自签名证书
配置Apache服务器SSL
自己作为CA签发证书
这里是OpenSSL和HTTPS的介绍
OpenSSL
HTTPS
开启HTTPS配置前提是已在Mac上搭建Apache服务器
→Mac上Apache服务器搭建
先在桌面创建个SSL文件夹,用来放生成的私钥证书文件
打开终端cd到SSL文件夹
cd desktop/SSL
1. 自签名证书
(1) 在SSL文件夹中生成私钥
openssl genrsa -out server.key 2048
(2) 生成自签名证书
openssl req -new -sha256 -x509 -days 365 -key server.key -out server.crt
Common Name应该与域名保持一致(如我的电脑搭建的服务器IP地址为192.168.1.112)
2. 配置Apache服务器SSL
(1) 放入证书
将server.crt和server.key两个文件拷贝
放到/etc/apache2/目录
(2) 修改配置文件
-
编辑
/etc/apache2/httpd.conf文件
找到去掉下面前边的注释#号LoadModule ssl_module libexec/apache2/mod_ssl.so
Include /private/etc/apache2/extra/httpd-vhosts.conf
Include /private/etc/apache2/extra/httpd-ssl.conf
LoadModule socache_shmcb_module libexec/apache2/mod_socache_shmcb.so -
打开
/etc/apache2/extra/httpd-ssl.conf文件
去掉以下两项注释并检查是否与之前安装私钥和证书的路径一致SSLCertificateFile "/private/etc/apache2/server.crt"
SSLCertificateKeyFile "/private/etc/apache2/server.key"
- 编辑/etc/apache2/extra/httpd-vhosts.conf文件
在<VirtualHost *:80> .....</VirtualHost>后面添加一段如下内容:
<VirtualHost *:443>
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /private/etc/apache2/server.crt
SSLCertificateKeyFile /private/etc/apache2/server.key
ServerName 192.168.1.112
DocumentRoot "/Library/WebServer/Documents"
</VirtualHost>
注意ServerName填写域名与所需访问一致
(3) 重启服务器
sudo apachectl restart
访问https://192.168.1.112/
提示不安全什么的(因为自己的证书没添加到浏览器信任列表),继续访问
HTTPS可以用啦
此处应有掌声👏👏👏👏
3. 自己作为CA签发证书
(1) 生成CA根证书
其实就是自签名证书
先在桌面的SSL文件夹里创建个CA文件夹,用来存放放自己作为CA生成的私钥证书文件
打开终端cd到CA文件夹
cd desktop/SSL/CA
- 私钥
openssl genrsa -des3 -out ca.key 4096
这里使用-des3进行加密,需要四位以上密码
- 证书
openssl req -new -x509 -days 365 -key ca.key -out ca.crt
按1自签名证书流程,得到ca.key和ca.crt
(2 )创建服务器私钥
openssl genrsa -out server.key 4096
(3) 生成证书请求文件CSR
openssl req -new -key server.key -out server.csr
此时已得到如下4个文件
(4) 自己作为CA签发证书
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -days 365
然后需要输入生成ca.key时设置的密码
-
如果遇到这个问题
用/System/Library/OpenSSL/openssl.cnf替换目录中的/private/etc/ssl/openssl.cnf文件
接着遇到一个问题:
I am unable to access the ./demoCA/newcerts directory ./demoCA/newcerts: No such file or directory
- 解决方法
没有目录创造目录也要上
执行以下几条命令创建所需的目录及文件
mkdir -p ./demoCA/newcerts
touch demoCA/index.txt
touch demoCA/serial
echo 01 > demoCA/serial
创建好所需目录及文件
重新执行命令
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -days 365
输入ca.key密码
然后会打印出证书详细进行确认
输入两次y
得到最终生成的所有文件
图示server.crt即自己作为CA签发的服务器证书
(5)测试
- *测试1 CA生成服务器证书可用性:
(1)前往/etc/apache2/文件夹
(2)删除原来自签名证书两个文件
(3)发现https://192.168.1.112/已经不能访问(能访问有可能是缓存,可以刷新或重启Apache)
(4)将CA生成的server.key和server.crt两个文件拷贝进去
(5)https://192.168.1.112/ 又可以访问成功(👏👏👏👏👏)
-
*测试2 CA根证书可用性:
(1)新打开https://192.168.1.112/ ,由于自己的CA根证书未在信任列表,会有警告
(2)双击ca.crt安装(我这里使用的是Mac电脑)
(3)到钥匙串访问,找到安装的证书,右键点击 → 显示简介 → 设置始终信任
(4)发现https://192.168.1.112 不再警告(👏👏👏👏👏)
~ ~ ~ ~ ~ ~ end ~ ~ ~ ~ ~ ~ by Roy
--------愿您有所收获
