中小企業服務器配置-Web服務器(3)

　　　　第五節　為Apache增加SSL安全保護

　　& 5.1 簡介

 　　Netscape公司提出的安全套接層（Secure Sockets Layer)的概念，簡稱SSL。顧名思義，這是一個建立在Socket層的安全協議，它屏蔽了高層協議如telnet、ftp、http的區別，把安全建立在了傳輸之上。目前該協議以被廣泛采納，它所定義的很多功能都成了下一代IP協議IPV6的一部分。

　　& 5.2 所需資源

  　　　&1.2.1 所需包
    
　1. Apache 1.3.19.tar.gz
      
下載網址： 
          http://www.tux.org/pub/net/apache/dist/apache_1.3.17.tar.gz
    
　2. openssl 0.9.6 要用他來生成密鑰和簽署證書
       
下載網址：
          http://www.openssl.org/source/openssl-0.9.6.tar.gz
    
　3. mod_ssl 2.8.0
        
下載網址：
          http://www.modssl.org/source/mod_ssl-2.8.0-1.3.19.tar.gz

  　　　&1.2.2 安裝過程

　1. 編譯 OpenSSL：

cd /usr/local
tar zxvf openssl-0.9.6.tar.gz
cd /usr/local/openssl-0.9.6
./config --prefix=/usr/local/openssl
#注意，這里是 config 而不是 configure。
make
make test
make install

　2. 編譯MOD_SSL

cd /usr/local
tar zxvf mod_ssl-2.8.0-1.3.19
cd /usr/local/mod_ssl-2.8.0-1.3.19
./configure --with-apache=../apache_1.3.19

　3. 編譯apache

cd /usr/local
tar zxvf apache_1.3.19
cd /usr/local/apache_1.3.19
SSL_BASE=../openssl-0.9.6 \
./configure --prefix=/usr/local/apache_1.3.19 \
--enable-module=ssl \
--enable-shared=ssl
make




　4.生成CA

make certificate TYPE=custom
說明：這一步要生成你自己的 CA （如果你不知道，我也不能細說了，簡單地說就是認證中心），和用它來為你的服務器簽署證書。
STEP 0:
選擇算法，使用缺省的 RSA

STEP 1:
生成 ca.key，CA的私人密鑰

STEP 2:
為CA生成X.509的認證請求 ca.csr
要輸入一些信息：
Country Name: cn 國家代碼，兩個字母
State or Provice name: An Hui 省份
Locality Name: Bengbu 城市名
Organization Name: Home CA 組織名，隨便寫吧
Organization Unit Name: Mine CA
Common Name: Mine CA
Email Address: sunstorm@263.net 我的Email
Certificate Validity: 4096 四千多天，夠了吧

STEP 3:
生成CA的簽名，ca.crt

STEP 4:
生成服務器的私人密鑰，server.key

STEP 5:
生成服務器的認證請求，server.csr
要輸入一些信息，和STEP 2類似，
不過注意 Common Name是你的網站域名，如 www.mydomain.com
Certificate Validity不要太大，365就可以了。

STEP 6:
為你的服務器簽名，得到server.crt

STEP 7-8：
為你的 ca.key 和 server.key 加密，要記住pass phrase。
下面完成apache的安裝
make install
vi /usr/local/apache/conf/httpd.conf
修改BindAddress 和 ServerName
如果要改變 DocumentRoot 要記得把httpd.conf里SSL Virtual Host Context部分的DocumentRoot設定也改掉。
SSLCertificateFile和SSLCertificatKeyFile的設定也在SSL Virtual Host Context部分。
它可能是這樣設定的：
SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache_1.3.19/conf/ssl.key/server.key
　　要注意ssl.key ssl.crt等目錄和文件的權限！
　　所有的key,csr,crt,prm文件都應該設為 400 屬性！

　　& 5.3 手工簽署證書

　　雖然在安裝MOD_SSL時已經使用 make certificate 命令建立了服務器的證書簽名，但是有時你可能需要改變它。

　　當然有很多自動的腳本可以實現它，但是最可靠的方法是手工簽署證書。首先我假定你已經安裝好了openssl和MOD_SSL，如果你的
     openssl安裝時的prefix設置為/usr/local/openssl，那么把/usr/local/openssl/bin加入執行文件查找路徑。還需要MOD_SSL源代碼中的一個腳本，它在MOD_SSL的源代碼目錄樹下的pkg.contrib目錄中，文件名為 sign.sh。將它拷貝到 /usr/local/openssl/bin 中。

　　先建立一個 CA 的證書，
首先為 CA 創建一個 RSA 私用密鑰，
[S-1]
openssl genrsa -des3 -out ca.key 1024
系統提示輸入 PEM pass phrase，也就是密碼，輸入后牢記它。
生成 ca.key 文件，將文件屬性改為400，并放在安全的地方。
[S-2]
chmod 400 ca.key
你可以用下列命令查看它的內容，
[S-3]
openssl rsa -noout -text -in ca.key
利用 CA 的 RSA 密鑰創建一個自簽署的 CA 證書（X.509結構）
[S-4]
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
然后需要輸入下列信息：
Country Name: cn 兩個字母的國家代號
State or Province Name: An Hui 省份名稱
Locality Name: Bengbu 城市名稱
Organization Name: Family Network 公司名稱
Organizational Unit Name: Home 部門名稱
Common Name: Chen Yang 你的姓名
Email Address: sunstorm@263.net Email地址
生成 ca.crt 文件，將文件屬性改為400，并放在安全的地方。
[S-5]
chmod 400 ca.crt
你可以用下列命令查看它的內容，
[S-6]
openssl x509 -noout -text -in ca.crt
下面要創建服務器證書簽署請求，
首先為你的 Apache 創建一個 RSA 私用密鑰：
[S-7]
openssl genrsa -des3 -out server.key 1024
這里也要設定pass phrase。
生成 server.key 文件，將文件屬性改為400，并放在安全的地方。
[S-8]
chmod 400 server.key
你可以用下列命令查看它的內容，
[S-9]
openssl rsa -noout -text -in server.key
用 server.key 生成證書簽署請求 CSR.
[S-10]
openssl req -new -key server.key -out server.csr
這里也要輸入一些信息，和[S-4]中的內容類似。
至于 extra attributes 不用輸入。
你可以查看 CSR 的細節
[S-11]
openssl req -noout -text -in server.csr
下面可以簽署證書了，需要用到腳本 sign.sh
[S-12]
sign.sh server.csr
就可以得到server.crt。
將文件屬性改為400，并放在安全的地方。
[S-13]
chmod 400 server.crt
刪除CSR
[S-14]
rm server.csr

最后apache設置
如果你的apache編譯參數prefix為/usr/local/apache，
那么拷貝server.crt 和 server.key 到 /usr/local/apache/conf
修改httpd.conf
將下面的參數改為：
SSLCertificateFILE /usr/local/apache/conf/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/server.key
可以 apachectl startssl 試一下了。

　　& 5.4 測試及管理辦法

cd /usr/local/apache_1.3.19
bin/apachectl startssl
提示輸入pass phrase（就是你前面輸入的，不知道你還記不記得）
輸入后就啟動了一個支持SSL的apache
在IE里輸入https://192.168.0.1/ 試試，注意是https而不是http！

　　& 5.5 小結

　　用電子認證服務器，可以進行公共密鑰認證的管理、簽署和廢止。她使用的是X.509標準。
             使用電子認證服務器，就可以自己管理公共密鑰的認證，而不用依賴國外的CA服務中心。我們建立一個認證服務中心，就是為了能在我們的中國多媒體公眾信息網上使用電子認證，以保證重要信息的安全。同時擴展該網的應用范圍，把它建設成一個高速有效的企業單位聯網平臺。

原文轉自：http://www.kjueaiud.com