Apache SSL证书安装配置方法教程
简介在申请数字证书之前,您必须生成证书私钥和证书请求文件(CSR、CertificateSigningrequest)。CSR是您公钥证书的原始文件,包括您的服务器信息和单位信息,需要提交给CA认证中心。请妥善保管和备份您的私钥。以上是证书申请流程图。整个过程最早完成三天,慢到七天,因为发证人需要审核申请人提交的信息。提交CSR的第一步。第二步提交给CA。第三步是向管理员邮箱发送验证邮件。CA获取信息后,将向管理员邮箱发送确认信*,其中包含链接。每个订单都有一个唯一的PIN进行验证。第四步是邮件验证。点击确认信中的链接访问验证网站。在验证网站上,您可以看到订单的申请信息,然后点击。“IApprove”完成邮件验证。第五步是颁发证书。CA将通过邮件向申请人发送证书。*什么是管理员邮箱?为了确认您有权管理SSL服务器域名,认证系统将向指定的管理员邮箱发送电子邮件。例如,您准备申请的SSL证书服务器域名为:host.domain.com在提交申请时,可供选择的管理员邮箱如下:admin@domain.com。admin@host.domain.com。administrator@domain.com。administrator@host.domain.com。hostmaster@domain.com。hostmaster@host.domain.com。root@domain.com。root@host.domain.com。webmaster@domain.com。webmaster@host.domain.com。postmaster@yourdomain.com。postmaster@host.yourdomain.com。SSL证书是一种类似于驾照、护照和营业执照的数字证书的电子副本。因为它配置在服务器上,也被称为SSL服务器证书。SSL证书是在验证服务器身份后,遵守SSL协议并颁发的,具有服务器身份验证和数据传输加密功能。本指南将分为五个主题:生成证书请求文件(CSR)安装服务器证书。设置OCSP装订。优化加密方式(weakcipher)设置http跳转到https。第一步:证书签名要求(CSR)说明。安装openssl(加密工具)#yuminstalmod_sslopenssl。生成证书私钥和证书请求文件(CSR)从电子邮件地址开始,不需要以下信息。请保留为空,直接返回汽车。在完成上述交互信息输入后,将在当前目录下生成两个文件:公钥和csr(私钥)。请妥善保存这两个文件,请不要泄露私钥文件详细介绍命令:字段说明示例countryName。ISO国家代码(两个字符)CNStateorProvinceName。所在省份Guangdong。LocalityName。城市。请勿使用缩写,例如:SaintLouis,而不是St.Louis。Shenzhen。Organizationnname。公司名称。如果您的公司或部门名称中有&.@或其他使用shift键的符号,请拼写此符号或在注册时省略此字元。例如,XY&ZCorporation将是XYZCorporation或XYandZCorporation。ABCecomerceLimited。OrganizationalUnitName。部门名称ITDept.Commonname。申请证书的域名。ww.abc.com。EmailAddress。不需要输入Achallengepassword。不需要输入若CSR需要中文,请指令添加utf8参数。验证您的证书签名要求。https://cryptoreport.websecurity.symantec.com/checker/views/csrcheck.jsp。请确保Signaturealgorithm:SHA256。向商服提交CSR。请保管好key私钥文件,提交CSR给客服等待证书签发。第二步:安装服务器证书。审核完毕后,您将收到证书:服务器证书服务器中级CA证书。2.1.配置Apache。打开apache安装目录下/etc/httpd/conf/httpd.conf文件,找到。#LoadModulesl_modulemodules/mod_ssl.so。删除行首的配置句注释符号#保存退出。打开apache安装目录,查看conf目录中的ssl.conf文件,查看LoadModulessl_module如下:#LoadModulesl_modulemodules/mod_ssl.so。删除行首的配置语句注释符号#,添加Include/etc/httpd/conf.d/ssl.conf。LoadModulesslmodulemodules/mod_ssl.so。Include/etc/httpd/conf/ssl.conf。2.2.打开apache安装目录下/etc/httpd/conf/ssl.conf文件。SSLCertificateFile/etc/pki/tls/certs/server.crt将服务器证书配置到该路径下。SSLCertificatekeyFile/etc/pki/tls/certs/domain.com.key将服务器证书私钥配置到该路径下。SSLCertificatechainFileconf/ca.crt删除行首的#号注释符,并将CA证书ca.crt。在此路径下,保存退出。例子2.3.重启Apache。重启方式:输入Apache安装目录下的bin目录,运行如下命令。/apachectl-kstop。/apachectl-kstart。附录:如何识别中级证书。每个证书都显示发行人,如下:以上例子包括Symanteclass3EVSLCA-G3、GeoTrustSLCA-G3、RapidSLSHA256-CA。这是每个证书对应的中级证书。所谓证书安全链,就是将密钥、域名证书、中级证书串联起来,保证加密数据的安全。步骤3:设置OCSP装订。OCSP装订(英语:OCSPStapling)是TLS证书状态查询的扩展,作为在线证书状态协议的替代方式查询X.509证书状态。服务器在TLS握手时发送缓存的OCSP响应,用户只需要验证响应的有效性,而不需要向数字证书认证机构(CA)发送请求。Apache2.3.3版本或以上的OCSP装订需求。检测Apache版本。#apache2-v。3.1设定在设定文件下添加两行指令:SSLUSEStaplingon。SSLStaplingCacheshmcb:/var/run/ocsp(128000)第二行SSLStaplingCache指定快速提取的装置路径和记忆大小。注意:如果Apache安装在微软,第二行指令设置为“shmcb:C:/xampp/apache/logs/ocsp(128000)”上述二行指令必须在…挂号之外,避免Apache缺失。
转载于天翼云知识,如有侵权,请联系删除,谢谢