SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)Apache 2.26服務(wù)器證書安裝使用指南上海數(shù)字證書認(rèn)證中心有限公司2010/01/05上海數(shù)字證書認(rèn)證中心有限公司 ,SHECA

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

Apache 2.26

服務(wù)器證書安裝使用指南

上海數(shù)字證書認(rèn)證中心有限公司

2010/01/05

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí) 文檔說明：

本文檔是Apache 2.26證書安裝使用指南，主要描述如何產(chǎn)生密鑰對，web 證書在線申請和如何將web 證書安裝到Apache 2.26 web服務(wù)器上，實(shí)現(xiàn)SSL 。

版本信息：

當(dāng)前版本 3.0

版權(quán)信息：

SHECA 是上海數(shù)字證書認(rèn)證中心有限公司的注冊商標(biāo)和縮寫。

UCA 是上海數(shù)字證書認(rèn)證中心有限公司研究開發(fā)的通用證書系統(tǒng)的商標(biāo)和縮寫。

本文的版權(quán)屬于上海數(shù)字證書認(rèn)證中心有限公司，未經(jīng)許可，任何個(gè)人和團(tuán)體不得轉(zhuǎn)載、粘貼或發(fā)布本文，也不得部分的轉(zhuǎn)載、粘貼或發(fā)布本文，更不得更改本文的部分詞匯進(jìn)行轉(zhuǎn)貼。

未經(jīng)許可不得拷貝，影印。

Copyright @2008 上海數(shù)字證書認(rèn)證中心有限公司 技術(shù)支持中心

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

文檔發(fā)行說明

當(dāng)您閱讀完本文檔，您應(yīng)該能解決如下問題：

1、 W EB 服務(wù)器證書的請求文件CSR 的產(chǎn)生；

2、 W EB 服務(wù)器證書的在線申請；

3、 W EB 服務(wù)器證書的安裝；

4、 W EB 服務(wù)器SSL 安全配置；

5、 S SL 雙向認(rèn)證的配置；

6、 使您的系統(tǒng)信任SHECA 根證書；

文檔書寫環(huán)境說明：

為了測試基于apache2.26 WEB 服務(wù)的SSL 雙向認(rèn)證，本文檔采用了最新的Apache2.26 WEB服務(wù)。以下是本文檔的具體試驗(yàn)環(huán)境：

WEB 服務(wù)器：Windows 2003 Enterprise Server Edition Apache2.26

客戶端：Windows XP Professional English Version Service Pack 3

安裝環(huán)境：

Web 服務(wù)器，本文以windows 操作系統(tǒng)為例。系統(tǒng)正確安裝openssl 和Apache

2.26版本軟件。

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

通過OPENSSL 工具為服務(wù)器申請證書：

本文采用標(biāo)準(zhǔn)的openssl 方式為WEB 服務(wù)器提供Private key、Identity Cert和Trusted Cert存儲(chǔ)。

1、 產(chǎn)生密鑰：

在windows 操作系統(tǒng)上打開“命令提示符”窗口，在命令行模式下運(yùn)行

例：

Openssl genrsa 1024 > pri.key

在執(zhí)行命令的目錄下產(chǎn)生密鑰pri.key ；

2、 產(chǎn)生證書請求（CSR ）：

再運(yùn)行，例：

Openssl req –new –key pri.key > server.csr

此時(shí)系統(tǒng)會(huì)提示您輸入你的信息，請確保以下內(nèi)容和您提交到上海CA 的內(nèi)容一致，以保證服務(wù)器證書的簽發(fā)。

Common Name（服務(wù)器域名或者IP ）

Organization name （組織名或公司名）

Organization unit name （組織單位名或部門名）

City or location name（城市或區(qū)域名）

State or province name （省份或者州名）

Country name （國家名的兩位編碼，中國為“CN ”）

輸入完畢后，在執(zhí)行命令的目錄下產(chǎn)生證書請求文件“server.csr ”；

3、 申請服務(wù)器證書：

將“server.csr ”文件提交SHECA ，CA 處理完畢申請，用戶下載證書，證書可以使用PEM 格式；

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

獲取服務(wù)器證書：

第一步：登陸，點(diǎn)擊證書申請 立即申請安全站點(diǎn)證書，請點(diǎn)擊>>；

在方框里輸入從SHECA 證書受理點(diǎn)獲取的密碼信封序列號(hào)和信封密碼

(注:由于申請的是WEB 服務(wù)器證書, 所以設(shè)定的私鑰密碼不起作用)

第二步：完成輸入后，進(jìn)入下一個(gè)頁面, 此時(shí)選擇勾選“高級(jí)選項(xiàng)”，并選擇“用戶自上送P10證書請求”并在最底部的輸入框內(nèi)貼入證書請求中去除BEGIN 以及END 的部分內(nèi)容，如下圖所示

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

第三步：請耐心等待證書簽發(fā)

. 第四步：請選擇證書保存的路徑，如需保存為PEM 格式，則勾選”PEM ”，并點(diǎn)擊保存證書。

第五步：申請完證書之后，將證書文件保存。有必要說明的是，以上各種文件可以是PEM 或DER 格式。

注：Apache 服務(wù)器需要證書的格式為PEM 格式，建議用戶直接將證書勾選保存PEM 格式，并得到UserCert.Cer 文件，此文件可以在接下來的配置中直接使用。

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

根證書以及中級(jí)證書的獲?。?/p>

1、 獲取根證書UCA Root：

將CertChain.SPC 文件打開，選中UCA Root這張證書右鍵選擇“打開”

在詳細(xì)信息的標(biāo)簽欄中選擇“復(fù)制到文件”

選擇Base64編碼導(dǎo)出證書

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

保存為文件root.cer

2、 獲取中級(jí)證書SHECA

按照步驟一，同樣的將CertChain.SPC 文件當(dāng)中的SHECA 證書導(dǎo)出為

sheca.cer

上海數(shù)字證書認(rèn)證中心有限公司

SHECA 數(shù)字證書--網(wǎng)絡(luò)因此更真實(shí)

配置APACHE2.26

1、 打開Apache 服務(wù)器中的httpd.conf 文件，打開SSL 模塊

LoadModule ssl_module modules/mod_ssl.so

Include conf/extra/httpd-ssl.conf

2、 打開Apache 服務(wù)器中的ssl.conf 文件，并在相關(guān)配置的地方修改

SSLCertificateFile conf/ssl.crt/UserCert.Cer 部署服務(wù)器證書（PEM 格

式）

SSLCertificateKeyFile conf/ssl.crt/pri.key部署密鑰，既步驟一所生

成

SSLCertificateChainFile conf/ssl.crt/sheca.cer 部署中級(jí)證書，即

sheca.cer

SSLCACertificateFile conf/ssl.crt/root.cer 部署根證書，即root.cer

SSLVerifyClient require 是否客戶端驗(yàn)證，如需驗(yàn)證則為requir ，無需為

none

SSLVerifyDepth 2 可查找CA 證明

3、 配置結(jié)束后重啟Apache 服務(wù)器，并連接測試

上海數(shù)字證書認(rèn)證中心有限公司