Apache SSL證書安裝配置方法教程

 簡介
 
在申請數(shù)字證書之前，您必須先生成證書私鑰和證書請求文件 (CSR, Certificate Signing Request), CSR是您的公鑰證書原始文件，包含了您的服務(wù)器信息和您的單位信息，需要提交給CA認證中心。
請妥善保管和備份您的私鑰。
 
 
以上是申請證書流程圖。完成整個流程最快三天，慢則七天，因為發(fā)證商需要審核申請者提交的資料。
 
第一步 提交CSR
第二步 資料提交到CA
第三步 發(fā)送驗證郵件到管理員郵箱 
CA獲得資料后，將發(fā)送一封確認信到管理員郵箱*，信中將包含一個鏈接。每一個訂單，都有一個唯一的PIN以做驗證用。 
 第四步 郵件驗證 
點擊確認信中的鏈接，可以訪問到驗證網(wǎng)站，在驗證網(wǎng)站，可以看到該訂單的申請資料，然后點擊
"I Approve"完成郵件驗證。 
 
第五步 頒發(fā)證書 
CA會將證書通過郵件方式發(fā)送到申請人自己的郵箱。
 
*什么是管理員郵箱? 
認證系統(tǒng)為了確認您對所申請的SSL服務(wù)器域名擁有管理權(quán)，會發(fā)電子郵件到指定的管理員郵箱中。例如：您準備申請的SSL證書服務(wù)器域名為：host.domain.com，在遞交申請時，可供選擇的管理員郵箱如下：

admin@domain.com admin@host.domain.com administrator@domain.com administrator@host.domain.com hostmaster@domain.com hostmaster@host.domain.com root@domain.com root@host.domain.com webmaster@domain.com webmaster@host.domain.com postmaster@yourdomain.com postmaster@host.yourdomain.com

 
SSL證書是數(shù)字證書的一種，類似于駕駛證、護照和營業(yè)執(zhí)照的電子副本。因為配置在服務(wù)器上，也稱為SSL服務(wù)器證書。SSL 證書就是遵守SSL協(xié)議，在驗證服務(wù)器身份后頒發(fā)，具有服務(wù)器身份驗證和數(shù)據(jù)傳輸加密功能。
 
本指南將分成5個主題：

1. 生成證書請求文件(CSR) 
2. 安裝服務(wù)器證書
3. 設(shè)置OCSP裝訂
4. 優(yōu)化加密方式 (weak cipher) 
5. 設(shè)置http跳轉(zhuǎn)到https 

 
 
第一步：證書簽章要求 (CSR) 產(chǎn)生說明 
 

1. 安裝 openssl（加密工具）

# yum install mod_ssl openssl

 

2. 產(chǎn)生證書私鑰和證書請求文件(CSR)

 

從Email地址開始，下面的信息都不需要，請保留為空，直接回車即可。在完成了如上的交互信息輸入后，當前目錄下將產(chǎn)生兩個文件：.key (公鑰) 和 .csr (私鑰)。請妥善保存這兩個文件，請不要泄露私鑰文件.
詳細介紹命令：

字段 說明 示例 Country Name ISO國家代碼（兩位字符） CN State or Province Name 所在省份 Guangdong Locality Name 所在城市。請勿使用縮寫，例如：Saint Louis, 而非 St. Louis Shenzhen Organization Name 公司名稱。如果您的公司或部門名稱中有 &、@ 或其他使用 shift 鍵的符號，請拼出該符號或在注冊時省略此字元。例如：XY & Z Corporation 會是 XYZ Corporation 或 XY and Z Corporation ABC eCommerce Limited Organizational Unit Name 部門名稱 IT Dept. Common Name 申請證書的域名 www.abc.com Email Address 不需要輸入   A challenge password 不需要輸入  

如果CSR需要中文字，指令加 –utf8 參數(shù)
 
 
 

3. 驗證您的證書簽章要求

https://cryptoreport.websecurity.symantec.com/checker/views/csrCheck.jsp
請確保  Signature algorithm: SHA256

4. 提交CSR 給商服

請保管好key私鑰文件，提交CSR給客服等待證書簽發(fā) .
 
第二步：安裝服務(wù)器證書

證書是審核完畢后您將會收到：
服務(wù)器證書
服務(wù)器中級CA證書

2.1、 配置Apache   
打開apache安裝目錄下 /etc/httpd/conf/httpd.conf  文件，找到   
#LoadModule ssl_module modules/mod_ssl.so   
刪除行首的配置語句注釋符號“#”   
保存退出。   
打開apache安裝目錄下conf目錄中的ssl.conf文件，查到“LoadModule ssl_module”
如下：
#LoadModule ssl_module modules/mod_ssl.so   
刪除行首的配置語句注釋符號“#”，另加 Include /etc/httpd/conf.d/ssl.conf 

LoadModule ssl module modules/mod_ssl.so
Include /etc/httpd/conf/ssl.conf

 
2.2、打開apache安裝目錄下  /etc/httpd/conf/ssl.conf  文件在配置文件中的 
SSLCertificateFile  /etc/pki/tls/certs/server.crt                  將服務(wù)器證書配置到該路徑下   
SSLCertificateKeyFile  /etc/pki/tls/certs/domain.com.key    將服務(wù)器證書私鑰配置到該路徑下   
SSLCertificateChainFile  conf/ca.crt      刪除行首的“#”號注釋符，并將CA證書ca.crt
 
配置到該路徑下，保存退出。
 
例子
 
 
2.3、重啟Apache。重啟方式：   
進入Apache安裝目錄下的bin目錄，運行如下命令   
./apachectl -k stop   
./apachectl -k start
 
附錄：如何辨識中級證書
每張證書都會顯示發(fā)行者，如下：
 
 
 
以上例子有 Symantec Class 3 EV SSL CA – G3, GeoTrust SSL CA – G3, RapidSSL SHA256 – CA。這就是各個證書對應(yīng)的中級證書。
 
所謂 “證書安全鏈” 就是結(jié)合秘鑰，域名證書，和中級證書，串連起來的加密鏈，確保加密數(shù)據(jù)的安全性。
 
第三步：設(shè)置OCSP裝訂
 
OCSP裝訂（英語：OCSP Stapling），是一個TLS證書狀態(tài)查詢擴展，作為在線證書狀態(tài)協(xié)議的代替方法對X.509證書狀態(tài)進行查詢。服務(wù)器在TLS握手時發(fā)送事先緩存的OCSP響應(yīng)，用戶只需驗證該響應(yīng)的有效性而不用再向數(shù)字證書認證機構(gòu)（CA）發(fā)送請求。
OCSP裝訂需求Apache2.3.3版本或以上。
檢測Apache版本
# apache2 –v
 
3.1 設(shè)定
在設(shè)定檔底下加入兩行指令：
SSLUseStapling on
SSLStaplingCache "shmcb:/var/run/ocsp(128000)"
第二行SSLStaplingCache指定快取的裝置路徑和記憶體大小。注意：如果Apache是安裝在微軟，第二行指令設(shè)為 "shmcb:C:/xampp/apache/logs/ocsp(128000)"
以上二行指令必須在 <VirtualHost> … </VirtualHost> 掛號以外，避免Apache無法重啟。
 
注意：若在服務(wù)器配置OCSP裝訂，終端服務(wù)器的OCSP請求必須默認允許連接到賽門鐵克OCSP服務(wù)器。若您的服務(wù)器是安裝在防火墻后端，則必須創(chuàng)建防火墻策略外接鏈接允許賽門鐵克OCSP。
使用Openssl工具驗證終端服務(wù)器ssl證書與賽門鐵克OCSP鏈接，請參考以下文檔：
https://knowledge.symantec.com/support/mpki-for-ssl-support/index?page=content&actp=CROSSLINK&id=HOWTO111088 
 
保存設(shè)定檔，重啟Apache。
 
3.2 驗證OCSP裝訂
只有 openssl 工具版本 0.9.8k或以上才能驗證OCSP裝訂。
# openssl s_client -connect yourdomain.com:443 -tls1 -tlsextdebug -status
范例顯示結(jié)果：
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
若顯示以上結(jié)果說明OCSP裝訂已經(jīng)配置成功，不成功則顯示：
OCSP response:
======================================
OCSP response: no response sent
 
另一個驗證是透過賽門鐵克官網(wǎng) https://cryptoreport.websecurity.symantec.com/checker/ 
OCSP裝訂將顯示 "Enabled" 或 "Not Enabled"

 
 
第四步：關(guān)閉不安全的加密方式 (cipher) 
 

1. 通過https方式訪問您的站點，測試站點證書的安裝配置。

https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp 
 

2. 在提高網(wǎng)絡(luò)服務(wù)器的SSL證書部署優(yōu)化方面，我們通常建議系統(tǒng)管理員使用更加安全的加密套件，對于這一點，我們提出對常見的服務(wù)器支持的方案。
   打開apache安裝目錄下  /etc/httpd/conf/ssl.conf  文件在配置文件中加入： 

SSLProtocol All –SSLv2 –SSLv3
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on

第四步：設(shè)置http自動跳轉(zhuǎn)到https
 
配置好https后，需要設(shè)置url重定向規(guī)則，使網(wǎng)站頁面的http訪問都自動轉(zhuǎn)到https訪問。

1）先打開url重定向支持
打開Apache/conf/httpd.conf，找到 #LoadModule rewrite_module modules/mod_rewrite.so
去掉#號。

2）找到你網(wǎng)站目錄的<Directory>段，找到
修改其中的 AllowOverride None 為 AllowOverride All

3）重啟apache服務(wù)2、設(shè)置重定向規(guī)則

( 1）在你網(wǎng)站目錄下放一個.htaccess文件。windows環(huán)境下，不能把文件直接改名為.htaccess，會提示你必須輸入文件名。所以我們先新建一個“新建文本文檔.txt”文檔，記事本打開，選擇另存為，保存類型選擇“所有文件(*.*)”，文件名輸入“.htaccess”，保存。這樣便生成了一個.htaccess文件。

( 2）編輯器打開 .htaccess文件，寫入如下規(guī)則：
RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
RewriteCond %{REQUEST_URI} !^/tz.php
RewriteRule (.*) https://%{SERVER_NAME}/$1 [R]

解釋：
%{SERVER_PORT} —— 訪問端口
%{REQUEST_URI} —— 比如如果url是 http://localhost/tz.php，則是指 /tz.php
%{SERVER_NAME} —— 比如如果url是 http://localhost/tz.php，則是指 localhost
 
以上規(guī)則的意思是，如果訪問的url的端口不是443，且訪問頁面不是tz.php，則應(yīng)用RewriteRule這條規(guī)則。這樣便實現(xiàn)了：訪問了 http://localhost/index.php 或者 http://localhost/admin/index.php 等頁面的時候會自動跳轉(zhuǎn)到 https://localhost/index.php 或者 https://localhost/admin/index.php，但是訪問 http://localhost/tz.php 的時候就不會做任何跳轉(zhuǎn)，也就是說 http://localhost/tz.php 和 https://localhost/tz.php 兩個地址都可以訪問。

標簽： ssl證書 ssl證書安全 Apache

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。