博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
详解 Windows下apache 实现 SSL
阅读量:5988 次
发布时间:2019-06-20

本文共 2174 字,大约阅读时间需要 7 分钟。

SSL:安全套接层,是netscape公司设计的主要用于web的安全传输协议。这种协议在WEB上获得了广泛的应用。通过证书认证来确保客户端和网站服务器之间的数据是安全,过程大致如下:

 

SSL客户端在TCP连接建立之后,发出一个消息给服务器,这个消息里面包含了自己可实现的算法列表和其它一些需要的消息,SSL的服务器端会回应一个数据包,这里面确定了这次通信所需要的算法,然后发过去自己的证书(里面包含了身份和自己的公钥)。Client在收到这个消息后会生成一个秘密消息,用SSL服务器的公钥加密后传过去,SSL服务器端用自己的私钥解密后,会话密钥协商成功,双方可以用同一份会话密钥来通信了。

 

如果对于一般的应用,管理员只需生成“证书请求”(后缀大多为.csr),它包含你的名字和公钥,然后把这份请求交给诸如verisign等有CA服务公司,你的证书请求经验证后,CA用它的私钥签名,形成正式的证书发还给你。管理员再在web server上导入这个证书就行了。如果你不想花那笔钱,或者想了解一下原理,可以自己做CA。从ca的角度讲,你需要CA的私钥和公钥。从想要证书的服务器角度将,需要把服务器的证书请求交给CA.

 

如果你要自己做CA,别忘了客户端需要导入CA的证书(CA的证书是自签名的,导入它意味着你“信任”这个CA签署的证书)。而商业CA的一般不用,因为它们已经内置在你的浏览器中了。

 

实现HTTPS,经我个人测试,每个版本实现的细节都有所不同,但个人认为最为简单的还是apache_2.2.8-win32-x86-openssl-0.9.8g  那么我下面就以这个版本来介绍一下如何实现基于windows下的https.

思路:

1 配置 apache 以支持 SSL

2 为网站服务器生成私钥及申请文件

3 安装CA 使用两种方法

4.通过CA为网站服务器签署证书

5.测试

 

步骤1:配置 APACHE以支持SSL

LoadModule ssl_module modules/mod_ssl.so

 Include conf/extra/httpd-ssl.conf

去掉两行前面的#

 

步骤2 为网站服务器生成证书及私钥文件

生成服务器的私钥

C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl genrsa -out server.key 1024

生成一个server.key

生成签署申请

C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl req -new out server.csr -key server.key -config ..\conf\openssl.cnf

此时生成签署文件  SERVER.CSR

 

步骤3

CA方面:

应该是一个专门的CA机构,我们这里就自己在同一台机器搭建一个企业内部CA

这里可以直接使用商业CA,但要交纳一定的费用,我们来自己动手搭建一个企业内部CA

我们这里介绍两种方法,一种是使用OPENSSL 另一种是使用WNDOWS系统自带的 CA服务。

我们先看第一种方法,使用OPENSSL

生成CA私钥

C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl genrsa  -out ca.key 1024

多出CA.key文件

利用CA的私钥产生CA的自签署证书

C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl req  -new -x509 -days 365 -key ca.key -out ca.crt  -config ..\conf\openssl.cnf

此时生成了一个自己的证书文件,CA就可以工作了,等着生意上门了。

下面准备为网站服务器签署证书

C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config ..\conf\openssl.cnf

但,此时会报错:

所以我们需要先创建以下文件结构用于存放相应文件:

再执行一遍,即可生成  server.crt文件

然后将 server.crt  server.key复制conf文件夹下

重新启动 APACHE即可!

但要在IE中导入CA的证书,否则会报告证书不可信任!

实验终于OK!!

 

当然也可以使用WINDOWS的证书服务来为网站服务器签署证书:下面我们就来看一看:

安装成功后会在默认站点下生成certsr虑拟目录

下面我们开始签署过程

先停止APACHE,因为80口在占用。开启IIS的默认网站

然后选择高级证书申请

 

然后开始颁发即可:

然后再将  server.key也复制到 conf文件夹下。

重新启动 APACHE,即可!

 

步骤4 重新启动 APACHE即可!

 

转自:

转载地址:http://iejlx.baihongyu.com/

你可能感兴趣的文章
Android开发 - 掌握ConstraintLayout(二)介绍
查看>>
EOS开发完全解析(一):Ubuntu上搭建EOS开发环境
查看>>
安全研究人员:可绕过Gatekeeper安全机制macOS漏洞
查看>>
Facebook 与 150 家企业共享用户数据,且未告知用户
查看>>
百度iOS面试
查看>>
Python基础教程:Day15-图像和办公文档处理
查看>>
Bytom设计结构解读
查看>>
比原链合约入门教程
查看>>
条码插件TBarCode Office系列教程三(Excel Add-In篇)
查看>>
微软随用随付供Azure成本管理服务
查看>>
数据库管理系统Microsoft SQL Server 2019(预览版)发布!
查看>>
Android 音视频录制硬编码实现
查看>>
从裂变到成为产品的增长黑客,我们又破了纪录:4天增长1万用户
查看>>
前端必修课:ES2017+下的构建工具原理与实战
查看>>
第九期 杭州 NodeParty x 贝贝集团 技术分享——诚邀您报名参加
查看>>
一次 Cocoa App(macOS App)开发尝试
查看>>
Android 事件分发机制
查看>>
webp使用总结
查看>>
【Code-Snippet】Video播放
查看>>
前端栈和堆浅析
查看>>