SSL:安全套接層,是netscape公司設(shè)計(jì)的主要用于web的安全傳輸協(xié)議,。這種協(xié)議在WEB上獲得了廣泛的應(yīng)用,。通過(guò)證書(shū)認(rèn)證來(lái)確保客戶(hù)端和網(wǎng)站服務(wù)器之間的數(shù)據(jù)是安全,過(guò)程大致如下:
SSL客戶(hù)端在TCP連接建立之后,,發(fā)出一個(gè)消息給服務(wù)器,這個(gè)消息里面包含了自己可實(shí)現(xiàn)的算法列表和其它一些需要的消息,,SSL的服務(wù)器端會(huì)回應(yīng)一個(gè)數(shù)據(jù)包,,這里面確定了這次通信所需要的算法,然后發(fā)過(guò)去自己的證書(shū)(里面包含了身份和自己的公鑰),。Client在收到這個(gè)消息后會(huì)生成一個(gè)秘密消息,,用SSL服務(wù)器的公鑰加密后傳過(guò)去,SSL服務(wù)器端用自己的私鑰解密后,,會(huì)話(huà)密鑰協(xié)商成功,,雙方可以用同一份會(huì)話(huà)密鑰來(lái)通信了。
如果對(duì)于一般的應(yīng)用,,管理員只需生成“證書(shū)請(qǐng)求”(后綴大多為.csr),,它包含你的名字和公鑰,然后把這份請(qǐng)求交給諸如verisign等有CA服務(wù)公司,,你的證書(shū)請(qǐng)求經(jīng)驗(yàn)證后,,CA用它的私鑰簽名,形成正式的證書(shū)發(fā)還給你,。管理員再在web server上導(dǎo)入這個(gè)證書(shū)就行了,。如果你不想花那筆錢(qián),或者想了解一下原理,,可以自己做CA,。從ca的角度講,,你需要CA的私鑰和公鑰,。從想要證書(shū)的服務(wù)器角度將,需要把服務(wù)器的證書(shū)請(qǐng)求交給CA.
如果你要自己做CA,,別忘了客戶(hù)端需要導(dǎo)入CA的證書(shū)(CA的證書(shū)是自簽名的,,導(dǎo)入它意味著你“信任”這個(gè)CA簽署的證書(shū))。而商業(yè)CA的一般不用,,因?yàn)樗鼈円呀?jīng)內(nèi)置在你的瀏覽器中了,。
實(shí)現(xiàn)HTTPS,經(jīng)我個(gè)人測(cè)試,,每個(gè)版本實(shí)現(xiàn)的細(xì)節(jié)都有所不同,,但個(gè)人認(rèn)為最為簡(jiǎn)單的還是apache_2.2.8-win32-x86-openssl-0.9.8g 那么我下面就以這個(gè)版本來(lái)介紹一下如何實(shí)現(xiàn)基于windows下的https.
思路:
1. 配置 apache 以支持 SSL
2. 為網(wǎng)站服務(wù)器生成私鑰及申請(qǐng)文件
3. 安裝CA 使用兩種方法
4.通過(guò)CA為網(wǎng)站服務(wù)器簽署證書(shū)
5.測(cè)試
步驟1:配置 APACHE以支持SSL
LoadModule ssl_module modules/mod_ssl.so
Include conf/extra/httpd-ssl.conf
去掉兩行前面的#
步驟2: 為網(wǎng)站服務(wù)器生成證書(shū)及私鑰文件
生成服務(wù)器的私鑰
C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl genrsa -out server.key 1024
生成一個(gè)server.key
生成簽署申請(qǐng)
C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl req -new –out server.csr -key server.key -config ..\conf\openssl.cnf
此時(shí)生成簽署文件 SERVER.CSR
步驟3:
CA方面:
應(yīng)該是一個(gè)專(zhuān)門(mén)的CA機(jī)構(gòu),我們這里就自己在同一臺(tái)機(jī)器搭建一個(gè)企業(yè)內(nèi)部CA,。
這里可以直接使用商業(yè)CA,,但要交納一定的費(fèi)用,我們來(lái)自己動(dòng)手搭建一個(gè)企業(yè)內(nèi)部CA,。
我們這里介紹兩種方法,,一種是使用OPENSSL 另一種是使用WNDOWS系統(tǒng)自帶的 CA服務(wù),。
我們先看第一種方法,使用OPENSSL
生成CA私鑰
C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl genrsa -out ca.key 1024
多出CA.key文件
利用CA的私鑰產(chǎn)生CA的自簽署證書(shū)
C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl req -new -x509 -days 365 -key ca.key -out ca.crt -config ..\conf\openssl.cnf
此時(shí)生成了一個(gè)自己的證書(shū)文件,,CA就可以工作了,,等著生意上門(mén)了。
下面準(zhǔn)備為網(wǎng)站服務(wù)器簽署證書(shū)
C:\Program Files\Apache Software Foundation\Apache2.2\bin>openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config ..\conf\openssl.cnf
但,,此時(shí)會(huì)報(bào)錯(cuò):
所以我們需要先創(chuàng)建以下文件結(jié)構(gòu)用于存放相應(yīng)文件:
再執(zhí)行一遍,,即可生成 server.crt文件
然后將 server.crt server.key復(fù)制到 conf文件夾下
重新啟動(dòng) APACHE即可!
但要在IE中導(dǎo)入CA的證書(shū),,否則會(huì)報(bào)告證書(shū)不可信任,!
實(shí)驗(yàn)終于OK!,!
當(dāng)然也可以使用WINDOWS的證書(shū)服務(wù)來(lái)為網(wǎng)站服務(wù)器簽署證書(shū):下面我們就來(lái)看一看:
安裝成功后會(huì)在默認(rèn)站點(diǎn)下生成certsr慮擬目錄
下面我們開(kāi)始簽署過(guò)程
先停止APACHE,,因?yàn)?/span>80口在占用。開(kāi)啟IIS的默認(rèn)網(wǎng)站
然后選擇高級(jí)證書(shū)申請(qǐng)
然后開(kāi)始頒發(fā)即可:
然后再將 server.key也復(fù)制到 conf文件夾下,。
重新啟動(dòng) APACHE,,即可!
步驟4: 重新啟動(dòng) APACHE即可,!
到此,實(shí)驗(yàn)終于結(jié)束了.兩天的時(shí)間,終于可以放松一下了!!!!!!!
本文出自 “杜飛” 博客,,請(qǐng)務(wù)必保留此出處http://dufei.blog.51cto.com/382644/90532
