Apache httpd开启SSL
https://my.oschina.net/xpbug/blog/197454
必要软件
-
apache httpd 2.4(windows)
-
perl 5 (windows)
-
openssl (windows)
安装软件
因为手上没有linux的空余机器,所以一切操作都是在windows平台上。安装以上三个软件的win版,略。
配置httpd
首先用httpd搭建一个简单的网站。在apache的目录下,找到httpd.conf文件,打开文件,找到下面的内容,并把注释去掉:
# Virtual hosts
Include conf/extra/httpd-vhosts.conf
找到httpd-vhosts.conf文件,打开,并向其中添加一个虚拟网站
<VirtualHost *:80>
ServerAdmin joey
DocumentRoot "D:/www/test0"
ServerName www.test0.com
ErrorLog "logs/errlog"
CustomLog "logs/accesslog" common
<Directory "D:/www/test0">
Order allow,deny
Allow from all
</Directory>
</VirtualHost>
在网站目录下面创建一个index页面, index.html
<html>
<body>test0</body>
</html>
重启httpd,访问网站http://www.test0.com, 可以看到test0页面。(注意,如果www.test0.com无法加入DNS,则可以修改本地的hosts文件)。
生成SSL证书
SSL中存在三种证书,顶级证书,服务器证书和客户端证书。
-
顶级证书是权威证书颁发机构所持有的证书,权威机构使用顶级证书给服务器证书或客户端证书进行签名。
-
服务器证书是我们最常见的,访问多有https的网站,都会收到一个服务器证书,如果证书是有有名的权威机构颁发,则浏览器就会帮我们处理证书。如果证书是由不知名机构颁发,浏览器会跳出窗口,问我们是否信任此证书。
-
客户端证书常见于网银。像招商银行的客户端,可以使用电子证书。之所以存在客户端证书,原因是服务器想验证客户的合法性。这时候,信任是双向的。
一般互联网上,只需要服务器证书,信任是单向的,服务器并不对客户做验证。
安装完openssl以后,其目录存在于C:\OpenSSL-Win32. 现在让我们来生成各种证书。
-
打开cmd命令台,在运行openssl的命令之前,先设置环境变量
>set OPENSSL_CONF=c:\openssl-win32\bin\openssl.cfg -
生成顶级证书。这部分应该是有权威机构做的,这里我冒充一下权威机构。
>CA.pl -newca在/demoCA/目录下会生成CA的必须文件。这其中包含顶级证书。
-
服务器商需要为自己生成公钥密钥,并制作一个证书申请。这里还是我来冒充一下。
>openssl.exe genrsa -des3 -out server.key 1024 >openssl.exe req -new -key server.key -out server.csr注意,当遇到下面一行的时候,一定要填写网站的域名,比如今天的例子www.test0.com.
-
服务商把证书申请server.csr发送给权威机构,权威机构进行签名。将server.csr重命名为newreq.pem,然后执行下面命令
>CA.pl -sign生成的newcert.pem就是证书,将newcert.pem重命名为server.crt,然后发还给服务商。
-
生成客户端证书,这部分并不在本实验中,可以忽略,但我把要执行的命令列在这里,以便于以后查找。
-
>openssl.exe genrsa -des3 -out client.key 1024 >openssl.exe req -new -key client.key -out client.csr >openssl.exe ca -in client.csr -out client.crt #生成客户端可安装文件。 >openssl.exe pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx
上面的步骤中,将获得的server.key和server.crt复制出来,待会用。
在win32上,apache不支持加密的private key,所以还需要额外步骤,去除加密。请看最后面的部分。
开启httpd的SSL功能
修改httpd.conf文件,将其中两行的注释去掉
LoadModule ssl_module modules/mod_ssl.so
# Secure (SSL/TLS) connections
Include conf/extra/httpd-ssl.conf
打开httpd-ssl.conf文件,进行编辑
NameVirtualHost *:443
<VirtualHost *:443>
ServerAdmin joey
DocumentRoot "D:/www/test0"
ServerName www.test0.com:443
ErrorLog "logs/errlog"
CustomLog "logs/accesslog" common
SSLEngine on
SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5
SSLCertificateFile "C:/Program Files (x86)/Apache Software Foundation/Apache2.2/conf/server.crt"
SSLCertificateKeyFile "C:/Program Files (x86)/Apache Software Foundation/Apache2.2/conf/server.key"
<Directory "D:/www/test0">
Order allow,deny
Allow from all
</Directory>
</VirtualHost>
注意,SSLCertificateFile和SSLCertificateKeyFile必须指向之前我们生成的key和证书。
重启httpd
无法重启httpd,并在error.log中发现这么一句话:
SSLPassPhraseDialog builtin is not supported on Win32
原因是因为Win32不支持SSLPassPhraseDialog命令,我们需要把此命令个注释掉,并需要把server.key的PassPhrase也给去掉。步骤如下
-
重命名server.key为server.key.org
-
运行命令 >openssl rsa -in server.key.org -out server.key
-
将产生的new key替换到原来的位置。
-
编辑httpd-ssl.conf,把 #SSLPassPhraseDialog builtin注释掉。
再重启一下httpd. 还有错误,error.log中有这么一句话:
Syntax error on line 62 of C:/Program Files (x86)/Apache Software Foundation/Apache2.2/conf/extra/httpd-ssl.conf:
SSLSessionCache: Invalid argument: size has to be >= 8192 bytes
原因是命令吧(X86)给当做86来解析了,需要做下修改
#修改前
SSLSessionCache "shmcb:C:/Program Files (x86)/Apache Software Foundation/Apache2.2/logs/ssl_scache(512000)"
#修改后
SSLSessionCache "shmcb:C:/PROGRA\~2/Apache Software Foundation/Apache2.2/logs/ssl_scache(512000)"
再次重启,成功。
验证https
在浏览器中输入网址https://www.test0.com, 浏览器会询问你是否信任当前证书。因为这个证书不是权威机构发放的。选择信任。我们可以查看证书,证书里面的签发机构是我。
接下来几天的计划
下一步,将使用tomcat搭建集群,使用apache做负载平衡。http://my.oschina.net/xpbug/blog/197680
接着,会给tomcat制作登录页面。然后只保留登录页面的https连接,其它页面使用http.
然后,会开启tomcat认证和授权。
接着,会搭建第二个tomcat网站,并开启两个网站之间的SSO。
最后,会着手性能优化,如何增加cache。
