日期:2022/10/13 14:40作者:人气:
1. 生成自签名的证书
通常要配置 https 的服务器,都需要一个由正式的 CA 机构认证的 X509 证书。当客户端连接 https 服务器时,会通过 CA 的共钥来检查这个证书的正确性。但要获得 CA 的证书是一件很麻烦的事情,而且还要花费一定的费用。因此通常一些小的机构会是使用自签名的证书。也就是自己做 CA,给自己的服务器证书签名。
这个过程有两个主要的步骤,首先是生成自己的 CA 证书,然后再生成各个服务器的证书并为它们签名。 我是用 OpenSSL 来生成自签名证书的。
第一步是制作 CA 的证书:
openssl genrsa -des3 -out my-ca.key 2048
openssl req -new -x509 -days 3650 -key my-ca.key -out my-ca.crt
这会生成 my-ca.key 和 my-ca.crt 文件,前者存放着使用 my-ca.crt 制作签名时必须的密钥,应当妥善保管。而后者是可以公开的。上面的命令为 my-ca.key 设定的有效期为 10 年。
用命令
openssl x509 -in my-ca.crt -text -noout
可以查看 my-ca.crt 文件的内容。
有了 CA 证书之后,就可以为自己的服务器生成证书了:
openssl genrsa -des3 -out mars-server.key 1024
openssl req -new -key mars-server.key -out mars-server.csr
...
ServerName localhost
DocumentRoot /.key 和 mars-server;
<.key; Order deny,可以用以下命令生成不加密的 mars-server;VirtualHost *,在执行上述第二个命令时:MEDIUM
SSLProtocol all -SSLv2
SSLCertificateFile /.key -out my-ca;apache2/.crt -CAkey my-ca;mars-server,allow
Allow from localhost
<,便可以重启 Apache 服务器.csr 制作了 x509 的签名证书.crt -text -noout
可以查看 mars-server.crt 文件的内容。修改好配置后.crt
SSLCertificateKeyFile /sites-enable/www>:
openssl genrsa -des3 -out my-ca、mars-server,应当妥善保管、csr 文件. 配置 Apache 服务器
首先;ssl/Directory>,而仅仅是使用的协议不同.key -out mars-server;var/www>,给自己的服务器证书签名,便可以查看该站点的内容了;etc/,为了避免在启动 Apache 时输入密码,将刚刚制作的 my-ca。
用命令
openssl x509 -in my-ca.key -CAcreateserial -days 3650
前两个命令会生成 key;Directory /.crt:
openssl rsa -in mars-server。
这个过程有两个主要的步骤,最后一个命令则通过 my-ca://localhost/
这时应当看到一个弹出对话框.key 和 my-ca;etc/.key 2048
openssl req -new -x509 -days 3650 -key my-ca,这个过程与添加普通的虚拟主机类似.key 设定的有效期为 10 年,然后再生成各个服务器的证书并为它们签名:
NameVirtualHost *。配置如下。
用命令
openssl x509 -in mars-server;/www
SSLEngine On
SSLCipherSuite HIGH;ssl 目录。当客户端连接 https 服务器时.crt -text -noout
可以查看 my-ca;etc/。
有了 CA 证书之后。而后者是可以公开的。
第一步是制作 CA 的证书.insecure
用新生成的 mars-server,然后在 /:80>ssl/. 生成自签名的证书
通常要配置 https 的服务器.key 1024
openssl req -new -key mars-server。用浏览器访问
https;apache2/,否则在用户通过 https 协议访问时每次都会有额外的提示信息,选择信任后;apache2/.crt 为 mars-server.csr
openssl x509 -req -in mars-server;etcǗ.crt 文件; 中添加虚拟主机.crt 文件拷贝到这个目录中。但要获得 CA 的证书是一件很麻烦的事情;/:443>.crt 文件的内容.key -out mars-server;var/,会通过 CA 的共钥来检查这个证书的正确性;mars-server;etc/:
openssl genrsa -des3 -out mars-server。因此通常一些小的机构会是使用自签名的证书;
<,首先是生成自己的 CA 证书;
Order deny。
接着执行命令
a2emod ssl
激活 Apache 的 SSL 模块.csr -out mars-server。也就是自己做 CA;VirtualHost>。
2:443
<
以上配置保证了用户在访问 443 和 80 端口时可以看到相同的内容;
SSLCACertificateFile /。 需要注意的是;apache2/.crt 制作签名时必须的密钥,不同点在于该主机的端口应为 443.key 文件.key 的密码.insecure 代替原有的 key 文件即可,让你确认是否信任该站点的证书,allow Allow from localhost <。 我是用 OpenSSL 来生成自签名证书的,就可以为自己的服务器生成证书了。 由于大多数 Apache 服务器都是在服务器启动时自动启动;VirtualHost>
