雖然在安裝MOD_SSL時已經使用 make certificate 命令建立了服務器 的證書簽名,但是有時你可能需要改變它。 當然有很多自動的腳本可以實現它,但是最可靠的方法是手工簽署 證書。 首先我假定你已經安裝好了openssl和MOD_SSL,如果你的openssl安裝時 的prefix設置為/usr/local/openssl,那麼把/usr/local/openssl/bin加入 執行文件查找路徑。還需要MOD_SSL源代碼中的一個腳本,它在MOD_SSL的 源代碼目錄樹下的pkg.contrib目錄中,文件名為 sign.sh。 將它拷貝到 /usr/local/openssl/bin 中。 先建立一個 CA 的證書, 首先為 CA 創建一個 RSA 私用密鑰, [S-1] openssl genrsa -des3 -out ca.key 1024 系統提示輸入 PEM pass phrase,也就是密碼,輸入後牢記它。 生成 ca.key 文件,將文件屬性改為400,並放在安全的地方。 [S-2] chmod 400 ca.key 你可以用下列命令查看它的內容, [S-3] openssl rsa -noout -text -in ca.key 利用 CA 的 RSA 密鑰創建一個自簽署的 CA 證書(X.509結構) [S-4] openssl req -new -x509 -days 3650 -key ca.key -out ca.crt 然後需要輸入下列信息: Country Name: cn 兩個字母的國家代號 State or Province Name: An Hui 省份名稱 Locality Name: Bengbu 城市名稱 Organization Name: Family Network 公司名稱 Organizational Unit Name: Home 部門名稱 Common Name: Chen Yang 你的姓名 Email Address:
[email protected] Email地址 生成 ca.crt 文件,將文件屬性改為400,並放在安全的地方。 [S-5] chmod 400 ca.crt 你可以用下列命令查看它的內容, [S-6] openssl x509 -noout -text -in ca.crt 下面要創建服務器證書簽署請求, 首先為你的 Apache 創建一個 RSA 私用密鑰: [S-7] openssl genrsa -des3 -out server.key 1024 這裡也要設定pass phrase。 生成 server.key 文件,將文件屬性改為400,並放在安全的地方。 [S-8] chmod 400 server.key 你可以用下列命令查看它的內容, [S-9] openssl rsa -noout -text -in server.key 用 server.key 生成證書簽署請求 CSR. [S-10] openssl req -new -key server.key -out server.csr 這裡也要輸入一些信息,和[S-4]中的內容類似。 至於 extra attributes 不用輸入。 你可以查看 CSR 的細節 [S-11] openssl req -noout -text -in server.csr 下面可以簽署證書了,需要用到腳本 sign.sh [S-12] sign.sh server.csr 就可以得到server.crt。 將文件屬性改為400,並放在安全的地方。 [S-13] chmod 400 server.crt 刪除CSR [S-14] rm server.csr 最後apache設置 如果你的apache編譯參數prefix為/usr/local/apache, 那麼拷貝server.crt 和 server.key 到 /usr/local/apache/conf 修改httpd.conf 將下面的參數改為: SSLCertificateFILE /usr/local/apache/conf/server.crt SSLCertificateKeyFile /usr/local/apache/conf/server.key 可以 apachectl startssl 試一下了
[1]