Apache
SHECA 数字证书--网络因此更真实Apache 2.26服务器证书安装使用指南上海数字证书认证中心有限公司2010/01/05上海数字证书认证中心有限公司 ,SHECA
SHECA 数字证书--网络因此更真实
Apache 2.26
服务器证书安装使用指南
上海数字证书认证中心有限公司
2010/01/05
上海数字证书认证中心有限公司
,
SHECA 数字证书--网络因此更真实 文档说明:
本文档是Apache 2.26证书安装使用指南,主要描述如何产生密钥对,web 证书在线申请和如何将web 证书安装到Apache 2.26 web服务器上,实现SSL 。
版本信息:
当前版本 3.0
版权信息:
SHECA 是上海数字证书认证中心有限公司的注册商标和缩写。
UCA 是上海数字证书认证中心有限公司研究开发的通用证书系统的商标和缩写。
本文的版权属于上海数字证书认证中心有限公司,未经许可,任何个人和团体不得转载、粘贴或发布本文,也不得部分的转载、粘贴或发布本文,更不得更改本文的部分词汇进行转贴。
未经许可不得拷贝,影印。
Copyright @2008 上海数字证书认证中心有限公司 技术支持中心
上海数字证书认证中心有限公司
,
SHECA 数字证书--网络因此更真实
文档发行说明
当您阅读完本文档,您应该能解决如下问题:
1、 W EB 服务器证书的请求文件CSR 的产生;
2、 W EB 服务器证书的在线申请;
3、 W EB 服务器证书的安装;
4、 W EB 服务器SSL 安全配置;
5、 S SL 双向认证的配置;
6、 使您的系统信任SHECA 根证书;
文档书写环境说明:
为了测试基于apache2.26 WEB 服务的SSL 双向认证,本文档采用了最新的Apache2.26 WEB服务。以下是本文档的具体试验环境:
WEB 服务器:Windows 2003 Enterprise Server Edition Apache2.26
客户端:Windows XP Professional English Version Service Pack 3
安装环境:
Web 服务器,本文以windows 操作系统为例。系统正确安装openssl 和Apache
2.26版本软件。
上海数字证书认证中心有限公司
,
SHECA 数字证书--网络因此更真实
通过OPENSSL 工具为服务器申请证书:
本文采用标准的openssl 方式为WEB 服务器提供Private key、Identity Cert和Trusted Cert存储。
1、 产生密钥:
在windows 操作系统上打开“命令提示符”窗口,在命令行模式下运行
例:
Openssl genrsa 1024 > pri.key
在执行命令的目录下产生密钥pri.key ;
2、 产生证书请求(CSR ):
再运行,例:
Openssl req –new –key pri.key > server.csr
此时系统会提示您输入你的信息,请确保以下内容和您提交到上海CA 的内容一致,以保证服务器证书的签发。
Common Name(服务器域名或者IP )
Organization name (组织名或公司名)
Organization unit name (组织单位名或部门名)
City or location name(城市或区域名)
State or province name (省份或者州名)
Country name (国家名的两位编码,中国为“CN ”)
输入完毕后,在执行命令的目录下产生证书请求文件“server.csr ”;
3、 申请服务器证书:
将“server.csr ”文件提交SHECA ,CA 处理完毕申请,用户下载证书,证书可以使用PEM 格式;
上海数字证书认证中心有限公司
,
SHECA 数字证书--网络因此更真实
获取服务器证书:
第一步:登陆,点击证书申请 立即申请安全站点证书,请点击>>;
在方框里输入从SHECA 证书受理点获取的密码信封序列号和信封密码
(注:由于申请的是WEB 服务器证书, 所以设定的私钥密码不起作用)
第二步:完成输入后,进入下一个页面, 此时选择勾选“高级选项”,并选择“用户自上送P10证书请求”并在最底部的输入框内贴入证书请求中去除BEGIN 以及END 的部分内容,如下图所示
上海数字证书认证中心有限公司
,
SHECA 数字证书--网络因此更真实
第三步:请耐心等待证书签发
. 第四步:请选择证书保存的路径,如需保存为PEM 格式,则勾选”PEM ”,并点击保存证书。
第五步:申请完证书之后,将证书文件保存。有必要说明的是,以上各种文件可以是PEM 或DER 格式。
注:Apache 服务器需要证书的格式为PEM 格式,建议用户直接将证书勾选保存PEM 格式,并得到UserCert.Cer 文件,此文件可以在接下来的配置中直接使用。
上海数字证书认证中心有限公司
,
SHECA 数字证书--网络因此更真实
根证书以及中级证书的获取:
1、 获取根证书UCA Root:
将CertChain.SPC 文件打开,选中UCA Root这张证书右键选择“打开”
在详细信息的标签栏中选择“复制到文件”
选择Base64编码导出证书
上海数字证书认证中心有限公司
,
SHECA 数字证书--网络因此更真实
保存为文件root.cer
2、 获取中级证书SHECA
按照步骤一,同样的将CertChain.SPC 文件当中的SHECA 证书导出为
sheca.cer
上海数字证书认证中心有限公司
,
SHECA 数字证书--网络因此更真实
配置APACHE2.26
1、 打开Apache 服务器中的httpd.conf 文件,打开SSL 模块
LoadModule ssl_module modules/mod_ssl.so
Include conf/extra/httpd-ssl.conf
2、 打开Apache 服务器中的ssl.conf 文件,并在相关配置的地方修改
SSLCertificateFile conf/ssl.crt/UserCert.Cer 部署服务器证书(PEM 格
式)
SSLCertificateKeyFile conf/ssl.crt/pri.key部署密钥,既步骤一所生
成
SSLCertificateChainFile conf/ssl.crt/sheca.cer 部署中级证书,即
sheca.cer
SSLCACertificateFile conf/ssl.crt/root.cer 部署根证书,即root.cer
SSLVerifyClient require 是否客户端验证,如需验证则为requir ,无需为
none
SSLVerifyDepth 2 可查找CA 证明
3、 配置结束后重启Apache 服务器,并连接测试
上海数字证书认证中心有限公司