Apache 服務(wù)器證書第一部分指南中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)地址： 北京中關(guān)村南四街四號(hào)中國(guó)科學(xué)院軟件園1號(hào)樓一層 7*24小時(shí)客戶服務(wù)咨詢電話：86-10-58813000 傳真：86-

Apache 服務(wù)器證書

第一部分指南

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)

地址： 北京中關(guān)村南四街四號(hào)中國(guó)科學(xué)院軟件園1號(hào)樓一層 7*24小時(shí)客戶服務(wù)咨詢電話：86-10-58813000 傳真：86-10-58812666

郵政地址：北京349信箱6分箱 CNNIC

郵政編碼：100190

網(wǎng)址：http://www.cnnic.cn

Apache 服務(wù)器證書配置指南

1. 關(guān)于openssl

1) openssl 簡(jiǎn)介

openssl 是一個(gè)Linux 平臺(tái)下、開放源代碼的實(shí)現(xiàn)了SSL 及相關(guān)加密技術(shù)的軟件包。

2) openssl 下載及安裝

從apache 網(wǎng)站下載apache_2.2.14-win32-x86-openssl-0.9.8k.msi并安裝 該版本apache http server包含openssl 并包含mod_ssl模塊。

2. 生成證書請(qǐng)求文件CSR

1) 生成私鑰

命令格式：openssl genrsa -des3 -out [keystore _name] 2048

注：[]中的內(nèi)容為需要輸入的參數(shù)

keystore_name：表示證書密鑰庫(kù)的文件名，擴(kuò)展名一般為keystore

如上圖所示，命令運(yùn)行后會(huì)提示輸入兩次私鑰的密碼，結(jié)果生成2048位的RSA 私鑰，私鑰文件名為： registrars.cnnic.cn.key。

<注：CNNIC 可信服務(wù)器證書要求域名證書密鑰對(duì)最少為2048位>

2) 生成CSR 證書請(qǐng)求文件

命令格式: openssl req -new -key [keystore_name] -out [csr_name]

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心

HTTP://WWW.CNNIC.CN 2 / 8

Apache 服務(wù)器證書配置指南

注：[]中的內(nèi)容為需要輸入的參數(shù)

● csr_name：表示生成的證書請(qǐng)求文件的文件名

● keystore_name：表示證書密鑰庫(kù)的文件名，擴(kuò)展名一般為keystore

上述命令運(yùn)行后，系統(tǒng)提示輸入第一步驟中輸入的私鑰密碼，然后輸入X.509證書所要求的字段信息，包括國(guó)家(中國(guó)添CN) 、省份、所在城市、單位名稱、單位部門名稱(可以不填直接回車) 。請(qǐng)注意： 除國(guó)家縮寫必須填CN 外，其余都可以是英文或中文。

Common Name 項(xiàng)請(qǐng)輸入您要申請(qǐng)域名證書的域名，例如：如果需要為www.domain.cn 申請(qǐng)域名證書就必須輸入www.domain.cn 而不能輸入domain.cn 。通配域名證書請(qǐng)?zhí)顚懲ㄅ溆蛎欢嘤蛎C書僅需要填寫第一個(gè)域名名稱即可。

請(qǐng)不要輸入Email 、口令(challenge password)和可選的公司名稱，直接打回車即可。

現(xiàn)在已經(jīng)成功生成了私鑰文件：registrars.cnnic.cn.key 保存在您的服務(wù)器中。生成的csr 文件為文本文件，可以使用記事本等文本查看工具打開剛剛生成的證書請(qǐng)求文件，如下圖所示：

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心

HTTP://WWW.CNNIC.CN 3 / 8

Apache 服務(wù)器證書配置指南

3. 下載服務(wù)器證書

1) 準(zhǔn)備下載證書所需信息

參考號(hào)與授權(quán)碼：參考號(hào)與授權(quán)碼是下載證書的密碼憑證。當(dāng)申請(qǐng)的證書通過(guò)審核時(shí)，用戶將接收到由CNNIC 發(fā)送的通過(guò)審批的電子郵件通知，該郵件中含有16位的參考號(hào)與授權(quán)碼信息，其中參考號(hào)與授權(quán)碼的前13位為明文顯示，后3位為密文顯示。審核員會(huì)以郵件通知的方式發(fā)送后三位的明文顯示。

2) 下載證書

登錄CNNIC 可信網(wǎng)絡(luò)服務(wù)中心網(wǎng)頁(yè)好http://www.cnnic.cn/index/0T/index.htm，點(diǎn)擊頁(yè)面中部的“可信服務(wù)器證書下載”圖片鏈接進(jìn)入到證書下載頁(yè)面后，點(diǎn)擊“可信服務(wù)器證書第一部分”，如下圖所示：

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心

HTTP://WWW.CNNIC.CN 4 / 8

Apache 服務(wù)器證書配置指南

根據(jù)網(wǎng)頁(yè)上的提示輸入“參考號(hào)”和“授權(quán)碼”，將證書請(qǐng)求文件中除去頭尾“-----BEGIN NEW CERTIFICATE REQUEST-----”和“-----END NEW CERTIFICATE REQUEST-----”的中間部分內(nèi)容復(fù)制到CSR 文本框中。結(jié)果如下所示：

點(diǎn)擊“下載”，如果參考號(hào)、授權(quán)碼和CSR 均無(wú)問(wèn)題，則顯示頁(yè)面如下所示。

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心

HTTP://WWW.CNNIC.CN 5 / 8

Apache 服務(wù)器證書配置指南

請(qǐng)按頁(yè)面提示將文本框中的內(nèi)容拷貝下來(lái)，粘貼到一個(gè)新建的文本文件中保存，文件名保存為registrars.cer 。該文件即為申請(qǐng)的證書，如果該證書丟失，就必須進(jìn)行證書補(bǔ)辦。

至此，服務(wù)器證書安裝第一部分已經(jīng)完成。如需要安裝證書，請(qǐng)參服務(wù)器證書安裝第二部分安裝指南。

注意：關(guān)于證書的格式轉(zhuǎn)換

從CNNIC 獲得的證書格式為X509格式。該將證書文件的擴(kuò)展名由txt 改為cer 或crt 后，可在windows 中雙擊打開查看證書的相關(guān)信息。顯示信息類似下圖所示：

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心

HTTP://WWW.CNNIC.CN 6 / 8

Apache 服務(wù)器證書配置指南

X509格式的證書利用windows 提供的圖形界面操作工具可以另存為以下兩種編碼格式：

● BASE64編碼格式：該格式的證書可以用記事本打開

● DER 編碼格式：二進(jìn)制格式

在上圖中，點(diǎn)擊“詳細(xì)信息”->“復(fù)制到文件”后，即可以根據(jù)提示點(diǎn)擊“下一步”利用證書導(dǎo)出向?qū)?dǎo)出需要格式的證書，如下圖所示：

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心

HTTP://WWW.CNNIC.CN 7 / 8

Apache 服務(wù)器證書配置指南

中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心 HTTP://WWW.CNNIC.CN 8 / 8