SSL設定
生成key、csr、crt
資料來源:Apache2.4配置SSL后启动报错AH02577: Init: SSLPassPhraseDialog builtin
1.key的生成
openssl genrsa -des3 -out server.key 2048
這樣是生成rsa私鑰,des3算法,openssl格式,2048位強度。 server.key
是密鑰文件名。為了生成這樣的密鑰,需要一個至少四位的密碼。可以通過以下方法生成沒有密碼的key:
openssl rsa -in server.key -out server.key
server.key
就是沒有密碼的版本了。
2. 生成CA的crt
openssl req -new -x509 -key server.key -out ca.crt -days 3650
生成的ca.crt
文件是用來簽署下面的server.csr
文件。
3. csr的生成方法
openssl req -new -key server.key -out server.csr
需要依次輸入國家,地區,組織,email。最重要的是有一個common name,可以寫你的名字或者域名。如果為了https申請,這個必須和域名吻合,否則會引發瀏覽器警報。生成的csr文件交給CA簽名後形成服務端自己的證書。
4. crt生成方法
CSR文件必須有CA的簽名才可形成證書,可將此文件發送到verisign等地方由它驗證,要交一大筆錢,何不自己做CA呢。
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt
輸入key的密鑰後,完成證書生成。 -CA
選項指明用於被簽名的csr證書,-CAkey
選項指明用於簽名的密鑰,-CAserial
指明序列號文件,而-CAcreateserial
指明文件不存在時自動生成。
最後生成了私用密鑰:server.key
和自己認證的SSL證書:server.crt
證書合併:
cat server.key server.crt > server.pem
Apache on Windows 設流程須注意
設定可參考: Linux——Apache+OpenSSL 实现HTTPS单双向验证
httpd.conf
取消註解Include conf/extra/httpd-ssl.conf
httpd-ssl.conf
將以下註解SSLPassPhraseDialog builtin
SSLSessionCache ...
httpd-ssl.conf
以及httpd-vhost.conf
內的ssl vhost
設定
(路徑須注意)SSLEngine on SSLCertificateFile "conf/ssl.crt/server.crt" SSLCertificateKeyFile "conf/ssl.key/server.key" SSLCertificateChainFile "conf/ssl.crt/ca.crt"