51CTO-Windows环境下Apache配置HTTPS协议

Apache配置HTTPS协议过程：步骤一：安装apache,使其支持SSL。1.安装配有SSL模块的apache,apache_2.2.8-win32-x86-openssl-0.9.8g安装完毕后检查检查在Apache安装路径的bin下是否有以下文件：openssl.exessleay32.dlllibeay32.dll安装好在bin目录下有一个openssl.exe文件，用来生成证书和密钥。2.配置apache以支持SSL:打开apache的配置文件conf/httpd.conf1)LoadModulessl_modulemodules/mod_ssl.soIncludeconf/extra/httpd-ssl.conf去掉两行前面的#2)注意修改httpd-ssl.conf文件里的两个字段：SSLCertificateFileC:/Apache2.2/conf/server.crtSSLCertificateKeyFileC:/Apache2.2/conf/server.key步骤二：为网站服务器生成证书及私钥文件（注:在Windows操作系统环境下需先设置Openssl环境变量：在DOS命令下进入bin目录，执行命令行：setOPENSSL_CONF=..\conf\openssl.cnf；请在执行之前确保openssl.cnf存在，否则会出现：WARNING:can'topenconfigfile:/usr/local/ssl/openssl.cnf信息提示。还有在windows系统下.cnf默认会被当成快捷方式，看不到扩展名。）1.生成服务器的私钥进入命令行:D:\local\apache2\bin\opensslgenrsa-outserver.key1024在当前目录下生成了一个server.key生成签署申请2.生成签署申请D:\local\apache2\binopensslreq-new–outserver.csr-keyserver.key-config..\conf\openssl.cnf此时生成签署文件server.csr说明：这是用步骤1的密钥生成证书请求文件server.csr,这一步会有很多参数，需要一一输入按提示输入一系列的参数CountryName(2lettercode)[AU]:CNISO国家代码（只支持两位字符）StateorProvinceName(fullname)[Some-State]:ZJ所在省份LocalityName(eg,city)[]:HZ所在城市OrganizationName(eg,company):SW_TECH公司名称OrganizationalUnitName(eg,section)[]:SW_TECH组织名称CommonName(eg,YOURname)[]:kedou.com申请证书的域名EmailAddress[]:admin@admin.com管理员邮箱Pleaseenterthefollowing'extra'attributestobesentwithyourcertificaterequestAchallengepassword[]:交换密钥Anoptionalcompanyname[]:注：CommonName必须和httpd.conf中servername必须一致，否则apache不能启动（启动apache时错误提示为：RSAservercertificateCommonName(CN)`Kedou'doesNOTmatchservername!?）步骤三：通过CA为网站服务器签署证书1.生成CA私钥D:\local\apache2\bin\opensslgenrsa-outca.key1024多出ca.key文件2.利用CA的私钥产生CA的自签署证书D:\local\apache2\bin\opensslreq-new-x509-days365-keyca.key-outca.crt-config..\conf\openssl.cnf此时需要输入一些信息，注意CommonName为服务器域名，如果在本机，为本机IP。3.CA为网站服务器签署证书D:\local\apache2\bin\opensslca-inserver.csr-outserver.crt-certca.crt-keyfileca.key-config..\conf\openssl.cnf但，此时会报错：于是在当前目录创建demoCA目录，里面创建以下文件，index.txt，serial内容为01，其他为空，以及文件夹newcerts，再执行一遍，即可生成server.crt文件步骤四：然后将server.crt，server.key复制到apache的conf文件夹下，重启apache步骤五：可访问，即支持https不过由于，我们的CA不是由第三方机构颁发的，而是我们自己颁发的，所以，IE访问的时候，会显示，这个证书不是由TrusedCAAuthenticator颁发，告诉我们可能有安全隐患