pache 服务器证书

Apache 服务器证书第一部分指南中国互联网络信息中心(CNNIC)地址： 北京中关村南四街四号中国科学院软件园1号楼一层 7*24小时客户服务咨询电话：86-10-58813000 传真：86-

Apache 服务器证书

第一部分指南

中国互联网络信息中心(CNNIC)

地址： 北京中关村南四街四号中国科学院软件园1号楼一层 7*24小时客户服务咨询电话：86-10-58813000 传真：86-10-58812666

邮政地址：北京349信箱6分箱 CNNIC

邮政编码：100190

网址：http://www.cnnic.cn

Apache 服务器证书配置指南

1. 关于openssl

1) openssl 简介

openssl 是一个Linux 平台下、开放源代码的实现了SSL 及相关加密技术的软件包。

2) openssl 下载及安装

从apache 网站下载apache_2.2.14-win32-x86-openssl-0.9.8k.msi并安装 该版本apache http server包含openssl 并包含mod_ssl模块。

2. 生成证书请求文件CSR

1) 生成私钥

命令格式：openssl genrsa -des3 -out [keystore _name] 2048

注：[]中的内容为需要输入的参数

keystore_name：表示证书密钥库的文件名，扩展名一般为keystore

如上图所示，命令运行后会提示输入两次私钥的密码，结果生成2048位的RSA 私钥，私钥文件名为： registrars.cnnic.cn.key。

<注：CNNIC 可信服务器证书要求域名证书密钥对最少为2048位>

2) 生成CSR 证书请求文件

命令格式: openssl req -new -key [keystore_name] -out [csr_name]

中国互联网络信息中心

HTTP://WWW.CNNIC.CN 2 / 8

Apache 服务器证书配置指南

注：[]中的内容为需要输入的参数

● csr_name：表示生成的证书请求文件的文件名

● keystore_name：表示证书密钥库的文件名，扩展名一般为keystore

上述命令运行后，系统提示输入第一步骤中输入的私钥密码，然后输入X.509证书所要求的字段信息，包括国家(中国添CN) 、省份、所在城市、单位名称、单位部门名称(可以不填直接回车) 。请注意： 除国家缩写必须填CN 外，其余都可以是英文或中文。

Common Name 项请输入您要申请域名证书的域名，例如：如果需要为www.domain.cn 申请域名证书就必须输入www.domain.cn 而不能输入domain.cn 。通配域名证书请填写通配域名；多域名证书仅需要填写第一个域名名称即可。

请不要输入Email 、口令(challenge password)和可选的公司名称，直接打回车即可。

现在已经成功生成了私钥文件：registrars.cnnic.cn.key 保存在您的服务器中。生成的csr 文件为文本文件，可以使用记事本等文本查看工具打开刚刚生成的证书请求文件，如下图所示：

中国互联网络信息中心

HTTP://WWW.CNNIC.CN 3 / 8

Apache 服务器证书配置指南

3. 下载服务器证书

1) 准备下载证书所需信息

参考号与授权码：参考号与授权码是下载证书的密码凭证。当申请的证书通过审核时，用户将接收到由CNNIC 发送的通过审批的电子邮件通知，该邮件中含有16位的参考号与授权码信息，其中参考号与授权码的前13位为明文显示，后3位为密文显示。审核员会以邮件通知的方式发送后三位的明文显示。

2) 下载证书

登录CNNIC 可信网络服务中心网页好http://www.cnnic.cn/index/0T/index.htm，点击页面中部的“可信服务器证书下载”图片链接进入到证书下载页面后，点击“可信服务器证书第一部分”，如下图所示：

中国互联网络信息中心

HTTP://WWW.CNNIC.CN 4 / 8

Apache 服务器证书配置指南

根据网页上的提示输入“参考号”和“授权码”，将证书请求文件中除去头尾“-----BEGIN NEW CERTIFICATE REQUEST-----”和“-----END NEW CERTIFICATE REQUEST-----”的中间部分内容复制到CSR 文本框中。结果如下所示：

点击“下载”，如果参考号、授权码和CSR 均无问题，则显示页面如下所示。

中国互联网络信息中心

HTTP://WWW.CNNIC.CN 5 / 8

Apache 服务器证书配置指南

请按页面提示将文本框中的内容拷贝下来，粘贴到一个新建的文本文件中保存，文件名保存为registrars.cer 。该文件即为申请的证书，如果该证书丢失，就必须进行证书补办。

至此，服务器证书安装第一部分已经完成。如需要安装证书，请参服务器证书安装第二部分安装指南。

注意：关于证书的格式转换

从CNNIC 获得的证书格式为X509格式。该将证书文件的扩展名由txt 改为cer 或crt 后，可在windows 中双击打开查看证书的相关信息。显示信息类似下图所示：

中国互联网络信息中心

HTTP://WWW.CNNIC.CN 6 / 8

Apache 服务器证书配置指南

X509格式的证书利用windows 提供的图形界面操作工具可以另存为以下两种编码格式：

● BASE64编码格式：该格式的证书可以用记事本打开

● DER 编码格式：二进制格式

在上图中，点击“详细信息”->“复制到文件”后，即可以根据提示点击“下一步”利用证书导出向导导出需要格式的证书，如下图所示：

中国互联网络信息中心

HTTP://WWW.CNNIC.CN 7 / 8

Apache 服务器证书配置指南

中国互联网络信息中心 HTTP://WWW.CNNIC.CN 8 / 8