[ 永遠的UNIX > Web服務器(五)為Apache增加SSL安全保護 ]

[ 永遠的UNIX::UNIX技術資料的寶庫 ] GB | BIG5

首頁 > 網絡管理 > 互聯網技術 > 正文

Web服務器(五)為Apache增加SSL安全保護

本文出自:www.computerworld.com.cn 作者: 聯想電腦公司軟件事業部　湯海京 (2002-02-20 07:15:00)

5.1 簡介

Netscape公司提出的安全套接層（Secure Sockets Layer)的概念，簡稱SSL。顧名思義，這是一個建立在Socket層的安全協議，它屏蔽了高層協議如telnet、ftp、http的區別，把安全建立在了傳輸之上。目前該協議以被廣泛採納，它所定義的很多功能都成了下一代IP協議IPV6的一部分。

5.2 所需資源

1.2.1 所需包

1. Apache 1.3.19.tar.gz

下載網址：

http://www.tux.org/pub/net/apache/dist/apache_1.3.17.tar.gz

2. openssl 0.9.6 要用他來生成密鑰和簽署証書

下載網址：

http://www.openssl.org/source/openssl-0.9.6.tar.gz

3. mod_ssl 2.8.0

下載網址：

http://www.modssl.org/source/mod_ssl-2.8.0-1.3.19.tar.gz

1.2.2 安裝過程

1. 編譯 OpenSSL：

cd /usr/local

tar zxvf openssl-0.9.6.tar.gz

cd /usr/local/openssl-0.9.6

./config --prefix=/usr/local/openssl

#注意，這裡是 config 而不是 configure。

make

make test

make install

2. 編譯MOD_SSL

cd /usr/local

tar zxvf mod_ssl-2.8.0-1.3.19

cd /usr/local/mod_ssl-2.8.0-1.3.19

./configure --with-apache=../apache_1.3.19

3. 編譯apache

cd /usr/local

tar zxvf apache_1.3.19

cd /usr/local/apache_1.3.19

SSL_BASE=../openssl-0.9.6 \

./configure --prefix=/usr/local/apache_1.3.19 \

--enable-module=ssl \

--enable-shared=ssl

make

4.生成CA

make certificate TYPE=custom

說明：這一步要生成你自己的 CA （如果你不知道，我也不能細說了，簡單地說就是認証中心），和用它來為你的服務器簽署証書。

STEP 0:

選擇算法，使用缺省的 RSA

STEP 1:

生成 ca.key，CA的私人密鑰

STEP 2:

為CA生成X.509的認証請求 ca.csr

要輸入一些信息：

Country Name: cn 國家代碼，兩個字母

State or Provice name: An Hui 省份

Locality Name: Bengbu 城市名

Organization Name: Home CA 組織名，隨便寫吧

Organization Unit Name: Mine CA

Common Name: Mine CA

Email Address: sunstorm@263.net 我的Email

Certificate Validity: 4096 四千多天，夠了吧

STEP 3:

生成CA的簽名，ca.crt

STEP 4:

生成服務器的私人密鑰，server.key

STEP 5:

生成服務器的認証請求，server.csr

要輸入一些信息，和STEP 2類似，

不過注意 Common Name是你的網站域名，如 www.mydomain.com

Certificate Validity不要太大，365就可以了。

STEP 6:

為你的服務器簽名，得到server.crt

STEP 7-8

為你的 ca.key 和 server.key 加密，要記住pass phrase。

下面完成apache的安裝

make install

vi /usr/local/apache/conf/httpd.conf

修改BindAddress 和 ServerName

如果要改變 DocumentRoot 要記得把httpd.conf裡SSL Virtual Host Context部分的DocumentRoot設定也改掉。

SSLCertificateFile和SSLCertificatKeyFile的設定也在SSL Virtual Host Context部分。

它可能是這樣設定的：

SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt

SSLCertificateKeyFile /usr/local/apache_1.3.19/conf/ssl.key/server.key

要注意ssl.key ssl.crt等目錄和文件的權限！

所有的key,csr,crt,prm文件都應該設為 400 屬性！

5.3 手工簽署証書

雖然在安裝MOD_SSL時已經使用 make certificate 命令建立了服務器的証書簽名，但是有時你可能需要改變它。

當然有很多自動的腳本可以實現它，但是最可靠的方法是手工簽署

証書。首先我假定你已經安裝好了openssl和MOD_SSL，如果你的

openssl安裝時的prefix設置為/usr/local/openssl，那

把/usr/local/openssl/bin加入執行文件查找路徑。還需要MOD_SSL

源代碼中的一個腳本，它在MOD_SSL的源代碼目錄樹下的pkg.contrib目

錄中，文件名為 sign.sh。將它拷貝到 /usr/local/openssl/bin 中。

先建立一個 CA 的証書，

首先為 CA 創建一個 RSA 私用密鑰，

[S-1]

openssl genrsa -des3 -out ca.key 1024

系統提示輸入 PEM pass phrase，也就是密碼，輸入牢記它。

生成 ca.key 文件，將文件屬性改為400，並放在安全的地方。

[S-2]

chmod 400 ca.key

你可以用下列命令查看它的內容，

[S-3]

openssl rsa -noout -text -in ca.key

利用 CA 的 RSA 密鑰創建一個自簽署的 CA 証書（X.509結構）

[S-4]

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

然需要輸入下列信息：

Country Name: cn 兩個字母的國家代號

State or Province Name: An Hui 省份名稱

Locality Name: Bengbu 城市名稱

Organization Name: Family Network 公司名稱

Organizational Unit Name: Home 部門名稱

Common Name: Chen Yang 你的姓名

Email Address: sunstorm@263.net Email地址

生成 ca.crt 文件，將文件屬性改為400，並放在安全的地方。

[S-5]

chmod 400 ca.crt

你可以用下列命令查看它的內容，

[S-6]

openssl x509 -noout -text -in ca.crt

下面要創建服務器証書簽署請求，

首先為你的 Apache 創建一個 RSA 私用密鑰：

[S-7]

openssl genrsa -des3 -out server.key 1024

這裡也要設定pass phrase。

生成 server.key 文件，將文件屬性改為400，並放在安全的地方。

[S-8]

chmod 400 server.key

你可以用下列命令查看它的內容，

[S-9]

openssl rsa -noout -text -in server.key

用 server.key 生成証書簽署請求 CSR.

[S-10]

openssl req -new -key server.key -out server.csr

這裡也要輸入一些信息，和[S-4]中的內容類似。

至 extra attributes 不用輸入。

你可以查看 CSR 的細節

[S-11]

openssl req -noout -text -in server.csr

下面可以簽署証書了，需要用到腳本 sign.sh

[S-12]

sign.sh server.csr

就可以得到server.crt。

將文件屬性改為400，並放在安全的地方。

[S-13]

chmod 400 server.crt

刪除CSR

[S-14]

rm server.csr

最apache設置

如果你的apache編譯參數prefix為/usr/local/apache，

那拷貝server.crt 和 server.key 到 /usr/local/apache/conf

修改httpd.conf

將下面的參數改為：

SSLCertificateFILE /usr/local/apache/conf/server.crt

SSLCertificateKeyFile /usr/local/apache/conf/server.key

可以 apachectl startssl 試一下了。

5.4 測試及管理辦法

cd /usr/local/apache_1.3.19

bin/apachectl startssl

提示輸入pass phrase（就是你前面輸入的，不知道你還記不記得）

輸入就啟動了一個支持SSL的apache

在IE裡輸入https://192.168.0.1/ 試試，注意是https而不是http！

5.5 小結

用電子認証服務器，可以進行公共密鑰認証的管理、簽署和廢止。她使用的是X.509標準。

使用電子認証服務器，就可以自己管理公共密鑰的認証，而不用依賴國外的CA服務中心。我們建立一個認証服務中心，就是為了能在我們的中國多媒體公眾信息網上使用電子認証，以保証重要信息的安全。同時擴展該網的應用范圍，把它建設成一個高速有效的企業單位聯網平台。

(http://www.fanqiang.com) 進入【UNIX論壇】

相關文章

Web服務器(五)為Apache增加SSL安全保護 (2002-02-20 07:15:00)
Web服務器(四)Linux下Apache、php3、MySQL的整合 (2002-02-20 06:15:00)
Web服務器(三)Apache+Jserv整和 (2002-02-19 07:15:00)
Web服務器(二)Tomcat服務器 (2002-02-19 06:15:00)
Web服務器(一)Apache服務器 (2002-02-18 07:15:00)
CGI與WEB服務器的響應頭 (2001-08-22 10:00:00)
構建SCO UNIX下的Web服務器 (2001-06-30 23:41:46)
使用反向代理技術保護Web服務器 (2001-05-10 11:06:43)

★ 樊強制作歡迎分享 ★