win32下Apache的SSL服務(wù)配置.doc

1，httpd.conf文件中去掉下面兩行之前的#符號(hào)LoadModule ssl_module modules/mod_ssl.soInclude conf/extra/httpd-ssl.confLoadModule ssl_module modules/mod_ssl.so的作用是載入SSL模塊下載 (193.15 KB)2009-10-30 07:48Include conf/extra/httpd-ssl.conf 的作用是告訴Apache的SSL模塊到那里去找配置文件下載 (139.65 KB)2009-10-30 07:522，重新啟動(dòng)服務(wù)器，測(cè)試一下看有沒有什么問題。顯然在重新啟動(dòng)服務(wù)器的時(shí)候報(bào)了一個(gè)錯(cuò)誤，說服務(wù)器無法正常啟動(dòng)。所以得在httpd-ssl.conf中，修改一下對(duì)應(yīng)的localhost的htdocs目錄和日志目錄：以及證書存放目錄： 3，接下來生成證書，這個(gè)文件需要我們用openssl這個(gè)程序來生成的。生成這個(gè) server.crt文件需要2個(gè)文件，一個(gè)是openssl.exe 另一個(gè)是f。一般來說openssl.exe 在你Apache的安裝路徑下的bin文件夾里面，f在Apache安裝路徑下的conf文件里面。找不到？如果找不到就用 windows的查找搜索一下了。這個(gè)時(shí)候你需要將openssl.exe和f放在同一個(gè)文件夾里面。一般的需要將找到的f文件拷貝到bin文件里面。用openssl生成KEY生成自簽名文件首先生成csr和pem文件。openssl req -config f -new -out server.csr -keyout server.pem運(yùn)行結(jié)果如下：下載 (210.54 KB)2009-10-30 08:15其中有幾個(gè)地方需要注意Enter PEM pass phrase:Verifying - Enter PEM pass phrase:用于輸入和重復(fù)輸入密碼的，密碼長(zhǎng)度不能小于4位Common Name (eg, YOUR name) :localhost用于輸入客戶端能夠訪問SSL的地址：這里SSL服務(wù)器是在本地運(yùn)行的，因此你可以輸入localhost。其余的都可以跳過。 An optional company name :留空，如果輸入將會(huì)報(bào)錯(cuò)。其他的提示輸入部分，可以輸入也可以留空，最重要的就是Common Name (eg, YOUR name) :這個(gè)變量，關(guān)系到你的SSL服務(wù)能不能夠運(yùn)行。為Apache創(chuàng)建沒有密碼保護(hù)的key下面需要為Apache創(chuàng)建一個(gè)沒有密碼保護(hù)的key了。openssl rsa -in server.pem -out server.key運(yùn)行結(jié)果如下下載 (54.77 KB)2009-10-30 08:18在這里你需要輸入密碼，這個(gè)密碼是你在上一步輸入過的。如果沒有錯(cuò)誤，你將會(huì)看到writing RSA key這句話后面沒有任何內(nèi)容和錯(cuò)誤提示。創(chuàng)建X.509證書現(xiàn)在需要為Apache創(chuàng)建X.509證書了。openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365結(jié)果如下：下載 (79.91 KB)2009-10-30 08:25如果沒有錯(cuò)誤，將會(huì)看到簽名已經(jīng)成功，后面有簽名的詳細(xì)信息和內(nèi)容。現(xiàn)在你再看看opensel.exe所在的文件夾下面是不是多了4個(gè)文件了，分別 是：server.pem，server.key，server.csr，server.crt下載 (62.49 KB)2009-10-30 08:25其實(shí)我們并不需要所有的這4個(gè)文件，我一向喜歡偷懶，就把這4個(gè)文件直接拷貝到證書保存的文件目錄下面保存。4，重新啟動(dòng)錯(cuò)誤如果重新啟動(dòng)沒有錯(cuò)誤，但是還是不能訪問。這時(shí)候你需要檢查日志文件，有一種可能是443端口的沖突，如果你的機(jī)器已經(jīng)安裝了IIS，那需要將IIS的web服務(wù)，F(xiàn)TP，SMTP服務(wù)全部關(guān)掉再 重新啟動(dòng)。（skype也會(huì)占用433端口）如果既沒有日志輸出，也不能訪問，那是因?yàn)榕渲梦募]有被正確的載入，這時(shí)候你需要先在httpd.conf文件里面注釋掉這句話Include conf/extra/httpd-ssl.conf，然后重新啟動(dòng)Apache的服務(wù)。等服務(wù)成功啟動(dòng)以后，再打開這句話，再重新啟動(dòng)服務(wù)。這時(shí)候你就 能看到日志的輸出了。否則不管你重新啟動(dòng)多少次，Apache還是只會(huì)載入老的httpd-ssl.conf文件，不會(huì)重新讀取httpd- ssl.conf的。如果在日志里面有警告Fri Aug 15 16:15:10 2008 warn RSA server certificate CommonName (CN) localhost does NOT match server name!?Fri Aug 15 16:15:10 2008 notice Child 3664: Released the start mutexFri Aug 15 16:15:10 2008 warn RSA server certificate CommonName (CN) localhost does NOT match server name!?那是因?yàn)槟爿斎氲腟SL服務(wù)為localhost但是你Apache在安裝的時(shí)候服務(wù)卻不是localhost。這時(shí)候你需要改幾個(gè)地方。httpd-ssl.conf文件中的下載 (80.2 KB)2009-10-30 08:27保存上述兩個(gè)配置文件后重新啟動(dòng)Apache服務(wù)器，如果沒有日志輸出，則需要先在httpd.conf文件里面注釋掉這句話Include conf/extra/httpd-ssl.conf，然后重新啟動(dòng)Apache的服務(wù)。等服務(wù)成功啟動(dòng)以后，再打開這句話，再重新啟動(dòng)服務(wù)。在輸出的日志里面應(yīng)該不會(huì)包含有任何的警告信息了。下載