修改httpd.conf(完整文件见附件):
LoadModule ssl_module modules/mod_ssl.so
Listen 443
ServerName wb-27172xiongj.hz.ali.com
<VirtualHost _default_:443>
DocumentRoot "D:\WebApp\test.web\src\main\webapp"
ServerAdmin admin@hz.ali.com
ErrorLog "D:/Program Files/Apache2.2/logs/error.log"
TransferLog "D:/Program Files/Apache2.2/logs/access.log"
<!-- 打开ssl-->
SSLEngine on
SSLCertificateFile "D:/Program Files/Apache2.2/conf/server.crt"
SSLCertificateKeyFile "D:/Program Files/Apache2.2/conf/server.key"
<!-- 浏览器需安装证书-->
SSLVerifyClient require
SSLVerifyDepth 1
SSLCACertificateFile "D:/Program Files/Apache2.2/conf/ca.crt"
</VirtualHost>
接下来利用openvpn工具制作证书(安装文件见附件)
安装openvpn完毕后,开始-程序-附件-命令提示符,进到openvpn的easy-rsa目录,比如:
D:\Program Files\OpenVPN\easy-rsa>
输入:
init-config 回车
会产生几个文件,切换出来,打开vars.bat文件,修改其中的KEY_COUNTRY(国家2位字母), KEY_PROVINCE(省2位字母), KEY_CITY(城市), KEY_ORG(组织), KEY_EMAIL(电子邮箱)这几个参数,免的后面制证时
反复输入麻烦。保存退出,继续使用命令提示符。
依次输入以下两个命令,当然是分别回车喽:
vars
clean-all (这两个是准备工作)
1.建立CA根证书 (如果出现openssl找不到错误,则需将openssl的路径即D:\Program Files\Apache2.2\bin路径添加到环境变量path中)
接着输入build-ca 回车(这个就是建立CA根证书啦)
然后显示:
ai:/usr/share/openvpn/easy-rsa # ./build-ca
Generating a 1024 bit RSA private key
............++++++
...........++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [KG]: 国家名2位字母,默认的参数就是我们刚才修改过的。
State or Province Name (full name) [NA]: 省、州名2位字母
Locality Name (eg, city) [BISHKEK]: 城市名
Organization Name (eg, company) [OpenVPN-TEST]: 组织名
Organizational Unit Name (eg, section) []: 组织里的单位名
Common Name (eg, your name or your server's hostname) []:这个是关键,应该输入颁发根证书单位的域名
,不过因为是根证书,所以怎么填都无所谓。只有服务器证书才需要认真填。
Email Address [me@myhost.mydomain]: 电子邮箱
好了,CA根证书制作完成!在keys目录下,它的名字就叫ca.crt,CA的私钥是ca.key
2.制作服务器证书:
在命令提示符下,输入
build-key-server server 回车
你会看到和上面很相似的东西
但要注意这里的Common Name (eg, your name or your server's hostname) []:
这个才是真正的关键。这里应该输入服务器的域名比如wb-27172xiongj.hz.ali.com。
如果没有域名,就应该填ip,与httpd.conf和ssl.conf里的设置对应,
ServerName 10.10.10.10:80(httpd.conf)
ServerName 10.10.10.10:443(ssl.conf)
也就是说填:10.10.10.10
接下来看到 a challenge password []:填不填随便,我不填
an optional company name []: 填不填随便,我不填
sign the certificate? [y/n] 敲y回车。用CA根证书对服务器证书签字认证。
1 out 1 certificate requests certified,commit? [y/n] 敲y回车,确认。
好了,建好了在keys目录下的server.crt(证书)和server.key(私钥)
3.制作客户端证书
在命令提示符下,输入
build-key client1 回车
又是一通国家省市组织等等,comman name也是随便填的。
然后
a challenge password []:填不填随便,我不填
an optional company name []: 填不填随便,我不填
sign the certificate? [y/n] 敲y回车。用CA根证书对客户端证书签字认证。
1 out 1 certificate requests certified,commit? [y/n] 敲y回车,确认。
好了,建好了在keys目录下的client1.crt(客户端证书)和client1.key(私钥)
等等, .crt的客户端证书是不能使用的,必须把它转化为.pfx格式的文件!!
所以,还是在命令提示符下,输入
openssl 回车
看到openssl>;
再输入
pkcs12 -export -in keys/client1.crt -inkey keys/client1.key -out keys/client1.pfx
回车,
看到Enter export password:会要求你建立客户端证书的输出密码,我填123456,
verifying-Enter export password再确认一遍123456,好了!
4.把keys目录下的ca.crt和server.crt,server.key都复制到apache的conf目录下
5.客户端安装证书
打开internet explorer(IE),工具-internet选项-内容-证书,点选'个人'
再点击导入,把客户端证书client1.pfx导入到个人组里(别忘了扩展名是pfx)。
这里还要输入刚才建立的输出密码123456才能倒入呢。导入完成后如下:
接着,点选'受信任的根证书颁发机构',点击导入,把CA根证书ca.crt导入到受信任的根证书颁发机构里。 如下:
6.重新启动apache,打开IE,
在地址栏里输入https://wb-27172xiongj.hz.ali.com/,弹出个窗口要选择个人的数字证书。
点选,然后确定。
如果服务器证书的common name填写正确的话,你就可以直接进入网站了,看到右下角的小锁头(可靠的SSL128位)。
如果服务器证书的common name填写不正确,就会弹出个‘安全警报’框,告诉你3条:
1.安全证书由信任的站点颁发
(如果说是由不信任的站点颁发,那就是你的ca根证书ca.crt没有导入到ie的受信任的根证书颁发机构里)
2.安全证书的日期有效
(这个日期缺省是10年,可以在openvpn的easy-rsa目录下的openssl.cnf里调整修改,然后重新制作一整套证书(openssl.cnf看起来像拨
号网络的快捷方式,要用记事本,写字板打开修改))
3.“安全证书上的名称无效,或者与站点名称不匹配”
这就是服务器证书的common name填写不正确所致,不过这也没关系,有人好像愿意这样。我是不想看到这个警告框,烦人。
即使有安全警报,你仍能进入网站,看到右下角的小锁头(可靠的SSL128位)
- 大小: 26.5 KB
- 大小: 32.5 KB
- 大小: 51.9 KB
分享到:
相关推荐
windows下Apache配置SSL安全连接.docx
NULL 博文链接:https://rainingcn.iteye.com/blog/644853
windows下安装apache并配置ssl.docx
windows下配置Apache双向认证和反向代理(Apache+配置文档)
Apache的安装与配置 打开apache官方网站 http://archive.apache.org/dist/httpd/binaries/win32/ 或者镜像网站 http://apache.mirror.phpchina.com/httpd/binaries/win32/,下载里面的apache_2.2.20-win32-x86-no_...
基于禅道10.4的SSL配置,把其中的httpd.conf-ssl-ok文件和现有的httpd.conf比较,合并即可,其他的文件和现有的没有冲突,直接覆盖apache目录。
分别讲解windows和linux两种系统下的配置方法。有详细过程。
文件名是:apache_2.0.61-win32-x86-openssl-0.9.7m.msi 否则单独安装windows下的openssl比较麻烦,要么找到一个第三方的编译结果,要么自己编译 2. 生成服务器证书 引用 安装好在bin目录下有一个 openssl.exe文件...
wefrdsfdsgdfsgdfgdfgdfgdfgdfgdfgdfgdf
目录开发领域如何使用SSL配置功能创建的文件夹结构恢复功能可配置的Web浏览器如何配置Firefox 如何配置其他浏览器无法修改系统的“主机”文件结语 介绍随着Web朝着100%适应SSL的方向发展,我们的开发环境应该与之...
关于SSL证书的用处就不讲啦,需要部署的朋友应该已经了解过了,直接进入正题 ...把证书放到环境下 我是放在apache/cert下的 cert这个文件夹是我自己创建的 第二步修改服务器的环境配置 第一个:找到【LoadModule s
Apache+php+mysql在windows下的安装与配置图解(最新版) 一.先准备好软件: ???? 1.Apache官方下载地址: http://apache.mirror.aussiehq.net.au//httpd/binaries/win32/httpd- 2.2.17-win32-x86-no_ssl.msi 2.Php...
Windows XP SP3 专业版 Setup-Subversion-1.6.4.msi 服务器端 TortoiseSVN-1.6.3.16613-win32-svn-1.6.3.rar 客户端 apache_2.2.3-win32-x86-no_ssl.msi 步骤: 1、安装程序与下载说明 1、Apache Web服务器 :...
本包下有三个文件: php-5.4.6-Win32-VC9-x86.zip php压缩包 httpd-2.2.22-win32-x86-no_ssl.msi apache安装包 php apache 安装及环境配置说明
Apache的安装与配置 打开apache官方网站 http://archive.apache.org/dist/httpd/binaries/win32/ 或者镜像网站 http://apache.mirror.phpchina.com/httpd/binaries/win32/,下载里面的apache_2.2.11-win32-x86-no_...
主要介绍了Windows Server 2016 上配置 APACHE+SSL+PHP+perl的教程详解,需要的朋友可以参考下
1.目前官方 Nginx 并不支持Windows,您只能在包括Linux,UNIX,BSD系统下安装和使用,现在提供nginx for windows下载以及详细安装与配置,供windows下的nginx应用。 2.Nginx 本身只是一个HTTP和反向代理服务器,它无法...
个人win下安装 ssl amp 环境笔记 希望对大家有帮助呵呵
阿里云云服务器 Windows Server 2008 标准版 SP2 中文版(趁1212优惠买的一年的水货配置) 阿里云购买的域名(已备案、已解析) 服务器:phpstudy:php5.4.45+Apache(因为是phpstudy集成的,所以没找到apache的...