Windows 7下Apache 整合SSL環(huán)境介紹：Windows 7專業(yè)版 Apache 2.2.17Apache 為安裝版，下載地址：通常情況下服務(wù)器只需要生成一個(gè)證書簽名請(qǐng)求，即一個(gè)CSR

Windows 7下Apache 整合SSL

環(huán)境介紹：

Windows 7專業(yè)版 Apache 2.2.17

Apache 為安裝版，下載地址：

通常情況下服務(wù)器只需要生成一個(gè)證書簽名請(qǐng)求，即一個(gè)CSR 格式的文件，和一個(gè)公鑰文件。然后把這個(gè)證書簽名請(qǐng)求發(fā)送給CA 認(rèn)證機(jī)構(gòu)，通過(guò)CA 機(jī)構(gòu)用其私鑰加密簽名后生成證書，返還給服務(wù)器。CA 認(rèn)證機(jī)構(gòu)從中會(huì)收取一定的服務(wù)費(fèi)用，為了方便測(cè)試，我會(huì)模擬一個(gè)CA 認(rèn)證。

步驟一：配置Apache 支持SSL

用記事本打開httpd.conf 文件，找到“LoadModule ssl_module modules/mod_ssl.so”“Include conf/extra/httpd-ssl.conf”，去掉前面的“#”。

步驟二： 為網(wǎng)站服務(wù)器生成密鑰

打開MSDOS ，進(jìn)入D:Apache2.2bin，輸入“openssl genrsa -out server.key 1024”，此命令會(huì)生成網(wǎng)站服務(wù)器公鑰文件server.key 。

步驟三：為網(wǎng)站服務(wù)器生成證書簽名請(qǐng)求

輸入“openssl req -new –out server.csr -key server.key -config ..confopenssl.cnf”，回車之后會(huì)有一些輸入項(xiàng)，解釋輸入如下：

Country Name：國(guó)家代碼，輸入“CN ”；

State or Province Name：省市名城，輸入“BeiJing ”；

Locality Name：城市名稱，輸入“BeiJing ”；

Organization Name：組織、公司名稱，輸入“xxr ”；

Organizational Unit Name：部門名稱，輸入“xxrit ”；

Common Name：您要申請(qǐng)域名證書的域名，如果您需要為www.domain.cn 申請(qǐng)域名證書就不能只輸入domain.cn 。域名證書是嚴(yán)格綁定域名的。 如果輸入IP ，那訪問(wèn)是就在地址輸入IP ，否則會(huì)出現(xiàn)安全證書提示信息，輸入“xiangxiaren.net ”；

A challenge password：不需要輸入。

依次填寫完畢，回車證書請(qǐng)求sever.csr 生成完畢。

步驟四：生成CA 認(rèn)證機(jī)構(gòu)私鑰

輸入“openssl genrsa -out ca.key 1024”，回車生成CA 私鑰文件ca.key 。 步驟五：生成CA 認(rèn)證機(jī)構(gòu)證書

輸入“openssl req -new -x509 -days 365 -key ca.key -out ca.crt

-config ..confopenssl.cnf”，回車之后會(huì)有一些輸入項(xiàng)，解釋輸入如下：

Country Name：輸入“CN ”；

State or Province Name：輸入“BeiJing ”；

Locality Name：輸入“BeiJing ”；

Organization Name：輸入“xxrca ”；

Organizational Unit Name：輸入“xxrcait ”；

Common Name：輸入“XXR ”；

回車之后生成CA 證書ca.crt 。

步驟六：用CA 證書和私鑰給網(wǎng)站服務(wù)器證書簽名請(qǐng)求簽名

在D:Apache2.2bin文件下面創(chuàng)建demoCA 文件夾，并在demoCA 文件夾里面創(chuàng)建newcerts 文件夾、index.txt 文件、serial 文件，serial 文件內(nèi)容為“01”。

輸入“openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

-config ..confopenssl.cnf”，回車之后會(huì)在bin 目錄下面看到多了一個(gè)server.crt 文件，這就是簽名以后的服務(wù)器證書。

步驟七：測(cè)試

把server.crt 、server.key 兩個(gè)文件復(fù)制到conf 文件夾下面，找到hosts 系統(tǒng)文件，把xiangxiaren.net 映射到127.0.0.1，然后打開瀏覽器把ca 的證書（ca.crt ）導(dǎo)入瀏覽器，輸入https://xiangxiaren.net

延伸閱讀

SSL (Secure Socket Layer)

為Netscape 所研發(fā)，用以保障在Internet 上數(shù)據(jù)傳輸之安全，利用數(shù)據(jù)加密(Encryption)技術(shù)，可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過(guò)程中不會(huì)被截取及竊聽。目前一般通用之規(guī)格為40 bit

之安全標(biāo)準(zhǔn)，美國(guó)則已推出128 bit之更高安全標(biāo)準(zhǔn)，但限制出境。只要3.0版本以上之I.E. 或Netscape 瀏覽器即可支持SSL 。

當(dāng)前版本為3.0。它已被廣泛地用于Web 瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。

SSL 協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。SSL 協(xié)議可分為兩層： SSL 記錄協(xié)議（SSL Record Protocol）：它建立在可靠的傳輸協(xié)議（如TCP ）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。 SSL 握手協(xié)議（SSL Handshake Protocol）：它建立在SSL 記錄協(xié)議之上，用于在實(shí)際的數(shù)據(jù)傳輸開始前，通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。

SSL 協(xié)議提供的服務(wù)主要有：

1）認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器；

2）加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊?。?/p>

3）維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過(guò)程中不被改變。

SSL 協(xié)議的工作流程：

服務(wù)器認(rèn)證階段：1）客戶端向服務(wù)器發(fā)送一個(gè)開始信息“Hello”以便開始一個(gè)新的會(huì)話連接；2）服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息；3）客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個(gè)主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；4）服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個(gè)用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。

用戶認(rèn)證階段：在此之前，服務(wù)器已經(jīng)通過(guò)了客戶認(rèn)證，這一階段主要完成對(duì)客戶的認(rèn)證。經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問(wèn)給客戶，客戶則返回（數(shù)字）簽名后的提問(wèn)和其公開密鑰，從而向服務(wù)器提供認(rèn)證。

從SSL 協(xié)議所提供的服務(wù)及其工作流程可以看出，SSL 協(xié)議運(yùn)行的基礎(chǔ)是商家對(duì)消費(fèi)者信息保密的承諾，這就有利于商家而不利于消費(fèi)者。在電子商務(wù)初級(jí)階段，由于運(yùn)作電子商務(wù)的企業(yè)大多是信譽(yù)較高的大公司，因此這問(wèn)題還沒(méi)有充分暴露出來(lái)。但隨著電子商務(wù)的發(fā)展，各中小型公司也參與進(jìn)來(lái)，這樣在電子支付過(guò)程中的單一認(rèn)證問(wèn)題就越來(lái)越突出。雖然在SSL3.0中通過(guò)數(shù)字簽名和數(shù)字證書可實(shí)現(xiàn)瀏覽器和Web 服務(wù)器雙方的身份驗(yàn)證，但是SSL 協(xié)議仍存在一些問(wèn)題，比如，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，在涉及多方的電子交易中，SSL 協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。在這種情況下，Visa 和 MasterCard 兩大信用卡公組織制定了SET 協(xié)議，為網(wǎng)上信用卡支付提供了全球性的標(biāo)準(zhǔn)。

HTTPS （Secure Hypertext Transfer Protocol）安全超文本傳輸協(xié)議

它是由Netscape 開發(fā)并內(nèi)置于其瀏覽器中，用于對(duì)數(shù)據(jù)進(jìn)行壓縮和解壓操作，并返回網(wǎng)絡(luò)上傳送回的結(jié)果。HTTPS 實(shí)際上應(yīng)用了Netscape 的完全套接字層（SSL ）作為HTTP 應(yīng)用層的子層。（HTTPS 使用端口443，而不是象HTTP 那樣使用端口80來(lái)和TCP/IP進(jìn)行通信。）SSL 使用40 位關(guān)鍵字作為RC4流加密算法，這對(duì)于商業(yè)信息的加密是合適的。HTTPS 和SSL 支持使用X.509數(shù)字認(rèn)證，如果需要的話用戶可以確認(rèn)發(fā)送者是誰(shuí)。。

它是一個(gè)URI scheme(抽象標(biāo)識(shí)符體系) ，句法類同http:體系。用于安全的HTTP 數(shù)據(jù)傳輸。https:URL表明它使用了HTTP ，但HTTPS 存在不同于HTTP 的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層（在HTTP 與TCP 之間）。這個(gè)系統(tǒng)的最初研發(fā)由網(wǎng)景公司進(jìn)行，提供了身份驗(yàn)證與加密通訊方法，現(xiàn)在它被廣泛用于萬(wàn)維網(wǎng)上安全敏感的通訊，例如交易支付方面。