Win32平台下Apache+ssl配置指南
2004-10-19 22:26
525 查看
本文源自http://raibledesigns.com/wiki/Wiki.jsp?page=ApacheSSL,并作了必要的修改,补充和简化。在我的winxp+apache1.3.31下面测试通过
假定:
你已经熟悉apache的安装和配置
你对ssl安全连接的基本常识有一定了解
你对php有一定了解
不要混淆1.3和2.0版本的apache,不同的版本对应不同的mod_ssl。
修改httpd.conf的下列字段:
[将所有
注:如果你是在自己的pc上进行测试的话,可以随意在hosts文件中添加一行域名和本地ip的纪录,然后用这个域名进行测试。关于hosts文件知识,请自行了解。
重启apache服务。
打开 http://www.my-server.dom:443/. 此时连接并没有加密但代表你的apache可以正常使用443端口。
2.: 取得OpenSSL 和 mod_ssl
从 http://hunter.campbus.com/ 下载并解压缩
Apache_2.0.49-Openssl_0.9.7d-Win32.zip
Apache_1.3.31-Mod_SSL_2.8.20-Openssl_0.9.7d-Win32.zip
Openssl-0.9.7d-Win32.zip
从openssl压缩包里拷贝
从 http://www.cygwin.com 下载并安装Cygwin。
注意安装的时候要选择openssl包。
你需要一个
http://www.securityfocus.com/data/tools/openssl.conf
注意:下列命令可以在cygwin里面运行,也可以在解压后的Openssl-0.9.7d-Win32.zip 运行(需要拷贝openssl.conf,如果运行不正确,在命令行后面加上-conf openssl.conf)
这个语句建立一个证书签名请求和一个私钥。当系统提示
这个语句从私钥移除 passphrase。
这个语句建立自签名的证书,你可以使用这个直到你从权威机构得到了一个 真实证书。你可以扩大 -days 365 的参数,以避免一年以后过期。
如果你的用户使用 MS Internet Explorer 4.0+ 并且希望安装证书到证书存储里(下载和打开), 你需要建立一个 a DER-encoded 版本的证书。
建立一个目录
注意:查找所有子目录里的这些后缀文件,拷贝到相应目录并覆盖。
定位LoadModule指令在
从OpenSSL源文件里拷贝
在
如果配置文件里IfDefine指令有效,则运行apache的时候要加上
注意: 使用多个虚拟主机的时候,必须用基于ip的配置,因为SSL需要配置一个指定端口443,如果使用了基于名字的指令(对于所有端口)则apache服务器会报错
启动apache服务器,如果顺利的话你会看到
D:/Apache>apache -D SSL
[Tue Oct 19 22:18:32 2004] [warn] Loaded DSO d:/apache/php/sapi/php4apache.dll u
ses plain Apache 1.3 API, this module might crash under EAPI! (please recompile
it with -DEAPI)
Apache/1.3.31 (Win32) mod_ssl/2.8.19 OpenSSL/0.9.7d PHP/4.3.6 running...
如果不能正确启动,仔细看屏幕提示,你会从中得到解决的办法。
如果一切顺利,那么,打开IE,访问https://localhost
参考文档和相关链接:
http://raibledesigns.com/wiki/Wiki.jsp?page=ApacheSSL
http://www.yesky.com/SoftChannel/72356686970486784/20030807/1719982_2.shtml
http://hunter.campbus.com/
http://www.cygwin.com/
http://www.shininglightpro.com/
假定:
你已经熟悉apache的安装和配置
你对ssl安全连接的基本常识有一定了解
你对php有一定了解
1.: 安装Apache
从 www.apache.org 下载apache 安装包并安装。建议安装1.3.31版本,对下文的配置比较方便。
不要混淆1.3和2.0版本的apache,不同的版本对应不同的mod_ssl。
修改httpd.conf的下列字段:
[将所有
www.my-server.dom换成你自己的域名!]
注:如果你是在自己的pc上进行测试的话,可以随意在hosts文件中添加一行域名和本地ip的纪录,然后用这个域名进行测试。关于hosts文件知识,请自行了解。
Port 80改成
# Port 80
Listen 80(标准web端口)
Listen 443(监听SSL 端口)
ServerNamewww.my-server.dom
重启apache服务。
打开 http://www.my-server.dom:443/. 此时连接并没有加密但代表你的apache可以正常使用443端口。
2.: 取得OpenSSL 和 mod_ssl
从 http://hunter.campbus.com/ 下载并解压缩
Apache_2.0.49-Openssl_0.9.7d-Win32.zip
Apache_1.3.31-Mod_SSL_2.8.20-Openssl_0.9.7d-Win32.zip
Openssl-0.9.7d-Win32.zip
从openssl压缩包里拷贝
ssleay32.dll和
libeay32.dll到
WINNT/System32. 大约有 70 % 的人因为没有这样做导致安装失败。
从 http://www.cygwin.com 下载并安装Cygwin。
注意安装的时候要选择openssl包。
你需要一个
openssl.exe 的配置文件。如果使用Cygwin,那么已经自动包含。否则你需要下载一个openssl.conf
http://www.securityfocus.com/data/tools/openssl.conf
3.: 建立测试证书
下列的说明来自 http://www.apache-ssl.org/#FAQ.注意:下列命令可以在cygwin里面运行,也可以在解压后的Openssl-0.9.7d-Win32.zip 运行(需要拷贝openssl.conf,如果运行不正确,在命令行后面加上-conf openssl.conf)
openssl req -new -out server.csr
这个语句建立一个证书签名请求和一个私钥。当系统提示
"Common Name (eg, your websites domain name)", 给出精确的web服务器名称 (例如 www.my-server.dom)。如果和实际的名称不符合,浏览器会报错。
openssl rsa -in privkey.pem -out server.key
这个语句从私钥移除 passphrase。
server.key只能被 apache 和 administrator管理。删除
.rnd文件,它可能被利用来攻击私钥。
openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365
这个语句建立自签名的证书,你可以使用这个直到你从权威机构得到了一个 真实证书。你可以扩大 -days 365 的参数,以避免一年以后过期。
如果你的用户使用 MS Internet Explorer 4.0+ 并且希望安装证书到证书存储里(下载和打开), 你需要建立一个 a DER-encoded 版本的证书。
openssl x509 -in server.crt -out server.der.crt -outform DER
建立一个目录
Apache/conf/ssl并拷贝
server.key和
server.crt. 对于Linux 建立两个目录
ssl.key和
ssl.crt. 拷贝
server.crt到
ssl.crt;拷贝
server.key到
ssl.key。
4.: 配置Apache 和mod_ssl
从下载的apache-mod_ssl 包里面拷贝所有的 (*.exe, *.dll, *.so) 文件到原始apache目录。注意不要覆盖原始的配置文件httpd.conf。注意:查找所有子目录里的这些后缀文件,拷贝到相应目录并覆盖。
定位LoadModule指令在
httpd.conf文件的位置。增加下列指令:
LoadModule ssl_module modules/mod_ssl.so
在AddModule 指令部分的最后面加上 AddModule mod_ssl.c
从OpenSSL源文件里拷贝
ssl.conf到 Apache/conf/. 也可以下载 http://www.raibledesigns.com/tomcat/ssl.conf 。
在
httpd.conf的最后增加以下指令
# see http://www.modssl.org/docs/2.4/ssl_reference.html for more info SSLMutex sem SSLRandomSeed startup builtin SSLSessionCache none
ErrorLog logs/ssl.log LogLevel info # You can later change "info" to "warn" if everything is OK
<VirtualHost www.my-server.dom:443> SSLEngine On SSLCertificateFile conf/ssl/server.crt SSLCertificateKeyFile conf/ssl/server.key </VirtualHost>
如果配置文件里IfDefine指令有效,则运行apache的时候要加上
-D SSL参数。
注意: 使用多个虚拟主机的时候,必须用基于ip的配置,因为SSL需要配置一个指定端口443,如果使用了基于名字的指令(对于所有端口)则apache服务器会报错
[error] VirtualHost _default_:443 -- mixing * ports and non-* ports with a NameVirtualHost address is not supported, proceeding with undefined results
启动apache服务器,如果顺利的话你会看到
D:/Apache>apache -D SSL
[Tue Oct 19 22:18:32 2004] [warn] Loaded DSO d:/apache/php/sapi/php4apache.dll u
ses plain Apache 1.3 API, this module might crash under EAPI! (please recompile
it with -DEAPI)
Apache/1.3.31 (Win32) mod_ssl/2.8.19 OpenSSL/0.9.7d PHP/4.3.6 running...
如果不能正确启动,仔细看屏幕提示,你会从中得到解决的办法。
如果一切顺利,那么,打开IE,访问https://localhost
参考文档和相关链接:
http://raibledesigns.com/wiki/Wiki.jsp?page=ApacheSSL
http://www.yesky.com/SoftChannel/72356686970486784/20030807/1719982_2.shtml
http://hunter.campbus.com/
http://www.cygwin.com/
http://www.shininglightpro.com/
相关文章推荐
- Win32平台Apache 2.0.52配置mod_perl
- Windows平台上的Apache+Tomcat配置指南
- Windows平台上的Apache+Tomcat配置指南
- Windows平台上的Apache+Tomcat配置指南
- Windows平台上的Apache+Tomcat配置指南
- Windows平台上的Apache+Tomcat配置指南
- Windows平台上的Apache+Tomcat配置指南
- lumen5.4、PHP5.6+、win32、apache2.4+连接sql server配置
- nagios从apache平台转nginx配置
- Apache2.2 + php-5.4.45-Win32-VC9-x86 配置
- Apache 配置里面使用 Win32DisableAcceptEx ,Apache 启动不了
- ViewVC安装配置指南(Linux平台)
- LAMP平台架构之:apache配置必知必会
- 使用Apache模块编译安装搭建LAMP平台以及部署DedeCMS网站配置详解
- Apache Httpd在linux环境下安装配置指南
- Win32平台如何配置才能使用Boost、ACE、CppUnit
- Windows平台上配置Apache + OpenSSL
- 基于Centos 6.5 配置分离式LAMP平台环境的一次扩展实现多PHP Apache和自建DNS来提升LAMP的负载
- 在VS2012中配置pthread_win32(包含x86和x64两种平台)
- Apache + MOD_JK + TOMCAT实现集群和负载均衡配置指南