程序博客网 > gamestop it

openssl建立证书,非常详细配置ssl+apache

来源:互联网 发布:gamestop it 编辑:程序博客网 时间:2024/05/21 22:45


openssl建立证书,非常详细配置ssl+apache

一,什么是ssl

     SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了)。即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

     安全套接字层 (SSL) 技术通过加密信息和提供鉴权,保护您的网站安全。一份 SSL 证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息,私用密钥用于解译加密的信息。浏览器指向一个安全域时,SSL 同步确认服务器和客户端,并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证消息的隐私性和完整性的安全会话。

     首先要有一个主证书,然后用主证书来签发服务器证书和客户证书,服务器证书和客户证书是平级关系,SSL所使用的证书可以自己生成,也可以通过一个商业性CA(如Verisign 或 Thawte)签署证书。签发证书的问题:如果使用的是商业证书,具体的签署方法请查看相关销售商的说明;如果是知己签发的证书,可以使用openssl 自带的CA.sh脚本工具。如果不为单独的客户端签发证书,客户端证书可以不用生成,客户端与服务器端使用相同的证书。
二,安装所要的软件

openssl :wget http://www.openssl.org/source/openssl-1.0.0a.tar.gz

apache:  wget http://www.apache.org/dist/httpd/httpd-2.2.16.tar.gz

三,安装

     在正式安装前,请不要直接看下面的安装,请看最后一部分,那是我安装时候所遇到的问题,这样可以使你少走不少弯路,我安装的时候,就走了不少弯路。

1,安装openssl

tar zxvf openssl-1.0.0a.tar.gz
cd openssl-1.0.0a
./config --prefix=/usr/local/openssl
make && make install

2,安装apache

如果你已经安装了apache,你又不想重新编译的话,请参考mod_ssl模块的安装,也就是添加ssl模块而已。

tar zxvf httpd-2.2.16.tar.gz
cd httpd-2.2.16
./configure --prefix=/usr/local/apache  --enable-ssl   --enable-rewrite  --enable-so   --with-ssl=/usr/local/openssl
make && make install

如果你是yum install  ,apt-get,pacman这样的软件管理工具进行安装的话,上面的二步可以省掉。

3,创建主证书

在/usr/local/apache/conf/下面建个目录ssl

3.1,mkdir ssl

3.2,cp /openssl的安装目录/ssl/misc/CA.sh /usr/local/apache/conf/ssl/

3.3 用CA.sh来创建证书
[root@BlackGhost ssl]#./CA.sh -newca //建立主证书
CA certificate filename (or enter to create)Making CA certificate ...Generating a 1024 bit RSA private key............++++++......++++++writing new private key to './demoCA/private/./cakey.pem'Enter PEM pass phrase:Verifying - Enter PEM pass phrase:Verify failureEnter PEM pass phrase:Verifying - Enter PEM pass phrase:-----You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:cnState or Province Name (full name) [Some-State]:cnLocality Name (eg, city) []:cnOrganization Name (eg, company) [Internet Widgits Pty Ltd]:cnOrganizational Unit Name (eg, section) []:cnCommon Name (eg, YOUR name) []:localhostEmail Address []:xtaying@gmail.comPlease enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:******************An optional company name []:Using configuration from /etc/ssl/openssl.cnfEnter pass phrase for ./demoCA/private/./cakey.pem:       //填的是上面的PEM密码Check that the request matches the signatureSignature okCertificate Details: Serial Number: 89:11:9f:a6:ca:03:63:ab Validity Not Before: Aug  7 12:35:28 2010 GMT Not After : Aug  6 12:35:28 2013 GMT Subject: countryName               = cn stateOrProvinceName       = cn organizationName          = cn organizationalUnitName    = cn commonName                = localhost emailAddress              = xtaying@gmail.com X509v3 extensions: X509v3 Subject Key Identifier: 26:09:F3:D5:26:13:00:1F:3E:CC:86:1D:E4:EE:37:06:65:15:4E:76 X509v3 Authority Key Identifier: keyid:26:09:F3:D5:26:13:00:1F:3E:CC:86:1D:E4:EE:37:06:65:15:4E:76 DirName:/C=cn/ST=cn/O=cn/OU=cn/CN=localhost/emailAddress=xtaying@gmail.com serial:89:11:9F:A6:CA:03:63:AB X509v3 Basic Constraints: CA:TRUECertificate is to be certified until Aug  6 12:35:28 2013 GMT (1095 days)Write out database with 1 new entriesData Base Updated

安装成功的话,会在ssl目录下面产生一个文件夹demoCA


4 生成服务器私钥和服务器证书
 # 无 -des3, 不加密证书, 客户端不调用:SSL_CTX_set_default_passwd_cb_userdata 输入密码
[root@BlackGhost ssl]# openssl genrsa -out server.key 1024           //产生服务器私钥        不加密  
[root@BlackGhost ssl]# openssl genrsa -des3 -out server.key 1024            //产生服务器私钥  
Generating RSA private key, 1024 bit long modulus.....................++++++.........++++++e is 65537 (0x10001)Enter pass phrase for server.key:Verifying - Enter pass phrase for server.key:
[root@BlackGhost ssl]# openssl req -new -key server.key -out server.csr    //生成服务器证书Enter pass phrase for server.key:You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:cnState or Province Name (full name) [Some-State]:cnLocality Name (eg, city) []:cnOrganization Name (eg, company) [Internet Widgits Pty Ltd]:cnOrganizational Unit Name (eg, section) []:cnCommon Name (eg, YOUR name) []:localhost     //要填全域名Email Address []:xtaying@gmail.comPlease enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:*****************An optional company name []:

4.1 对产生的服务器证书进行签证
4.1.1、下面的要求修改openssl.cnf文件。  4.1.2 则不用修改openssl.cnf文件
################################################
cp server.csr newseq.pem
[root@BlackGhost ssl]# ./CA.sh -sign     //为服务器证书签名Using configuration from /etc/ssl/openssl.cnfEnter pass phrase for ./demoCA/private/cakey.pem:Check that the request matches the signatureSignature okCertificate Details: Serial Number: 89:11:9f:a6:ca:03:63:ac Validity Not Before: Aug  7 12:39:41 2010 GMT Not After : Aug  7 12:39:41 2011 GMT Subject: countryName               = cn stateOrProvinceName       = cn localityName              = cn organizationName          = cn organizationalUnitName    = cn commonName                = localhost emailAddress              = xtaying@gmail.com X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: FE:20:56:04:8E:B6:BE:3E:3A:E1:DA:A6:4A:3A:E1:16:93:1D:3F:81 X509v3 Authority Key Identifier: keyid:26:09:F3:D5:26:13:00:1F:3E:CC:86:1D:E4:EE:37:06:65:15:4E:76Certificate is to be certified until Aug  7 12:39:41 2011 GMT (365 days)Sign the certificate? [y/n]:y1 out of 1 certificate requests certified, commit? [y/n]yWrite out database with 1 new entriesData Base UpdatedCertificate: Data: Version: 3 (0x2) Serial Number: 89:11:9f:a6:ca:03:63:ac Signature Algorithm: sha1WithRSAEncryption Issuer: C=cn, ST=cn, O=cn, OU=cn, CN=localhost/emailAddress=xtaying@gmail.com Validity Not Before: Aug  7 12:39:41 2010 GMT Not After : Aug  7 12:39:41 2011 GMT Subject: C=cn, ST=cn, L=cn, O=cn, OU=cn, CN=localhost/emailAddress=xtaying@gmail.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (1024 bit) Modulus: 00:ce:d5:a8:df:d1:e7:ee:92:d1:d1:78:20:a9:6d: 0a:1b:f6:09:dd:13:29:ef:72:1d:17:54:dd:1c:8d: 28:27:69:fe:70:3b:fa:2b:a3:45:40:80:ea:0e:5b: a7:bd:40:d0:cd:bc:2c:74:03:8b:f7:6c:5e:1f:09: 5d:c6:8a:05:ea:b8:72:fc:79:8b:62:62:38:0b:42: 28:7e:0d:fc:e7:bb:b0:87:66:6a:b2:35:92:91:b9: 78:9c:b6:76:01:0b:2a:74:df:5f:a1:8b:31:61:90: 93:f9:20:db:46:59:12:2e:9b:59:c0:32:4e:92:14: a1:7e:52:7b:cc:02:5e:e2:45 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: FE:20:56:04:8E:B6:BE:3E:3A:E1:DA:A6:4A:3A:E1:16:93:1D:3F:81 X509v3 Authority Key Identifier: keyid:26:09:F3:D5:26:13:00:1F:3E:CC:86:1D:E4:EE:37:06:65:15:4E:76 Signature Algorithm: sha1WithRSAEncryption 09:a0:16:43:a2:93:11:a7:ab:f5:17:b7:36:35:84:9f:3b:37: 32:33:3f:93:63:b0:4c:bb:d1:b4:9b:4f:37:78:62:f4:ac:ff: 28:b0:63:71:2e:9a:7c:f4:40:2e:b1:5f:ae:49:e7:e2:6f:de: cf:30:cc:9a:08:26:26:24:c5:00:03:32:20:48:41:b1:29:8f: 5d:3d:2a:78:54:0e:a8:76:07:6c:7f:23:42:75:c2:fb:83:1d: 70:44:5e:8c:90:cf:b4:23:b7:23:5b:06:05:32:58:e3:af:1c: be:1d:50:7b:fd:37:66:ba:9c:ec:bb:af:ee:b6:04:f7:c5:2e: 59:22-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----Signed certificate is in newcert.pem

cp newcert.pem server.crt


4.1.2 则不用修改openssl.cnf文件
#################################
openssl ca -in server.csr -out server.crt -cert ./demoCA/cacert.pem -keyfile ./demoCA/private/cakey.pem 
5,产生客户端证书
生成客户私钥:
 # 无 -des3, 不加密证书, 客户端不调用:SSL_CTX_set_default_passwd_cb_userdata 输入密码
openssl genrsa -des3 -out client.key 1024
openssl genrsa -out client.key 1024         

生成客户证书
openssl req -new -key client.key -out client.csr

签证:
openssl ca -in client.csr -out client.crt

转换成pkcs12格式,为客户端安装所用
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

这一步根安装服务器的证书差不多,不同的是签证,最后安装的时候,client.pfx的密码要记住,在客户端安装的时候要用到的。

[root@BlackGhost ssl]# openssl pkcs12 -export -clcerts   -in client.crt -inkey client.key -out client.pfx
Enter pass phrase for client.key:
Enter Export Password:
Verifying - Enter Export Password:

客户端和服务器端都可以使用服务器端证书,所以这一步不做也行。

6,集中所以证书和私私钥到一起

#cp demoCA/cacert.pem cacert.pem

同时复制一份证书,更名为ca.crt
#cp ./demoCA/cacert.pem ca.crt
#cp cacert.pem ca.crt
7,apache配置
vi /usr/local/apache/conf/extra/ssl.conf
SSLEngine on指定服务器证书位置SSLCertificateFile /usr/local/apache/conf/ssl/server.crt指定服务器证书key位置SSLCertificateKeyFile /usr/local/apache/conf/ssl/server.key证书目录SSLCACertificatePath /usr/local/apache/conf/ssl根证书位置SSLCACertificateFile /usr/local/apache/conf/ssl/cacert.pem要求客户拥有证书SSLVerifyClient requireSSLVerifyDepth  1SSLOptions +StdEnvVars记录logCustomLog "/usr/local/apache/logs/ssl_request_log" \          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

vi /usr/local/apache/conf/extra/httpd_vhosts.conf
listen 443 https NameVirtualHost *:443 <VirtualHost _default_:443> DocumentRoot "/home/zhangy/www/metbee/trunk/src/web" ServerName  *:443 ErrorLog "/home/zhangy/apache/www.metbee.com-error.log" CustomLog "/home/zhangy/apache/www.metbee.com-access.log" common Include conf/extra/ssl.conf </VirtualHost>

vi /usr/local/apache/conf/httpd.conf把Include conf/extra/httpd-vhosts.conf前面的注释去掉

启动 /usr/local/apache/bin/apachectl -D SSL -k start

Server *:10000 (RSA)
Enter pass phrase:输入的是server的密钥

OK: Pass Phrase Dialog successful.

8,安装客户端证书

把ca.crt和client.pfx  copy到客户端,双击client.pfx就会进入证书的安装向导,下一步就行了,中间会让你输入密码

四,安装所遇到的问题

1,生成的密码很多,一会让输入密码,会忘得,并且主证书的密码和下面的证书的密码不能重得,会报错的,所以要搞个文本记下来。

2,升级openssl引发的问题

httpd: Syntax error on line 56 of /usr/local/apache/conf/httpd.conf: Cannot load /usr/local/apache/modules/libphp5.so into server: libssl.so.0.9.8: cannot open shared object file: No such file or directory

httpd: Syntax error on line 56 of /usr/local/apache/conf/httpd.conf: Cannot load /usr/local/apache/modules/libphp5.so into server: libcrypto.so.0.9.8: cannot open shared object file: No such file or directory

用ln -s来建立软链接,就可以了。不过这种方法不是万能的,比如我把libpng从1.2升到1.4,libjpeg从7.0升到8.0结果是系统差点崩掉,用软链接不管用,我把他们弄掉,从网上下的低版本重装。

3,证书的国家名称,省名要相同不然生成空证书,

The countryName field needed to be the same in the
CA certificate (cn) and the request (sh)

4,提示CommonName时,要添写全域名,会提示警告

RSA server certificate CommonName (CN) `cn' does NOT match server name!?

5,相同的证书不能生成二次,名字不一样也不行,也就是说server.cst和client.csr信息不能完相同,不然会报

failed to update database
TXT_DB error number 2

6,页面浏览时,会看到提示,你的证书是不可信的,是因为我配置的不对,还是自己建的证书就是不要信的呢?

7,当我加了SSLVerifyClient require SSLVerifyDepth 1 这二个配置时,在windows下面,要你输入证书后,就可以看到页面了,但在用firefox就是不行呢?看下面的ssl_request_log日志,192.168.18.3是用windows的IE浏览器

[09/Aug/2010:22:02:21 +0800] 127.0.0.1 TLSv1 DHE-RSA-CAMELLIA256-SHA "GET /robots.txt HTTP/1.1" 208
[09/Aug/2010:22:02:21 +0800] 127.0.0.1 TLSv1 DHE-RSA-CAMELLIA256-SHA "GET /robots.txt HTTP/1.1" 208
[09/Aug/2010:22:02:21 +0800] 127.0.0.1 TLSv1 DHE-RSA-CAMELLIA256-SHA "GET /robots.txt HTTP/1.1" 208
[09/Aug/2010:22:02:55 +0800] 192.168.18.3 TLSv1 RC4-MD5 "GET / HTTP/1.1" 1505
[09/Aug/2010:22:02:55 +0800] 192.168.18.3 TLSv1 RC4-MD5 "GET / HTTP/1.1" 1505
[09/Aug/2010:22:02:55 +0800] 192.168.18.3 TLSv1 RC4-MD5 "GET / HTTP/1.1" 1505

遇到肯定不止这几个,有的想不起来了。关于6,7,还请高手指教。谢谢

apache ssl

apache ssl

##############################################################
1 为CA创建一个RSA私钥
   #openssl genrsa -des3 -out ca.key 1024
   系统提示输入PEM pass pharse,也就是密码。生成ca.key文件,可以将文件的属性改为400,并放在安全的地方。
2利用CA的RSA私钥创建一个自签名的CA证书
   创建一个自签名的证书(Selfsigned certificate)运行req命令,该命令生成一个ca.crt。
   #openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
   然后系统提示输入国家代号、省份名称、城市名称、公司名称、部门名称、你的姓名及Email地址,这样一张自签名的CA证书就制作完成。

3为客户颁发证书
   为客户创建证书,先用genrsa命令生成的私钥,用req命令生成证书签署请求CSR。
   #openssl genrsa –des3 –out client.key 1024
   #openssl req –new –key client.key –out client.csr这里也要输入个人的信息。

   然后用sign.sh签署证书。
   #./sigh.sh client.crt
   这样由CA签发的证书就制作完成。

4撤消证书
   要吊消证书可以使用openssl的ca命令,它可以对证书进行吊消、加进CRL及CRL有关的其它一些处理。

  要吊消证书可以简单地使用以下命令:
   #openssl ca –revoke 证书文件名
  这时数据库被更新证书被标记上吊消的标志,需要生成新的证书吊消列表:
   #openssl ca -gencrl -config /etc/openssl.cnf -out crl/sopac-ca.crl
   证书吊消列表文件要在WEB站点上可以使用,必须将crldays或crlhours和crlexts加到证书中:
   openssl ca -gencrl -config /etc/openssl.cnf -crldays 7 -crlexts crl_ext -out crl/sopac-ca.crl
############################################################

openssl TXT_DB error number 2 failed to update database

##########################################################

产生的原因是:

This thing happens when certificates share common data. You cannot have two 
certificates that look otherwise the same.

 

方法一:

修改demoCA下 index.txt.attr

unique_subject = yes 
 改为
unique_subject = no
方法二:

删除demoCA下的index.txt,并再touch下

 
rm index.txt 
touch index.txt

方法三:

     将 common name设置成不同的



0 0
gamestop it gamestop it
原创粉丝点击
热门IT博客
校园网络组建论文校园网络组建论文
学术海报 软件学术海报 软件
破解资源分享软件
gta5捏脸数据奥巴马
非凡网络加速器官网
artcam二维编程
java switch if
mac qq五笔输入法
java多态的定义
平成骑士最终形态数据
淘宝店铺上新率
c语言写学生信息系统
php仓库管理系统源码
河北工业大学网络缴费
php x powered by
装修工程预算软件下载
电脑dll文件修复软件
php中echo可以有逗号吗
优化案例
音频后期制作软件
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 凰权知微宁弈亲热段落 凰权弈天下什么时候开播 凰权之天命帝妃 乱世妖娆 凰权美人如毒 凰权 天下归元 凰妃权倾天下 席慕遥 白凰洛景弃女轻狂 白凰洛景 史上第一魔头 凰燕 烈凰淡血 血凰 凳子 凳子图片 凳子英文 凳子简笔画 凳子的英文 凳子夫妇 凳子拼音 小凳子 凳子英语 凳子的拼音 折叠凳子 木凳子 小凳子图片 塑料凳子 马扎凳子 钢琴凳子 小塑料凳子 木头凳子 沙滩凳子 小凳子批发 木凳子图片 凳子模具 凳子批发 凳子上 圆凳子批发 木凳子批发 一什么凳子 凳子怎么做 凳子价格 休闲凳子

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里