虽然在安装MOD_SSL时已经使用 make certificate 命令建立了服务器的证书签名,但是有时你可能需要改变它。当然有很多自动的脚本可以实现它,但是最可靠的方法是手工签署证书。首先我假定你已经安装好了openssl和MOD_SSL,如果你的openssl安装时的prefix设置为/usr/local/openssl,那么把/usr/local/openssl/bin加入执行文件查找路径。还需要MOD_SSL源代码中的一个脚本,它在MOD_SSL的源代码目录树下的pkg.contrib目录中,文件名为 sign.sh。 将它拷贝到 /usr/local/openssl/bin 中。
先建立一个 CA 的证书,首先为CA 创建一个 RSA 私用密钥,
系统提示输入 PEM pass phrase,也就是密码,输入后牢记它。 生成 ca.key 文件,将文件属性改为400,并放在安全的地方。
你可以用下列命令查看它的内容,
利用 CA 的 RSA 密钥创建一个自签署的 CA 证书(X.509结构)
然后需要输入下列信息:
生成 ca.crt 文件,将文件属性改为400,并放在安全的地方。
你可以用下列命令查看它的内容,
下面要创建服务器证书签署请求,
首先为你的 Apache 创建一个 RSA 私用密钥:
这里也要设定pass phrase。
生成 server.key 文件,将文件属性改为400,并放在安全的地方。
你可以用下列命令查看它的内容,
用 server.key 生成证书签署请求 CSR.
这里也要输入一些信息,和[S-4]中的内容类似。
至于 extra attributes 不用输入。
你可以查看 CSR 的细节
下面可以签署证书了,需要用到脚本 sign.sh
就可以得到server.crt。
将文件属性改为400,并放在安全的地方。
删除CSR
最后apache设置
如果你的apache编译参数prefix为/usr/local/apache,
那么拷贝server.crt 和 server.key到 /usr/local/apache/conf
修改httpd.conf
将下面的参数改为:
可以 apachectl startssl 试一下了
