作法簡述
1.) cd "D:\Apache2\conf"mkdir ssl.key
..\bin\openssl genrsa -out ssl.key\server.key 2048
mkdir ssl.crt
..\bin\openssl req -new -x509 -key ssl.key\server.key -out ssl.crt\server.crt -config .\openssl.cnf -days 3650 (自己產生憑證的方式)
..\bin\openssl req -new -key ssl.key\server.key -out ssl.crt\csr_files.csr -config .\openssl.cnf (產生 CSR 給驗證中心的方式 - 產生後再將此檔轉給憑證中心產出相關的憑證)
填寫資料:AU:TW ; State or Province Name:Taiwan ; Locality Name:Hsinchu ; Organization Name: XXXX ; Organization Unit Name: XXXX ; Comon Name: xxx.xxx.nthu.edu.tw ; Email: xxx@mx.nthu.edu.tw ; 額外資訊不需要填寫直接 enter
2.) 接著httpd.conf/mod_ssl.conf,將SSL module 啟動,修改 /conf/httpd-ssl.conf。
把httpd-ssl.conf 調整合適本機環境的設定即可
..\bin\apache -k stop
..\bin\apache -k uninstall
..\bin\apache -D SSL -k install
..\bin\apache -k start
補充:
如果使用 openssl 產生 Key 時,有出現 WARNING: can't open config file: c:\openssl/ssl/openssl.cnf or /usr/local/ss/ 的錯誤訊息,則可以在系統的環境變數內使用 set OPENSSL_CONF=E:\ApacheSoftwareFoundation\Apache2.2\conf\openssl.cnf 方式,指定 openssl.cnf 所在位置 (參考來源)
也可以直接將那個檔案,直接 copy 到 c:\openssl/ssl/openssl.cnf or d:/usr/local/ssl/openssl.con,所指定的位址,這樣也是也以的。
最近館內要購入 SSL憑證,也趁這個機會重新回顧一下 SSL相關的資料。
因為之前都是自行產生相關的檔案,所以對整個CA簽屬的正式流程不是很清楚,稍微查找了資料,其實僅需要將產生的CSR檔案轉交給購買憑證的廠商即可,後續的作法直接參考「[筆記] SSL 憑證購買記」這篇 Blog 就可以了。
重要備忘如下:
- 產生一個 CSR 檔案,檔案傳給廠商。
- 廠商會回傳 SSL 憑證,傳入到 Apache 內所指定的位址。
- 重新啟動 Apache 即可。
多個 port 時的處理方式
- Apache listen on 2 ports for same SSL virtual host
- Apache 2 with SSL virtual host on different port 8080 or 8081 in Linux
- How do I use SSL on multiple ports?
相關參考:
- Apache SSL on Windows
- Apache2 SSL on Windows
- 產生一張 SSL 電子證書
- SSL線上產生工具
- 購買 SSL 數位憑證,你需要瞭解的事!
- Tomcat - SSL操作大全
- Tomcat 伺服器輕鬆部署 SSL 證書
- Tomcat7升級Https
- SSL 伺服器數位憑證 Apache2.4 伺服器操作手冊(適用於 UNIX)
沒有留言:
張貼留言