OpenSSL证书生成及Mac上Apache服务器配置HTTPS

96
Roy_Liang
2017.03.02 15:07* 字数 943


  • 自签名证书

  • 配置Apache服务器SSL

  • 自己作为CA签发证书


这里是OpenSSL和HTTPS的介绍
OpenSSL
HTTPS

开启HTTPS配置前提是已在Mac上搭建Apache服务器
Mac上Apache服务器搭建

先在桌面创建个SSL文件夹,用来放生成的私钥证书文件
打开终端cd到SSL文件夹
cd desktop/SSL

1. 自签名证书

(1) 在SSL文件夹中生成私钥
openssl genrsa -out server.key 2048
生成rsa私钥,2048位强度,server.key是秘钥文件名
(2) 生成自签名证书
openssl req -new -sha256 -x509 -days 365 -key server.key -out server.crt
输入信息

Common Name应该与域名保持一致(如我的电脑搭建的服务器IP地址为192.168.1.112)

2. 配置Apache服务器SSL

(1) 放入证书

server.crtserver.key两个文件拷贝
放到/etc/apache2/目录

(2) 修改配置文件
  • 编辑/etc/apache2/httpd.conf文件
    找到去掉下面前边的注释#号

    LoadModule ssl_module libexec/apache2/mod_ssl.so
    Include /private/etc/apache2/extra/httpd-vhosts.conf
    Include /private/etc/apache2/extra/httpd-ssl.conf
    LoadModule socache_shmcb_module libexec/apache2/mod_socache_shmcb.so

  • 打开/etc/apache2/extra/httpd-ssl.conf文件
    去掉以下两项注释并检查是否与之前安装私钥和证书的路径一致

    SSLCertificateFile "/private/etc/apache2/server.crt"
    SSLCertificateKeyFile "/private/etc/apache2/server.key"


  • 编辑/etc/apache2/extra/httpd-vhosts.conf文件
    在<VirtualHost *:80> .....</VirtualHost>后面添加一段如下内容:
<VirtualHost *:443>
    SSLEngine on
    SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
    SSLCertificateFile /private/etc/apache2/server.crt
    SSLCertificateKeyFile /private/etc/apache2/server.key
    ServerName 192.168.1.112 
    DocumentRoot "/Library/WebServer/Documents"
</VirtualHost>

注意ServerName填写域名与所需访问一致

(3) 重启服务器
sudo apachectl restart

访问https://192.168.1.112/
提示不安全什么的(因为自己的证书没添加到浏览器信任列表),继续访问

HTTPS访问成功

HTTPS可以用啦
此处应有掌声👏👏👏👏

3. 自己作为CA签发证书

(1) 生成CA根证书

其实就是自签名证书

先在桌面的SSL文件夹里创建个CA文件夹,用来存放放自己作为CA生成的私钥证书文件
打开终端cd到CA文件夹
cd desktop/SSL/CA

  • 私钥
openssl genrsa -des3 -out ca.key 4096

这里使用-des3进行加密,需要四位以上密码

  • 证书
openssl req -new -x509 -days 365 -key ca.key -out ca.crt

按1自签名证书流程,得到ca.key和ca.crt


(2 )创建服务器私钥
openssl genrsa -out server.key 4096
(3) 生成证书请求文件CSR
openssl req -new -key server.key -out server.csr

此时已得到如下4个文件


(4) 自己作为CA签发证书
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -days 365

然后需要输入生成ca.key时设置的密码

  • 如果遇到这个问题


    /System/Library/OpenSSL/oppenssl.cnf替换目录中的/private/etc/ssl/openssl.cnf文件

  • 接着遇到一个问题:
    I am unable to access the ./demoCA/newcerts directory ./demoCA/newcerts: No such file or directory

  • 解决方法
    没有目录创造目录也要上
    执行以下几条命令创建所需的目录及文件
mkdir -p ./demoCA/newcerts
touch demoCA/index.txt
touch demoCA/serial
echo 01 > demoCA/serial

创建好所需目录及文件


重新执行命令

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -days 365

输入ca.key密码
然后会打印出证书详细进行确认



输入两次y

得到最终生成的所有文件

所有生成文件

图示server.crt即自己作为CA签发的服务器证书


(5)测试
  • *测试1 CA生成服务器证书可用性:
    (1)前往/etc/apache2/文件夹

    (2)删除原来自签名证书两个文件
    (3)发现https://192.168.1.112/已经不能访问(能访问有可能是缓存,可以刷新或重启Apache)
    (4)将CA生成的server.key和server.crt两个文件拷贝进去
    (5)https://192.168.1.112/ 又可以访问成功(👏👏👏👏👏)
  • *测试2 CA根证书可用性:
    (1)新打开https://192.168.1.112/ ,由于自己的CA根证书未在信任列表,会有警告



    (2)双击ca.crt安装(我这里使用的是Mac电脑)
    (3)到钥匙串访问,找到安装的证书,右键点击 → 显示简介 → 设置始终信任
    (4)发现https://192.168.1.112 不再警告(👏👏👏👏👏)


~ ~ ~ ~ ~ ~ end ~ ~ ~ ~ ~ ~ by Roy
--------愿您有所收获


服务器
Web note ad 1