Apache SSL證書(shū)安裝配置方法教程

 簡(jiǎn)介
 
在申請(qǐng)數(shù)字證書(shū)之前，您必須先生成證書(shū)私鑰和證書(shū)請(qǐng)求文件 (CSR, Certificate Signing Request), CSR是您的公鑰證書(shū)原始文件，包含了您的服務(wù)器信息和您的單位信息，需要提交給CA認(rèn)證中心。
請(qǐng)妥善保管和備份您的私鑰。
 
 
以上是申請(qǐng)證書(shū)流程圖。完成整個(gè)流程最快三天，慢則七天，因?yàn)榘l(fā)證商需要審核申請(qǐng)者提交的資料。
 
第一步 提交CSR
第二步 資料提交到CA
第三步 發(fā)送驗(yàn)證郵件到管理員郵箱 
CA獲得資料后，將發(fā)送一封確認(rèn)信到管理員郵箱*，信中將包含一個(gè)鏈接。每一個(gè)訂單，都有一個(gè)唯一的PIN以做驗(yàn)證用。 
 第四步 郵件驗(yàn)證 
點(diǎn)擊確認(rèn)信中的鏈接，可以訪問(wèn)到驗(yàn)證網(wǎng)站，在驗(yàn)證網(wǎng)站，可以看到該訂單的申請(qǐng)資料，然后點(diǎn)擊
"I Approve"完成郵件驗(yàn)證。 
 
第五步 頒發(fā)證書(shū) 
CA會(huì)將證書(shū)通過(guò)郵件方式發(fā)送到申請(qǐng)人自己的郵箱。
 
*什么是管理員郵箱? 
認(rèn)證系統(tǒng)為了確認(rèn)您對(duì)所申請(qǐng)的SSL服務(wù)器域名擁有管理權(quán)，會(huì)發(fā)電子郵件到指定的管理員郵箱中。例如：您準(zhǔn)備申請(qǐng)的SSL證書(shū)服務(wù)器域名為：host.domain.com，在遞交申請(qǐng)時(shí)，可供選擇的管理員郵箱如下：

admin@domain.com admin@host.domain.com administrator@domain.com administrator@host.domain.com hostmaster@domain.com hostmaster@host.domain.com root@domain.com root@host.domain.com webmaster@domain.com webmaster@host.domain.com postmaster@yourdomain.com postmaster@host.yourdomain.com

 
SSL證書(shū)是數(shù)字證書(shū)的一種，類(lèi)似于駕駛證、護(hù)照和營(yíng)業(yè)執(zhí)照的電子副本。因?yàn)榕渲迷诜��?wù)器上，也稱(chēng)為SSL服務(wù)器證書(shū)。SSL 證書(shū)就是遵守SSL協(xié)議，在驗(yàn)證服務(wù)器身份后頒發(fā)，具有服務(wù)器身份驗(yàn)證和數(shù)據(jù)傳輸加密功能。
 
本指南將分成5個(gè)主題：

1. 生成證書(shū)請(qǐng)求文件(CSR) 
2. 安裝服務(wù)器證書(shū)
3. 設(shè)置OCSP裝訂
4. 優(yōu)化加密方式 (weak cipher) 
5. 設(shè)置http跳轉(zhuǎn)到https 

 
 
第一步：證書(shū)簽章要求 (CSR) 產(chǎn)生說(shuō)明 
 

1. 安裝 openssl（加密工具）

# yum install mod_ssl openssl

 

2. 產(chǎn)生證書(shū)私鑰和證書(shū)請(qǐng)求文件(CSR)

 

從Email地址開(kāi)始，下面的信息都不需要，請(qǐng)保留為空，直接回車(chē)即可。在完成了如上的交互信息輸入后，當(dāng)前目錄下將產(chǎn)生兩個(gè)文件：.key (公鑰) 和 .csr (私鑰)。請(qǐng)妥善保存這兩個(gè)文件，請(qǐng)不要泄露私鑰文件.
詳細(xì)介紹命令：

字段 說(shuō)明 示例 Country Name ISO國(guó)家代碼（兩位字符） CN State or Province Name 所在省份 Guangdong Locality Name 所在城市。請(qǐng)勿使用縮寫(xiě)，例如：Saint Louis, 而非 St. Louis Shenzhen Organization Name 公司名稱(chēng)。如果您的公司或部門(mén)名稱(chēng)中有 &、@ 或其他使用 shift 鍵的符號(hào)，請(qǐng)拼出該符號(hào)或在注冊(cè)時(shí)省略此字元。例如：XY & Z Corporation 會(huì)是 XYZ Corporation 或 XY and Z Corporation ABC eCommerce Limited Organizational Unit Name 部門(mén)名稱(chēng) IT Dept. Common Name 申請(qǐng)證書(shū)的域名 www.abc.com Email Address 不需要輸入   A challenge password 不需要輸入  

如果CSR需要中文字，指令加 –utf8 參數(shù)
 
 
 

3. 驗(yàn)證您的證書(shū)簽章要求

https://cryptoreport.websecurity.symantec.com/checker/views/csrCheck.jsp
請(qǐng)確保  Signature algorithm: SHA256

4. 提交CSR 給商服

請(qǐng)保管好key私鑰文件，提交CSR給客服等待證書(shū)簽發(fā) .
 
第二步：安裝服務(wù)器證書(shū)

證書(shū)是審核完畢后您將會(huì)收到：
服務(wù)器證書(shū)
服務(wù)器中級(jí)CA證書(shū)

2.1、 配置Apache   
打開(kāi)apache安裝目錄下 /etc/httpd/conf/httpd.conf  文件，找到   
#LoadModule ssl_module modules/mod_ssl.so   
刪除行首的配置語(yǔ)句注釋符號(hào)“#”   
保存退出。   
打開(kāi)apache安裝目錄下conf目錄中的ssl.conf文件，查到“LoadModule ssl_module”
如下：
#LoadModule ssl_module modules/mod_ssl.so   
刪除行首的配置語(yǔ)句注釋符號(hào)“#”，另加 Include /etc/httpd/conf.d/ssl.conf 

LoadModule ssl module modules/mod_ssl.so
Include /etc/httpd/conf/ssl.conf

 
2.2、打開(kāi)apache安裝目錄下  /etc/httpd/conf/ssl.conf  文件在配置文件中的 
SSLCertificateFile  /etc/pki/tls/certs/server.crt                  將服務(wù)器證書(shū)配置到該路徑下   
SSLCertificateKeyFile  /etc/pki/tls/certs/domain.com.key    將服務(wù)器證書(shū)私鑰配置到該路徑下   
SSLCertificateChainFile  conf/ca.crt      刪除行首的“#”號(hào)注釋符，并將CA證書(shū)ca.crt
 
配置到該路徑下，保存退出。
 
例子
 
 
2.3、重啟Apache。重啟方式：   
進(jìn)入Apache安裝目錄下的bin目錄，運(yùn)行如下命令   
./apachectl -k stop   
./apachectl -k start
 
附錄：如何辨識(shí)中級(jí)證書(shū)
每張證書(shū)都會(huì)顯示發(fā)行者，如下：
 
 
 
以上例子有 Symantec Class 3 EV SSL CA – G3, GeoTrust SSL CA – G3, RapidSSL SHA256 – CA。這就是各個(gè)證書(shū)對(duì)應(yīng)的中級(jí)證書(shū)。
 
所謂 “證書(shū)安全鏈” 就是結(jié)合秘鑰，域名證書(shū)，和中級(jí)證書(shū)，串連起來(lái)的加密鏈，確保加密數(shù)據(jù)的安全性。
 
第三步：設(shè)置OCSP裝訂
 
OCSP裝訂（英語(yǔ)：OCSP Stapling），是一個(gè)TLS證書(shū)狀態(tài)查詢擴(kuò)展，作為在線證書(shū)狀態(tài)協(xié)議的代替方法對(duì)X.509證書(shū)狀態(tài)進(jìn)行查詢。服務(wù)器在TLS握手時(shí)發(fā)送事先緩存的OCSP響應(yīng)，用戶只需驗(yàn)證該響應(yīng)的有效性而不用再向數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)（CA）發(fā)送請(qǐng)求。
OCSP裝訂需求Apache2.3.3版本或以上。
檢測(cè)Apache版本
# apache2 –v
 
3.1 設(shè)定
在設(shè)定檔底下加入兩行指令：
SSLUseStapling on
SSLStaplingCache "shmcb:/var/run/ocsp(128000)"
第二行SSLStaplingCache指定快取的裝置路徑和記憶體大小。注意：如果Apache是安裝在微軟，第二行指令設(shè)為 "shmcb:C:/xampp/apache/logs/ocsp(128000)"
以上二行指令必須在 <VirtualHost> … </VirtualHost> 掛號(hào)以外，避免Apache無(wú)法重啟。
 
注意：若在服務(wù)器配置OCSP裝訂，終端服務(wù)器的OCSP請(qǐng)求必須默認(rèn)允許連接到賽門(mén)鐵克OCSP服務(wù)器。若您的服務(wù)器是安裝在防火墻后端，則必須創(chuàng)建防火墻策略外接鏈接允許賽門(mén)鐵克OCSP。
使用Openssl工具驗(yàn)證終端服務(wù)器ssl證書(shū)與賽門(mén)鐵克OCSP鏈接，請(qǐng)參考以下文檔：
https://knowledge.symantec.com/support/mpki-for-ssl-support/index?page=content&actp=CROSSLINK&id=HOWTO111088 
 
保存設(shè)定檔，重啟Apache。
 
3.2 驗(yàn)證OCSP裝訂
只有 openssl 工具版本 0.9.8k或以上才能驗(yàn)證OCSP裝訂。
# openssl s_client -connect yourdomain.com:443 -tls1 -tlsextdebug -status
范例顯示結(jié)果：
OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
若顯示以上結(jié)果說(shuō)明OCSP裝訂已經(jīng)配置成功，不成功則顯示：
OCSP response:
======================================
OCSP response: no response sent
 
另一個(gè)驗(yàn)證是透過(guò)賽門(mén)鐵克官網(wǎng) https://cryptoreport.websecurity.symantec.com/checker/ 
OCSP裝訂將顯示 "Enabled" 或 "Not Enabled"

 
 
第四步：關(guān)閉不安全的加密方式 (cipher) 
 

1. 通過(guò)https方式訪問(wèn)您的站點(diǎn)，測(cè)試站點(diǎn)證書(shū)的安裝配置。

https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp 
 

2. 在提高網(wǎng)絡(luò)服務(wù)器的SSL證書(shū)部署優(yōu)化方面，我們通常建議系統(tǒng)管理員使用更加安全的加密套件，對(duì)于這一點(diǎn)，我們提出對(duì)常見(jiàn)的服務(wù)器支持的方案。
   打開(kāi)apache安裝目錄下  /etc/httpd/conf/ssl.conf  文件在配置文件中加入： 

SSLProtocol All –SSLv2 –SSLv3
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on

第四步：設(shè)置http自動(dòng)跳轉(zhuǎn)到https
 
配置好https后，需要設(shè)置url重定向規(guī)則，使網(wǎng)站頁(yè)面的http訪問(wèn)都自動(dòng)轉(zhuǎn)到https訪問(wèn)。

1）先打開(kāi)url重定向支持
打開(kāi)Apache/conf/httpd.conf，找到 #LoadModule rewrite_module modules/mod_rewrite.so
去掉#號(hào)。

2）找到你網(wǎng)站目錄的<Directory>段，找到
修改其中的 AllowOverride None 為 AllowOverride All

3）重啟apache服務(wù)2、設(shè)置重定向規(guī)則

( 1）在你網(wǎng)站目錄下放一個(gè).htaccess文件。windows環(huán)境下，不能把文件直接改名為.htaccess，會(huì)提示你必須輸入文件名。所以我們先新建一個(gè)“新建文本文檔.txt”文檔，記事本打開(kāi)，選擇另存為，保存類(lèi)型選擇“所有文件(*.*)”，文件名輸入“.htaccess”，保存。這樣便生成了一個(gè).htaccess文件。

( 2）編輯器打開(kāi) .htaccess文件，寫(xiě)入如下規(guī)則：
RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
RewriteCond %{REQUEST_URI} !^/tz.php
RewriteRule (.*) https://%{SERVER_NAME}/$1 [R]

解釋?zhuān)?br /> %{SERVER_PORT} —— 訪問(wèn)端口
%{REQUEST_URI} —— 比如如果url是 http://localhost/tz.php，則是指 /tz.php
%{SERVER_NAME} —— 比如如果url是 http://localhost/tz.php，則是指 localhost
 
以上規(guī)則的意思是，如果訪問(wèn)的url的端口不是443，且訪問(wèn)頁(yè)面不是tz.php，則應(yīng)用RewriteRule這條規(guī)則。這樣便實(shí)現(xiàn)了：訪問(wèn)了 http://localhost/index.php 或者 http://localhost/admin/index.php 等頁(yè)面的時(shí)候會(huì)自動(dòng)跳轉(zhuǎn)到 https://localhost/index.php 或者 https://localhost/admin/index.php，但是訪問(wèn) http://localhost/tz.php 的時(shí)候就不會(huì)做任何跳轉(zhuǎn)，也就是說(shuō) http://localhost/tz.php 和 https://localhost/tz.php 兩個(gè)地址都可以訪問(wèn)。

標(biāo)簽： ssl證書(shū) ssl證書(shū)安全 Apache

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。