广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 6133 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
zlank215
数位造型
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x1
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[Server][讨论] 要如何windows+apache+ssl 呢?
我想请问要如何让apa ..

访客只能看到部份内容,免费 加入会员 或由脸书 Google 可以看到全部内容



献花 x0 回到顶端 [楼 主] From:未知地址 | Posted:2004-10-23 12:59 |
tanda 手机
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x3
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

在 Apache + SSL 在 Win32 的部分, 说真的实在不好找
你们可以参考一下 The Apache + SSL on Win32 HOWTO 的做法

当然照着上边做也没关系, 每个人有每个人的做法看个人吧试试看就知道了
虽然我是自己 Compile 来装的, 但我打字比较懒了点, Compile 教学的部分
请自行参考 OpenSSL 跟 mod_ssl 的内附文件 For Win32

基本上只要架好 Apache + SSL 其他如 ActivePerl, MySQL ,PHP 都可以慢慢加进来
在 Hunter 这里可以找到已经编译好的,视个人需要自行取用, 记得寄封Email谢谢人家喔!!

以下列出最快的安装方式供参考, 原理....自己看各套件的内文说明

安装所需档案
Apache_2.0.49-Openssl_0.9.7d-Win32.zip
openssl.cnf (在那个 here 连结)

01. 建议最好先装 Apache 2.0.49 再来解压缩 Apache_2.0.49-Openssl_0.9.7d-Win32.zip,
记得解压缩后修改路径直接覆盖原来安装的档案上

02. 基本上您已经完成 Apache + mod_ssl + OpenSSL 的安装了
接下来得先开始设定您的 httpd.conf

找到 Listen 80 (不能注解掉喔, 至少知道你的网站是活的)
找到 LoadModule ssl_module modules/mod_ssl.so (不能注解掉喔, 要开 SSL 要靠这支 Modules 了)

03. 这里预设您除了正常网站外同一个 IP 或 DomainName 上同时有 SSL 所以,
您除了设定您一般的网站路径外 VirtualHost 也要一并设定

04. 以 Name-Based 为例, 其他请依实际安装为准
记得这里的设定一定要跟上边的一样, 不然你的主网页会找不到喔

NameVirtualHost *:80
<VirtualHost *:80>
ServerAdmin 您的email
DocumentRoot "/您网页的实际路径"
ServerName DomainName:80
ErrorLog logs/DomainName_error_log
CustomLog logs/DomainName_access_log common
</VirtualHost>

05. 再这边您可以稍微注意一下上边有 Include conf/ssl.conf 没错!!
接下来就是设定 SSL 要开的网页设定, 暂时先不教产生凭证 Key 的方法
既然再同一个目录先做设定的部分

找到 SSLMutex file:logs/ssl_mutex 并注解掉, Win32 上不支援此方式,
所以您可以改用 SSLMutex none 或是 SSLMutex default

接下来仍是 VirtualHost 的设定
找到 <VirtualHost _default_:443> 改用 <VirtualHost *:443>
DocumentRoot "/您网页的实际路径"
ServerAdmin 您的email
ServerName DomainName:443
ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log

找到 #SSLCertificateChainFile conf/ssl.crt/ca.crt 把注解拿掉(要自己发给自己的话)

找到 #SSLCACertificatePath conf/ssl.crt 把注解拿掉(要自己发给自己的话)
增加 SSLCACertificateFile conf/ssl.crt/ca.crt

06. 到此已完成设定的基本工作了, 这里我稍微保留一下, 您可以暂时不用理会

找到 <IfDefine SSL> 跟 </IfDefine SSL> 我是注解掉的(懒得改启动设定), 如果您在
启动 Apache 时, 仍无法让您的 SSL 动作的话才跟着做这项

07. 接下来要开始制作认证的凭证准备阶段

请切换至 Apache 的 bin 目录下, 把您下载的 openssl.cnf 置于此
并修改一下 [ CA_default ] 内的内容如下(既然是懒人法请跟着做喔!!其他倒是无关紧要)

dir = ssl
certs = $dir\\certs
crl_dir = $dir\\crl
database = $dir\\index.txt
new_certs_dir = $dir

certificate = $dir\\cacert.pem
serial = $dir\\serial
crl = $dir\\crl.pem
private_key = $dir\\privkey.pem
RANDFILE = $dir\\privkey.rnd

08. 依上述于 bin 目录下新增一个 ssl 目录

在 ssl 目录内新增 index.txt 档, 内容空白就好
在 ssl 目录内新增 serial 档, 内容请填 01 就好

09. 切换回 Apache 的 bin 目录下吧!!
这里我们要用命令提示字元 或 Win-DOS 视窗来设定, 所以为方便起见, 请设为 Apache 的 bin 目录下
当然您要写成 *.BAT 省在视窗下打那些重复执行的指令也行, 假设我们自己要发给自己 CA 认证
当然 CAroot 一定是自己并加签给自己

10. 产生 CA Private Key -- 执行 openSSL genrsa -des3 -out ssl/ca.key 1024

1024 为使用 128-bit 加密, 并输入您的安全密码

11. 产生 CA Require 凭证需求 执行 openssl req -config openssl.cnf -new -key ssl/ca.key -out ssl/ca.csr

输入您的申请书资料, 这里的可以用 "." 来当无资料输入使用, Domain 或 Websit 在这并无特殊指定输入, 请依显示输入既可

12. 产生 CA Public Crt 凭证 -- 执行 openssl x509 -days 3650 -req -signkey ssl/ca.key -in ssl/ca.csr -out ssl/ca.crt

预设是 30 天过期, 3650 是约 10 年

13. 接下来, 我们要为自己的 Server 或是个人加签凭证, 这里以 Server 为例

产生 Server Private Key -- 执行 openSSL genrsa -out ssl/server.key 1024

这里预设 Server Private Key 不设定安全密码以免无人值守时电脑关机重开无法启动 Apache (因为要密码才能启动)
这我倒没在 Win32 试过, Unix-Like 铁定会要求密码

14. 产生 Server Require 凭证需求 -- 执行 openssl req -config openssl.cnf -new -key ssl/server.key -out ssl/server.csr

输入您的申请书资料, 跟上边的一样, 不过这里的 Domain 或 Websit 在这最好填入您的 DomainName 或 主机全名(Host.DomainName)

15. 产生 Server Public Crt 凭证 -- 执行 openssl ca -config openssl.cnf -days 3650 -cert ssl/ca.crt -keyfile ssl/ca.key -in ssl/server.csr -out ssl/server.crt

输入您的 CA Private Key 安全密码完成制作手续

16. 现在您的 ssl 目录下已经有了必要的档案, 接下来开始复制到所需的路径下
请在 Apache 下之 conf 目录下建 ssl.crt 与 ssl.key 这 2 个目录

将 ca.crt 与 server.crt 复制至 conf/ssl.crt 下
将 server.key 复制至 conf/ssl.key 下

17. OK!!万事具备了, 启动您的 Apache 吧!! 不放心的话用 apache -t 看一下语法有无错误
启动后先用一般网页(http://Doma...amehttp://Host.D...Name)开看看应该没问题

18. 再来试试 Port 443 (http://Domain...:443http://Host.Dom...e:443) 应该会告诉你是一个错误的请求如下
Bad request! Your browser (or proxy) sent a request that this server could not understand.
If you think this is a server error, please contact the webmaster.
Error 400
这时您可以直接使用 https://Doma...amehttps://Host.D...Name 来进入 SSL 的网页了(后面呢...自己认证吧!!)

19. 注意喔!!右下角的金钥喔!!
因为您的电脑尚未取得 Server 的认证, 所以检验凭证时, 记得要安装 Server 凭证(server.crt)喔!!
又因为 Server 的认证未经授权单位认可, 所以检验凭证时, 记得要安装 CA 凭证(ca.crt)喔!!
您可以将 ca.crt 与 server.crt 公开给人下载安装以取得拥有属于您自己的实验性网站的认证


20. 认证实际运作可按此参考看看
手打的好酸......噗!!


灿坤好记卡号, 永久有效..
365-30-365 苏先生...
好记方法 年-月-年, 一年有365天, 一月有30天..
献花 x0 回到顶端 [1 楼] From: | Posted:2004-11-29 23:46 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.015584 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言