Windows 7下Apache整合SSL

Windows 7下Apache 整合SSL环境介绍：Windows 7专业版 Apache 2.2.17Apache 为安装版，下载地址：通常情况下服务器只需要生成一个证书签名请求，即一个CSR

Windows 7下Apache 整合SSL

环境介绍：

Windows 7专业版 Apache 2.2.17

Apache 为安装版，下载地址：

通常情况下服务器只需要生成一个证书签名请求，即一个CSR 格式的文件，和一个公钥文件。然后把这个证书签名请求发送给CA 认证机构，通过CA 机构用其私钥加密签名后生成证书，返还给服务器。CA 认证机构从中会收取一定的服务费用，为了方便测试，我会模拟一个CA 认证。

步骤一：配置Apache 支持SSL

用记事本打开httpd.conf 文件，找到“LoadModule ssl_module modules/mod_ssl.so”“Include conf/extra/httpd-ssl.conf”，去掉前面的“#”。

步骤二： 为网站服务器生成密钥

打开MSDOS ，进入D:Apache2.2bin，输入“openssl genrsa -out server.key 1024”，此命令会生成网站服务器公钥文件server.key 。

步骤三：为网站服务器生成证书签名请求

输入“openssl req -new –out server.csr -key server.key -config ..confopenssl.cnf”，回车之后会有一些输入项，解释输入如下：

Country Name：国家代码，输入“CN ”；

State or Province Name：省市名城，输入“BeiJing ”；

Locality Name：城市名称，输入“BeiJing ”；

Organization Name：组织、公司名称，输入“xxr ”；

Organizational Unit Name：部门名称，输入“xxrit ”；

Common Name：您要申请域名证书的域名，如果您需要为www.domain.cn 申请域名证书就不能只输入domain.cn 。域名证书是严格绑定域名的。 如果输入IP ，那访问是就在地址输入IP ，否则会出现安全证书提示信息，输入“xiangxiaren.net ”；

A challenge password：不需要输入。

依次填写完毕，回车证书请求sever.csr 生成完毕。

步骤四：生成CA 认证机构私钥

输入“openssl genrsa -out ca.key 1024”，回车生成CA 私钥文件ca.key 。 步骤五：生成CA 认证机构证书

输入“openssl req -new -x509 -days 365 -key ca.key -out ca.crt

-config ..confopenssl.cnf”，回车之后会有一些输入项，解释输入如下：

Country Name：输入“CN ”；

State or Province Name：输入“BeiJing ”；

Locality Name：输入“BeiJing ”；

Organization Name：输入“xxrca ”；

Organizational Unit Name：输入“xxrcait ”；

Common Name：输入“XXR ”；

回车之后生成CA 证书ca.crt 。

步骤六：用CA 证书和私钥给网站服务器证书签名请求签名

在D:Apache2.2bin文件下面创建demoCA 文件夹，并在demoCA 文件夹里面创建newcerts 文件夹、index.txt 文件、serial 文件，serial 文件内容为“01”。

输入“openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

-config ..confopenssl.cnf”，回车之后会在bin 目录下面看到多了一个server.crt 文件，这就是签名以后的服务器证书。

步骤七：测试

把server.crt 、server.key 两个文件复制到conf 文件夹下面，找到hosts 系统文件，把xiangxiaren.net 映射到127.0.0.1，然后打开浏览器把ca 的证书（ca.crt ）导入浏览器，输入https://xiangxiaren.net

延伸阅读

SSL (Secure Socket Layer)

为Netscape 所研发，用以保障在Internet 上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit

之安全标准，美国则已推出128 bit之更高安全标准，但限制出境。只要3.0版本以上之I.E. 或Netscape 浏览器即可支持SSL 。

当前版本为3.0。它已被广泛地用于Web 浏览器与服务器之间的身份认证和加密数据传输。

SSL 协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL 协议可分为两层： SSL 记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP ）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL 握手协议（SSL Handshake Protocol）：它建立在SSL 记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

SSL 协议提供的服务主要有：

1）认证用户和服务器，确保数据发送到正确的客户机和服务器；

2）加密数据以防止数据中途被窃取；

3）维护数据的完整性，确保数据在传输过程中不被改变。

SSL 协议的工作流程：

服务器认证阶段：1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。

用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。

从SSL 协议所提供的服务及其工作流程可以看出，SSL 协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web 服务器双方的身份验证，但是SSL 协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL 协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa 和 MasterCard 两大信用卡公组织制定了SET 协议，为网上信用卡支付提供了全球性的标准。

HTTPS （Secure Hypertext Transfer Protocol）安全超文本传输协议

它是由Netscape 开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS 实际上应用了Netscape 的完全套接字层（SSL ）作为HTTP 应用层的子层。（HTTPS 使用端口443，而不是象HTTP 那样使用端口80来和TCP/IP进行通信。）SSL 使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS 和SSL 支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。。

它是一个URI scheme(抽象标识符体系) ，句法类同http:体系。用于安全的HTTP 数据传输。https:URL表明它使用了HTTP ，但HTTPS 存在不同于HTTP 的默认端口及一个加密/身份验证层（在HTTP 与TCP 之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。