详解 Windows下apache 实现 SSL-白红宇

SSL

：安全套接层，是netscape公司设计的主要用于web的安全传输协议。这种协议在WEB上获得了广泛的应用。通过证书认证来确保客户端和网站服务器之间的数据是安全，过程大致如下：

SSL

客户端在TCP连接建立之后，发出一个消息给服务器，这个消息里面包含了自己可实现的算法列表和其它一些需要的消息，SSL的服务器端会回应一个数据包，这里面确定了这次通信所需要的算法，然后发过去自己的证书（里面包含了身份和自己的公钥）。Client在收到这个消息后会生成一个秘密消息，用SSL服务器的公钥加密后传过去，SSL服务器端用自己的私钥解密后，会话密钥协商成功，双方可以用同一份会话密钥来通信了。

如果对于一般的应用，管理员只需生成“证书请求”（后缀大多为.csr），它包含你的名字和公钥，然后把这份请求交给诸如verisign等有CA服务公司，你的证书请求经验证后，CA用它的私钥签名，形成正式的证书发还给你。管理员再在web server上导入这个证书就行了。如果你不想花那笔钱，或者想了解一下原理，可以自己做CA。从ca的角度讲，你需要CA的私钥和公钥。从想要证书的服务器角度将，需要把服务器的证书请求交给CA.

如果你要自己做CA，别忘了客户端需要导入CA的证书（CA的证书是自签名的，导入它意味着你“信任”这个CA签署的证书）。而商业CA的一般不用，因为它们已经内置在你的浏览器中了。

实现HTTPS，经我个人测试，每个版本实现的细节都有所不同，但个人认为最为简单的还是apache_2.2.8-win32-x86-openssl-0.9.8g 那么我下面就以这个版本来介绍一下如何实现基于windows下的https.

思路：

．

配置 apache

以支持 SSL

．

为网站服务器生成私钥及申请文件

．

安装CA

使用两种方法

．通过CA

为网站服务器签署证书

．测试

步骤1

：配置 APACHE

以支持SSL

LoadModule ssl_module modules/mod_ssl.so

Include conf/extra/httpd-ssl.conf

去掉两行前面的#

步骤2

：

为网站服务器生成证书及私钥文件

生成服务器的私钥

C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl genrsa -out server.key 1024

生成一个 server.key

生成签署申请

C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl req -new –out server.csr -key server.key -config ..\conf\openssl.cnf

此时生成签署文件 SERVER.CSR

步骤 3

：

方面：

应该是一个专门的 CA

机构，我们这里就自己在同一台机器搭建一个企业内部 CA

。

这里可以直接使用商业 CA

，但要交纳一定的费用，我们来自己动手搭建一个企业内部 CA

。

我们这里介绍两种方法，一种是使用 OPENSSL

另一种是使用 WNDOWS

系统自带的 CA

服务。

我们先看第一种方法，使用 OPENSSL

生成 CA

私钥

C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl genrsa -out ca.key 1024

多出 CA.key

文件

利用 CA

的私钥产生 CA

的自签署证书

C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config ..\conf\openssl.cnf

此时生成了一个自己的证书文件， CA

就可以工作了，等着生意上门了。

下面准备为网站服务器签署证书

C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config ..\conf\openssl.cnf

但，此时会报错：