怎样在Apache上安装MOD_SSL

怎样在apache上安装mod_ssl
2001-02-05 12:25

发布者：netbull

linuxbyte注:本站有mod_ssl下载

作者：sustomer

我也看过其它的文章介绍这个，不过说的很不清楚。
看着他们的文章安装mod_ssl磕磕碰碰地装好了ssl。
这里我就介绍一下我的经验。

因为怎样安装apache,php等软件，介绍的文章已经很多了，
所以我把重点放在了ssl的安装上。

首先要下载所需的软件包：
apache 1.3.17 这是什么我就不多说了
http://www.tux.org/pub/net/apache/dist/apache_1.3.17.tar.gz

php 4.0.4pl1 可选的，我只是要演示一下ssl和其他软件在一起的情况
http://www.php.net/do_download.php?download_file=php-4.0.4pl1.tar.gz&source_site=www.php.net

openssl 0.9.6 要用他来生成密钥和签署证书
http://www.openssl.org/source/openssl-0.9.6.tar.gz

mod_ssl 2.8.0 本文的重点
http://www.modssl.org/source/mod_ssl-2.8.0-1.3.17.tar.gz

所有这些都是open software。

我的系统是redhat 6.2，所以我用 tar zxvf file.tar.gz 的方法
把它们解压缩到 /usr/local/src 。

首先编译 php ：
# cd /usr/local/src/apache_1.3.17
# ./configure --prefix=/usr/local/apache
# cd ../php-4.0.4pl1
# ./configure --with-apache=/usr/local/src/apache_1.3.17 \
--enable-safe-mode --enable-bcmath --enable-ftp \
--with-gd --with-zlib --enable-trans-sid \
--enable-calendar --enable-dbase --enable-exif \
--with-mysql=/usr/local/mysql
# make
# make install
# cp php.ini-dist /usr/local/lib/php.ini
# vi /usr/local/lib/php.ini
编辑 php.ini，可以在里面加入一些配置信息（比如zendoptimizer）

再编译 openssl：
# cd ../openssl-0.9.6
# ./config --prefix=/usr/local/openssl
注意，这里是 config 而不是 configure。
# make
# make test
# make install

下面是 mod_ssl
# cd ../mod_ssl-2.8.0-1.3.17
# ./configure --with-apache=../apache_1.3.17

好了，可以开始编译apache了（奇怪，mod_ssl怎么不要编译?）
# cd ../apache_1.3.17
# ssl_base=../openssl-0.9.6 \
./configure --prefix=/usr/local/apache \
--enable-module=ssl \
--activate-module=src/modules/php4/libphp4.a \
--enable-module=php4 \
--enable-shared=ssl
# make

下一步很重要，看清楚了！
# make certificate type=custom
这一步要生成你自己的 ca （如果你不知道，我也不能细说了，简单地
说就是认证中心），和用它来为你的服务器签署证书。
有很多东西要输入。

step 0:
选择算法，使用缺省的 rsa
step 1:
生成 ca.key，ca的私人密钥
step 2:
为ca生成x.509的认证请求 ca.csr
要输入一些信息：
country name: cn 国家代码，两个字母
state or provice name: an hui 省份
locality name: bengbu 城市名
organization name: home ca 组织名，随便写吧
organization unit name: mine ca
common name: mine ca
email address: sunstorm@263.net 我的email
certificate validity: 4096 四千多天，够了吧

step 3:
生成ca的签名，ca.crt
step 4:
生成服务器的私人密钥，server.key
step 5:
生成服务器的认证请求，server.csr
要输入一些信息，和step 2类似，
不过注意 common name是你的网站域名，如 www.mydomain.com
certificate validity不要太大，365就可以了。
step 6:
为你的服务器签名，得到server.crt
step 7-8
为你的 ca.key 和 server.key 加密，要记住pass phrase。

下面完成apache的安装
# make install
# vi /usr/local/apache/conf/httpd.conf
修改bindaddress 和 servername
加入关于php4的行

如果要改变 documentroot 要记得把httpd.conf里ssl virtual host context部分
的documentroot设定也改掉。

sslcertificatefile和sslcertificatkeyfile的设定也在
ssl virtual host context部分。
它可能是这样设定的：
sslcertificatefile /usr/local/apache/conf/ssl.crt/server.crt
sslcertificatekeyfile /usr/local/apache/conf/ssl.key/server.key

要注意ssl.key ssl.crt等目录和文件的权限！
所有的key,csr,crt,prm文件都应该设为 400 属性！

最后测试：
# cd /usr/local/apache
# bin/apachectl startssl
提示输入pass phrase（就是你前面输入的，不知道你还记不记得）
输入后就启动了一个支持ssl的apache

在netscape里输入https://localhost/ 试试，
注意是https而不是http！
netscape会有一些提示，不管他一个劲地next好了！
然后你应该可以看到页面，而且窗口左下角的锁是锁上的。

来源：奥索网