日期:2014-05-17  浏览次数:21014 次

apache2.2 SSL双向认证配置

一, ?apache ?下载 安装

?

./configure --prefix=/usr/local/apache ?--enable-ssl

make?

make install

?

加入环境变量 ?/etc/profile ?PATH="$PATH":/usr/local/apache/bin

source profile

?

建立CA ?: cd ?/usr/share/ssl/misc

?

? ? ? ? ? ? ? ? ./CA ?-newca ? ?私钥: demoCA/private/cakey.pem ??

? ? ? ? ? ? ? ? crt文件:demoCA/cacert.pem

二 ?. ? 生成服务器证书

? ? openssl genrsa -des3 ?-out server.key 1024(使用3DES加密并封装为PEM格式)

? ? openssl req -new ?-key server.key -out server.csr使用这个RSA私钥创建一个证书签发请求(CSR)(这里的例子将封装为PEM格式):

?

对服务器端csr签证

? ? ?mv ?server.csr ? /usr/share/ssl/misc ?newreq.pem (改名字)

? ? ?./CA -sign

? ? cp newcert.pem(生成的crt文件) ?/usr/local/apache/conf/server.crt

?

放开:include ?httpd-ssl.conf

开启服务 ?apachectl -k start

访问 ?https://localhost/ ? 默认index.html 在apache/htdocs/

?

?

?

?


三. ? 生成客户端证书:

? ? ? ?mkdir ssl.crt

? ? ? ?cp ?/usr/share/ssl/misc/demoCA/cacert.pem ? ssl.crt/ca.crt

? ? ? ?openssl genrsa -des3 -out client.key 1024

? ? ? ?openssl req -new -key client.key -out client.csr

? ? ? ?cp client.csr ?/usr/share/ssl/misc

? ? ? ?openssl ca -in client.csr -out client.crt

? ? ? ?转换成pkcs12格式,为客户端安装所用

? ? ? openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

这一步根安装服务器的证书差不多,不同的是签证,最后安装的时候,client.pfx的密码要记住,在客户端安装的时候要用到的。

? ? ?在http-ssl.conf 中:

SSLCACertificateFile "/usr/local/apache/conf/ssl.crt/ca.crt"
<