apache ssl-bak
银联金融认证中心有限公司 China Financial Certification Authority一、 环境说明服务器端:apache 1.3.31(windows xp)客
银联金融认证中心有限公司 China Financial Certification Authority
一、 环境说明
服务器端:apache 1.3.31(windows xp)
客户端:Winxp IE6.0
数字证书:CFCA WEB 服务器证书、普通证书
二、安装Apache
从 www.apache.org 下载apache 安装包并安装。建议安装1.3.31版本,对下文的配置比较方便。
不要混淆1.3和2.0版本的apache, 不同的版本对应不同的mod_ssl。 修改httpd.conf 的下列字段:
[将所有 192.168.120.220 换成你自己的域名或ip!]
Port 80 改成 # Port 80
∙ Listen 80 (标准web 端口)
∙ Listen 443 (监听SSL 端口)
∙ ServerName 192.168.120.220 ∙
重启apache 服务。
打开 http://192.168.120.220:443/. 此时连接并没有加密但代表你的
apache 可以正常使用443端口。
三、取得Open_ssl和mod_ssl
从 http://hunter.campbus.com/ 下载并解开下面三个包
Apache_2.0.49-Openssl_0.9.7d-Win32.zip
Apache_1.3.31-Mod_SSL_2.8.20-Openssl_0.9.7d-Win32.zip
Openssl-0.9.7d-Win32.zip
(可能下载的包会有不同)
从openssl 压缩包里拷贝ssleay32.dll 和libeay32.dll 到WINNTSystem32目录下. 大约有 70 的人因为没有这样做导致安装失败。
从http://www.securityfocus.com/data/tools/openssl.conf下载一个openssl.conf 。
四、证书申请下载
1、申请证书
申请服务器证书:通过RA 系统向CFCA 提交web server的域名或者IP 地址,____________________________________________________________________________________________ 1 HTTP://WWW.CFCA.COM.CN
银联金融认证中心有限公司 China Financial Certification Authority
发放web server证书,拿到web server证书的参考号和授权码。
申请用户端证书:在应用中如果强制用户端使用证书的话,那么用户必须有
证书,则通过RA 系统向CFCA 提交web 证书(普通证书)的申请,用返回的参考号和授权码,在用户端下载web 证书, 在访问SSL 服务器时使用。
2、生成证书请求
把openssl.conf 拷贝到解开的Openssl-0.9.7d-Win32目录下,在命令提示符状态下运行下面的命令
openssl req -new -nodes -keyout private.key -out public.csr –config
openssl.conf
在这里,您需要根据您Apache 服务器的实际信息回答一些问题,主要有:国家名(Country Name)、省或洲际名(State or Province Name)、地方名(Locality Name)、组织名(Organization Name)、组织单位名(Organization Unit Name)、通用名(Common Name)、email 地址(Email Name)、私钥保护密码(a challenge password)、可选公司名(An opentional company name)。
这里有必要注意的是,国家名一定要是标准的缩写,中国是CN ;通用名一定____________________________________________________________________________________________ 2 HTTP://WWW.CFCA.COM.CN
银联金融认证中心有限公司 China Financial Certification Authority 是FQDN 。
然后,在您的当前目录下会产生两个文件:private.key 和public.csr 。 private.key 是您的私钥,public.csr 是证书请求文件。
3、下载web 服务器证书
访问http://210.74.41.87/cgi-bin/CGIProxy?action=start 进入下面的页面
点击证书下载按钮,填入取得的参考码和授权码,点击下一步。
____________________________________________________________________________________________ 3 HTTP://WWW.CFCA.COM.CN
银联金融认证中心有限公司 China Financial Certification Authority
私钥产生方式选择“提供PKCS10申请书”,点击提交。
在“请填入PKCS10格式的申请书”文本框中填入public.csr 文件的内容(-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----之间的内容,不包括-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----),点击开始下载证书,把证书编码保存在public.der 文件中(需要加上-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----)即可。
建立一个目录 Apache/conf/ssl 并拷贝 private.key 和 public.der到该目录下。
____________________________________________________________________________________________ 4 HTTP://WWW.CFCA.COM.CN
银联金融认证中心有限公司
4、安装 China Financial Certification Authority CA 证书链
点击根证书按扭,点击CFCA RCA 链接,把文件保存在目录Apache/conf/ssl下,名字为ca.crt ,点击CFCA TEST CA链接,把文件保存在相同的目录下,名字为ca-chain.crt ,并且把ca.crt 中的内容也拷贝到ca-chain.crt 中去。(ca.crt 即root CA的内容在最后面)
五、配置Apache 和mod_ssl
从下载的apache-mod_ssl 包里面拷贝所有的 (*.exe, *.dll, *.so) 文件到原始apache 目录。注意不要覆盖原始的配置文件httpd.conf 。
注意:查找所有子目录里的这些后缀文件,拷贝到相应目录并覆盖。
定位LoadModule 指令在 httpd.conf 文件的位置。增加下列指令:
LoadModule ssl_module modules/mod_ssl.so
在AddModule 指令部分的最后面加上
AddModule mod_ssl.c
从OpenSSL 源文件里拷贝 ssl.conf 到 Apache/conf/. 也可以下载 http://www.raibledesigns.com/tomcat/ssl.conf
在 httpd.conf的最后增加以下指令
SSLMutex sem
SSLRandomSeed startup builtin
SSLSessionCache none
ErrorLog logs/ssl.log
LogLevel info
SSLEngine On
SSLCertificateFile conf/ssl/public.der
SSLCertificateKeyFile conf/ssl/ private.key
SSLCACertificateFile conf/ssl/ca.crt
SSLCertificateChainFile conf/ssl/ca-chain.crt
SSLVerifyClient require
SSLVerifyDepth 10
如果配置文件里IfDefine 指令有效,则运行apache 的时候要加上 -D SSL 参数。
六、对CRL 查询的支持
apache 根据系统里面拥有 的客户端证书颁发CA 所签发的CRL 来决定是否信任客户端证书,此时,我们首先要获得一个有效的CRL 。
登陆http://210.74.41.87/cgi-bin/CGIProxy?action=start
____________________________________________________________________________________________ 5 HTTP://WWW.CFCA.COM.CN
银联金融认证中心有限公司 China Financial Certification Authority 点击注销链的下载CRL 链接,保存CRL 文件crl.crl 到本地的Apache/conf/ssl目录下。
加项:
SSLCARevocationPath conf/ssl/
SSLCARevocationFile conf/ssl/crl.crl 修改httpd.conf 文件,在最后增加的
七、启动和验证ssl
启动apache 服务器,点击开始->程序->Apache http server->control apache server->start即可
____________________________________________________________________________________________ 6 HTTP://WWW.CFCA.COM.CN
银联金融认证中心有限公司 China Financial Certification Authority
如果一切顺利,那么,打开IE ,访问https://192.168.120.220, 测试SSL 服务是否正常。
弹出选择证书的对话框,选择证书后,弹出下面的提示框,点“确定
____________________________________________________________________________________________ 7 HTTP://WWW.CFCA.COM.CN
银联金融认证中心有限公司 China Financial Certification Authority 能够正常访问页面,服务正常。
____________________________________________________________________________________________ 8 HTTP://WWW.CFCA.COM.CN
