CentOS服务器下安装配置SSL

https是一个安全的访问方式，数据在传输过程中是加密的，https基于SSL。

@H_618_16@ 一、安装apache和ssl模块

@H_618_16@ 1、安装apache

@H_618_16@ #yum install httpd

@H_618_16@ 2、安装ssl模块

@H_618_16@ #yum install mod_ssl

@H_618_16@ 重启apache：

@H_618_16@ #service httpd restart

@H_618_16@ 安装完mod_ssl会创建一个默认的SSL证书，路径位于/etc/pki/tls，此时可以立即通过https访问服务器了：

@H_618_16@ https://Ｘ.Ｘ.Ｘ.Ｘ/

@H_618_16@ 如果不使用默认的证书，也可以使用openssl手动创建证书。

@H_618_16@ 二、使用openssl手动创建证书
1、安装openssl

@H_618_16@ #yum install openssl

@H_618_16@ 2、生成服务器私钥

@H_618_16@ #cd /etc/pki/tls
#openssl genrsa -out server.key 1024

@H_618_16@ 注意：server.key是私钥。

@H_618_16@ 3、用私钥server.key@L_262_5@生成证书请求@L_262_5@csr

@H_618_16@ #openssl req -new -key server.key -out server.csr

@H_618_16@ 注：server.csr是证书请求@L_262_5@。

@H_618_16@ 此步骤需要输入一些证书信息：
Country Name (2 letter codE) [XX]:CN
State or province Name (full Name) []:shanghai
Locality Name (eg,city) [Default City]:shanghai
Organization Name (eg,company) [Default Company Ltd]:ccc
Organizational Unit Name (eg,section) []:bbb
Common Name (eg,your name or your server's hostName) []:www.test.com
Email Address []:a@a.com

@H_618_16@ 输入国家、省份、城市、公司、部门、姓名或服务器名、电子邮箱，随后会要求输入一个chALLENgepassword（密码），无需输入，后面一律直接回车即可。

@H_618_16@ 4、生成数字签名crt@L_262_5@（证书@L_262_5@）

@H_618_16@ #openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

@H_618_16@ 用私钥签名证书请求@L_262_5@，证书的申请机构和颁发机构都是自己。

@H_618_16@ 5、编辑apache的ssl配置文件

@H_618_16@ vim/etc/httpd/conf.d/ssl.conf

@H_618_16@ /etc/httpd/conf.d/ssl.conf@L_262_5@配置具体如下：

@H_618_16@ <VirtualHost _default_:443>

@H_618_16@ DocumentRoot "/var/www/https" //设置网页存放目录

@H_618_16@ ServerName *:443 //服务器的端口

@H_618_16@ DirectoryIndex index.html index.html.var //首页名称

@H_618_16@ SSLENGIne on

@H_618_16@ SSLCertificateFile /etc/pki/tls/server.crt //证书

@H_618_16@ SSLCertificateKeyFile /etc/pki/tls/server.key //私钥

@H_618_16@ </VirtualHost>
6、重启apache
#servicehttpd restart
访问https://ip/，就能看到证书信息了。

@H_618_16@ 由于不是第三方根证书颁发机构颁发的证书，而是自己颁发的证书，所以浏览器会提示安全证书不受信任。

@H_618_16@ !!!注意：首页index.html 的@L_262_5@权限为755，否则将会出现如上提示：

@H_618_16@ Forbidden

@H_618_16@ Youdon't have permission to access /main.html on this server.

@H_618_16@ 解决方法：修改首页index.html读写权限。

@H_618_16@ #Chmod755 index.html

@H_618_16@ 关于openssl指令的补充说明：

@H_618_16@ #openssl [操作] -out filename [bits]

@H_618_16@ 参数说明：

@H_618_16@ [操作] 主要的操作有如下两个：

@H_618_16@ genrsa，建立RSA加密的Public key

@H_618_16@ req，建立凭证要求@L_262_5@或者是凭证@L_262_5@

@H_618_16@ -out ，后面加上输出的@L_262_5@名，就是那把key name

@H_618_16@ bits，用在genrsa加密的公钥的长度

@H_618_16@ -x509，X.509，CertificateData Management. 一种验证的管理方式

@H_618_16@ 例：建立一支长度为1024bits的Public Key，注意@L_262_5@名。

@H_618_16@ #openssl genrsa -out Server.key 1024

@H_618_16@ 生成证书请求命令：

@H_618_16@ #Openssl req -new -key file.key -out file.csr -config /path/to/openssl.cnf

@H_618_16@ -config：指定openssl的配置文件路径，不指定时，默认会访问Unix格式的默认路径：/usr/local/ssl/openssl.cnf。

@H_618_16@ 例：#openssl req -new -key server.key -outserver.csr