最专业的企业营销型网站建设,网页设计师培训大全,wordpress多域一网,wordpress 学校模版在LinuxApacheOpenSSL中配置SSL安全证书认证是不难的#xff0c;我的另一篇工作随记中曾提到[url]http://www.host01.com/article/server/00070002/0621409075193649.htm[/url]中有所有步骤#xff0c;不过其中的一些描述有点复杂#xff0c;并且依赖关系也没有这些严格。这… 在LinuxApacheOpenSSL中配置SSL安全证书认证是不难的我的另一篇工作随记中曾提到[url]http://www.host01.com/article/server/00070002/0621409075193649.htm[/url]中有所有步骤不过其中的一些描述有点复杂并且依赖关系也没有这些严格。这里给出一个傻瓜式步骤供自己和有心人复用。 首先确保你的Linux有OpenSSLls -l /usr/bin/openssl如果没有请从[url]http://openssl.org/[/url]下载。 mkdir demoCA cp /usr/share/ssl/openssl.cnf ./demoCAvi ./demoCA/openssl.cnf and edit the dir configuration of CA_default from ./demoCA to .mkdir demoCA/certs mkdir demoCA/crl mkdir demoCA/newcertsmkdir demoCA/privateecho 01 demoCA/serialtouch demoCA/index.txtcd demoCA openssl req -new -x509 -keyout ./private/cakey.pem -out ./cacert.pem -days 3650password input twice, 该密码多次用到HTTPD启动也须用到, 10年有效期Country Name (2 letter code) [GB]:USState or Province Name (full name) [Berkshire]:CALocality Name (eg, city) [Newbury]:San ClaraOrganization Name (eg, company) [My Company Ltd]:CiscoOrganizational Unit Name (eg, section) []:WebExCommon Name (eg, your name or your servers hostname) []:ServerDNSName(最好跟你SERVER名字一样Email Address []: openssl genrsa -des3 -out server.key 1024 openssl req -new -key server.key -out server.csrCountry Name (2 letter code) [GB]:USState or Province Name (full name) [Berkshire]:CALocality Name (eg, city) [Newbury]:San ClaraOrganization Name (eg, company) [My Company Ltd]:CiscoOrganizational Unit Name (eg, section) []:WebExCommon Name (eg, your name or your servers hostname) []:ServerDNSName Email Address []: Please enter the following extra attributesto be sent with your certificate requestA challenge password []:An optional company name []:Cisco-WebEx Communication Inc. mv server.csr newreq.pemopenssl ca -config ./openssl.cnf -policy policy_anything -out newcert.pem -infiles newreq.pem mv newcert.pem server.crt vi /etc/httpd/conf.d/ssl.conf并改变以下四行并确保没被注释。SSLCertificateFile /etc/httpd/conf.d/demoCA/server.crtSSLCertificateKeyFile /etc/httpd/conf.d/demoCA/server.keySSLCACertificatePath /etc/httpd/conf.d/demoCASSLCACertificateFile /etc/httpd/conf.d/demoCA/cacert.pem#SSLVerifyClient require#SSLVerifyDepth 10#SSLVerifyClient none(by default) 其中上述第五、六行是为client强制需要安装安全证书的设置。如果需要则需按[url]http://www.host01.com/article/server/00070002/0621409075193649.htm[/url]文章后段所述步骤签发client证书。这里不再赘述。 如果需要第三方签你的根证书需把你的cacert.pem证书交与第三方认证机构进行签证。 与[url]http://www.host01.com/article/server/00070002/0621409075193649.htm[/url]颇多重叠只是为了简单起已给自己提一个醒。 本文出自 “守望者的技术日记和六味生活” 博客请务必保留此出处[url]http://dannyyuan.blog.51cto.com/212520/39088[/url]本文出自 51CTO.COM技术博客 转载于:https://blog.51cto.com/gzmaster/59171
