SSL
SSL證書通過(guò)在客戶端瀏覽器和Web服務(wù)器之間建立一條SSL安全通道(Secure socket layer(SSL)安全協(xié)議是由Netscape Communication公司設(shè)計(jì)開發(fā)。該安全協(xié)議主要用來(lái)提供對(duì)用戶和服務(wù)器的認(rèn)證;對(duì)傳送的數(shù)據(jù)進(jìn)行加密和隱藏�����;確保數(shù)據(jù)在傳送中不被改變,即數(shù)據(jù)的完整性,現(xiàn)已成為該領(lǐng)域中全球化的標(biāo)準(zhǔn)���。由于SSL技術(shù)已建立到所有主要的瀏覽器和WEB服務(wù)器程序中,因此,僅需安裝服務(wù)器證書就可以激活該功能了)。即通過(guò)它可以激活SSL協(xié)議�����,實(shí)現(xiàn)數(shù)據(jù)信息在客戶端和服務(wù)器之間的加密傳輸����,可以防止數(shù)據(jù)信息的泄露。保證了雙方傳遞信息的安全性�,而且用戶可以通過(guò)服務(wù)器證書驗(yàn)證他所訪問(wèn)的網(wǎng)站是否是真實(shí)可靠��。
安全套接字層 (SSL) 技術(shù)通過(guò)加密信息和提供鑒權(quán),保護(hù)您的網(wǎng)站安全�����。一份 SSL 證書包括一個(gè)公共密鑰和一個(gè)私用密鑰�����。公共密鑰用于加密信息,私用密鑰用于解譯加密的信息�����。瀏覽器指向一個(gè)安全域時(shí)���,SSL 同步確認(rèn)服務(wù)器和客戶端����,并創(chuàng)建一種加密方式和一個(gè)唯一的會(huì)話密鑰。它們可以啟動(dòng)一個(gè)保證消息的隱私性和完整性的安全會(huì)話�。
首先要有一個(gè)主證書�����,然后用主證書來(lái)簽發(fā)服務(wù)器證書和客戶證書,服務(wù)器證書和客戶證書是平級(jí)關(guān)系����,SSL所使用的證書可以自己生成����,也可以通過(guò)一個(gè)商業(yè)性CA(如Verisign 或 Thawte)簽署證書����。簽發(fā)證書的問(wèn)題:如果使用的是商業(yè)證書,具體的簽署方法請(qǐng)查看相關(guān)銷售商的說(shuō)明����;如果是知己簽發(fā)的證書,可以使用openssl 自帶的CA.sh腳本工具����。如果不為單獨(dú)的客戶端簽發(fā)證書���,客戶端證書可以不用生成�����,客戶端與服務(wù)器端使用相同的證書。
配置過(guò)程
步驟一:安裝apache,使其支持SSL,并安裝php
1.安裝配有SSL模塊的apache,apache_2.2.8-win32-x86-openssl-0.9.8g
2.配置apache以支持SSL:
1)打開apache的配置文件conf/httpd.conf
LoadModule ssl_module modules/mod_ssl.so
Include conf/extra/httpd-ssl.conf
去掉兩行前面的#
2)注意修改httpd-ssl.conf 文件里的兩個(gè)字段:
SSLCertificateFile "C:/Apache2.2/conf/server.crt"
SSLCertificateKeyFile "C:/Apache2.2/conf/server.key"
3.安裝php,整合apache和php(略)
步驟二:為網(wǎng)站服務(wù)器生成證書及私鑰文件
1. 生成服務(wù)器的私鑰
進(jìn)入命令行:
D:localapache2�inopenssl genrsa -out server.key 1024
在當(dāng)前目錄下生成了一個(gè)server.key生成簽署申請(qǐng)
2. 生成簽署申請(qǐng)
D:localapache2�in>openssl req -new –out server.csr -key server.key -config ..confopenssl.cnf
此時(shí)生成簽署文件server.csr��。
可能會(huì)報(bào)錯(cuò):無(wú)法定位序數(shù)xxx于動(dòng)態(tài)鏈接庫(kù)libeay32.dll���,解決辦法:將apache的bin目錄下的libeay32.dll文件復(fù)制到c:windowssystem32下�。
步驟三:通過(guò)CA為網(wǎng)站服務(wù)器簽署證書
1.生成CA私鑰
D:localapache2�inopenssl genrsa -out ca.key 1024
多出ca.key文件
2.利用CA的私鑰產(chǎn)生CA的自簽署證書
D:localapache2�inopenssl req -new -x509 -days 365 -key ca.key -out ca.crt -config ..confopenssl.cnf
此時(shí)需要輸入一些信息,注意Common Name為服務(wù)器域名���,如果在本機(jī),為本機(jī)IP�。
3.CA為網(wǎng)站服務(wù)器簽署證書
D:localapache2�inopenssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config ..confopenssl.cnf
但此時(shí)會(huì)報(bào)錯(cuò)�����,于是在當(dāng)前目錄創(chuàng)建demoCA���,里面創(chuàng)建以下文件�,index.txt,serial:serial內(nèi)容為01���,其他為空,以及文件夾newcert.再執(zhí)行一遍��,即可生成server.crt文件
步驟四:將 server.crt,server.key復(fù)制到apache的conf文件夾下�����,重啟apache
步驟五:配置windows
打開C:WINDOWSsystem32driversetc下的etc文件:
修改為:
127.0.0.1 localhost
127.0.0.1 www.icultivator.com
步驟六:
在apache下創(chuàng)建站點(diǎn)���。 訪問(wèn)
https://www.icultivator.com
聲明:本網(wǎng)頁(yè)內(nèi)容旨在傳播知識(shí)�����,若有侵權(quán)等問(wèn)題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系��,我們將在第一時(shí)間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com
