是分别回车喽: vars clean-all   (这两个是准备工作)

####################################################################################
1. 建立CA根证书
接着输入build-ca   回车(这个就是建立CA根证书啦)
然后显示:
ai:/usr/share/open***/easy-rsa # ./build-ca Generating a 1024 bit RSA private key ............++++++ ...........++++++ writing new private key to \'ca.key\' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter \'.\', the field will be left blank. ----- Country Name (2 letter code) [KG]:          国家名2位字母,默认的参数就是我们刚才修改过的。 State or Province Name (full name) [NA]:    省、州名2位字母 Locality Name (eg, city) [BISHKEK]:         城市名 Organization Name (eg, company) [Open***-TEST]:     组织名 Organizational Unit Name (eg, section) []:           组织里的单位名 Common Name (eg, your name or your server\'s hostname) []:这个是关键,应该输入颁发根证书单位的域名
,不过因为是根证书,所以怎么填都无所谓。只有服务器证书才需要认真填。 Email Address [me@myhost.mydomain]: 电子邮箱
好了,CA根证书制作完成!在keys目录下,它的名字就叫ca.crt,CA的私钥是ca.key
#######################################################################
2. 现在制作服务器证书: 在命令提示符下,输入 build-key-server server   回车 你会看到和上面很相似的东西 但要注意这里的Common Name (eg, your name or your server\'s hostname) []: 这个才是真正的关键。这里应该输入服务器的域名比如www.xxx.com。 如果没有域名,就应该填ip,与httpd.conf和ssl.conf里的设置对应, ServerName 10.10.10.10:80(httpd.conf) ServerName 10.10.10.10:443(ssl.conf)
也就是说填:10.10.10.10
接下来看到 a challenge password []:填不填随便,我不填 an optional company name []: 填不填随便,我不填
sign the certificate? [y/n] 敲y回车。用CA根证书对服务器证书签字认证。 1 out 1 certificate requests certified,commit? [y/n] 敲y回车,确认。
好了,建好了在keys目录下的server.crt(证书)和server.key(私钥)
#######################################################################
3. 现在制作客户端证书:
在命令提示符下,输入 build-key client1   回车 又是一通国家省市组织等等,comman name也是随便填的。 然后 a challenge password []:填不填随便,我不填 an optional company name []: 填不填随便,我不填
sign the certificate? [y/n] 敲y回车。用CA根证书对客户端证书签字认证。 1 out 1 certificate requests certified,commit? [y/n] 敲y回车,确认。
好了,建好了在keys目录下的client1.crt(客户端证书)和client1.key(私钥)
等等, .crt的客户端证书是不能使用的,必须把它转化为.pfx格式的文件!!
所以,还是在命令提示符下,输入 openssl 回车 看到openssl>; 再输入 pkcs12 -export –in keys/client1.crt -inkey keys/client1.key -out keys/client1.pfx 回车, 看到Enter export password:会要求你建立客户端证书的输出密码,我填hehe, verifying-Enter export password再确认一遍hehe,好了!
########################################################################
把keys目录下的ca.crt和server.crt,server.key都复制到apache的conf目录下,(ssl.conf需要) ca.key自己保留吧,找个合适的地方储存起来.
#########################################################################
客户端安装证书
打开internet explorer(IE),工具-internet选项-内容-证书,点选\'个人\' 再点击导入,把客户端证书client1.pfx导入到个人组里(别忘了扩展名是pfx)。 这里还要输入刚才建立的输出密码hehe才能倒入呢。
接着,点选\'受信任的根证书颁发机构\',点击导入,把CA根证书ca.crt导入到受信任的根证书颁发机构里。
#########################################################################
好啦,重新启动apache,打开IE, 在地址栏里输入https://10.10.10.10或者域名,弹出个窗口要选择个人的数字证书。 点选,然后确定。 如果服务器证书的common name填写正确的话,你就可以直接进入网站了,看到右下角的小锁头(可靠的SSL128位)。 如果服务器证书的common name填写不正确,就会弹出个‘安全警报’框,告诉你3条: 1.安全证书由信任的站点颁发 (如果说是由不信任的站点颁发,那就是你的ca根证书ca.crt没有导入到ie的受信任的根证书颁发机构里)
2.安全证书的日期有效  (这个日期缺省是10年,可以在open***的easy-rsa目录下的openssl.cnf里调整修改,然后重新制作一整套证书(openssl.cnf看起来像拨
号网络的快捷方式,要用记事本,写字板打开修改))
3.“安全证书上的名称无效,或者与站点名称不匹配” 这就是服务器证书的common name填写不正确所致,不过这也没关系,有人好像愿意这样。我是不想看到这个警告框,烦人。
即使有安全警报,你仍能进入网站,看到右下角的小锁头(可靠的SSL128位)
################################# 最后,成功啦!用吧。
我自己把httpd.conf里的listen 80都加#注释了,servername改为10.10.10.10:443,只用https不用http,嗬嗬!!!

推荐阅读
  • 在Java开发中,保护代码安全是一个重要的课题。由于Java字节码容易被反编译,因此使用代码混淆工具如ProGuard变得尤为重要。本文将详细介绍如何使用ProGuard进行代码混淆,以及其基本原理和常见问题。 ... [详细]
  • 在 Ubuntu 22.04 LTS 上部署 Jira 敏捷项目管理工具
    Jira 敏捷项目管理工具专为软件开发团队设计,旨在以高效、有序的方式管理项目、问题和任务。该工具提供了灵活且可定制的工作流程,能够根据项目需求进行调整。本文将详细介绍如何在 Ubuntu 22.04 LTS 上安装和配置 Jira。 ... [详细]
  • 电商高并发解决方案详解
    本文以京东为例,详细探讨了电商中常见的高并发解决方案,包括多级缓存和Nginx限流技术,旨在帮助读者更好地理解和应用这些技术。 ... [详细]
  • 本文详细介绍了在 CentOS 7 系统中安装 Python 3.7 的步骤,包括编译工具的安装、Python 3.7 源码的下载与编译、软链接的创建以及常见错误的处理方法。 ... [详细]
  • Redis 是一个高性能的开源键值存储系统,支持多种数据结构。本文将详细介绍 Redis 中的六种底层数据结构及其在对象系统中的应用,包括字符串对象、列表对象、哈希对象、集合对象和有序集合对象。通过12张图解,帮助读者全面理解 Redis 的数据结构和对象系统。 ... [详细]
  • 深入解析 OpenSSL 生成 SM2 证书:非对称加密技术与数字证书、数字签名的关联分析
    本文深入探讨了 OpenSSL 在生成 SM2 证书过程中的技术细节,重点分析了非对称加密技术在数字证书和数字签名中的应用。非对称加密通过使用公钥和私钥对数据进行加解密,确保了信息传输的安全性。公钥可以公开分发,用于加密数据或验证签名,而私钥则需严格保密,用于解密数据或生成签名。文章详细介绍了 OpenSSL 如何利用这些原理生成 SM2 证书,并讨论了其在实际应用中的安全性和有效性。 ... [详细]
  • Fiddler 安装与配置指南
    本文详细介绍了Fiddler的安装步骤及配置方法,旨在帮助用户顺利抓取用户Token。文章还涵盖了一些常见问题的解决方案,以确保安装过程顺利。 ... [详细]
  • Zabbix自定义监控与邮件告警配置实践
    本文详细介绍了如何在Zabbix中添加自定义监控项目,配置邮件告警功能,并解决测试告警时遇到的邮件不发送问题。 ... [详细]
  • 7-Zip加密压缩文件的详细步骤
    7-Zip 是一款高效且功能强大的压缩工具,支持多种压缩格式,并具备强大的加密功能。本文将详细介绍如何使用 7-Zip 加密压缩文件,确保您的数据安全。 ... [详细]
  • IO流——字符流 BufferedReader / BufferedWriter 进行文件读写
    目录节点流、处理流读文件:BufferedReader的使用写文件:BufferedWriter的使用节点流处理流节点流和处理流的区别和联系字符流Buf ... [详细]
  • 深入理解Redis中的字典实现
    本文详细介绍了Redis中字典的实现机制,包括其底层数据结构、哈希表与哈希节点的关系、元素添加方法及rehash操作的具体流程。 ... [详细]
  • 兆芯X86 CPU架构的演进与现状(国产CPU系列)
    本文详细介绍了兆芯X86 CPU架构的发展历程,从公司成立背景到关键技术授权,再到具体芯片架构的演进,全面解析了兆芯在国产CPU领域的贡献与挑战。 ... [详细]
  • C#实现文件的压缩与解压
    2019独角兽企业重金招聘Python工程师标准一、准备工作1、下载ICSharpCode.SharpZipLib.dll文件2、项目中引用这个dll二、文件压缩与解压共用类 ... [详细]
  • 本文详细介绍了如何使用OpenSSL自建CA证书的步骤,包括准备工作、生成CA证书、生成服务器待签证书以及证书签名等过程。 ... [详细]
  • 为了在Hadoop 2.7.2中实现对Snappy压缩和解压功能的原生支持,本文详细介绍了如何重新编译Hadoop源代码,并优化其Native编译过程。通过这一优化,可以显著提升数据处理的效率和性能。此外,还探讨了编译过程中可能遇到的问题及其解决方案,为用户提供了一套完整的操作指南。 ... [详细]
author-avatar
暴君1566
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有