Windows 7下Apache 整合SSL環境介紹：Windows 7專業版 Apache 2.2.17Apache 為安裝版，下載地址：通常情況下服務器只需要生成一個證書簽名請求，即一個CSR

Windows 7下Apache 整合SSL

環境介紹：

Windows 7專業版 Apache 2.2.17

Apache 為安裝版，下載地址：

通常情況下服務器只需要生成一個證書簽名請求，即一個CSR 格式的文件，和一個公鑰文件。然后把這個證書簽名請求發送給CA 認證機構，通過CA 機構用其私鑰加密簽名后生成證書，返還給服務器。CA 認證機構從中會收取一定的服務費用，為了方便測試，我會模擬一個CA 認證。

步驟一：配置Apache 支持SSL

用記事本打開httpd.conf 文件，找到“LoadModule ssl_module modules/mod_ssl.so”“Include conf/extra/httpd-ssl.conf”，去掉前面的“#”。

步驟二： 為網站服務器生成密鑰

打開MSDOS ，進入D:Apache2.2bin，輸入“openssl genrsa -out server.key 1024”，此命令會生成網站服務器公鑰文件server.key 。

步驟三：為網站服務器生成證書簽名請求

輸入“openssl req -new –out server.csr -key server.key -config ..confopenssl.cnf”，回車之后會有一些輸入項，解釋輸入如下：

Country Name：國家代碼，輸入“CN ”；

State or Province Name：省市名城，輸入“BeiJing ”；

Locality Name：城市名稱，輸入“BeiJing ”；

Organization Name：組織、公司名稱，輸入“xxr ”；

Organizational Unit Name：部門名稱，輸入“xxrit ”；

Common Name：您要申請域名證書的域名，如果您需要為www.domain.cn 申請域名證書就不能只輸入domain.cn 。域名證書是嚴格綁定域名的。 如果輸入IP ，那訪問是就在地址輸入IP ，否則會出現安全證書提示信息，輸入“xiangxiaren.net ”；

A challenge password：不需要輸入。

依次填寫完畢，回車證書請求sever.csr 生成完畢。

步驟四：生成CA 認證機構私鑰

輸入“openssl genrsa -out ca.key 1024”，回車生成CA 私鑰文件ca.key 。 步驟五：生成CA 認證機構證書

輸入“openssl req -new -x509 -days 365 -key ca.key -out ca.crt

-config ..confopenssl.cnf”，回車之后會有一些輸入項，解釋輸入如下：

Country Name：輸入“CN ”；

State or Province Name：輸入“BeiJing ”；

Locality Name：輸入“BeiJing ”；

Organization Name：輸入“xxrca ”；

Organizational Unit Name：輸入“xxrcait ”；

Common Name：輸入“XXR ”；

回車之后生成CA 證書ca.crt 。

步驟六：用CA 證書和私鑰給網站服務器證書簽名請求簽名

在D:Apache2.2bin文件下面創建demoCA 文件夾，并在demoCA 文件夾里面創建newcerts 文件夾、index.txt 文件、serial 文件，serial 文件內容為“01”。

輸入“openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

-config ..confopenssl.cnf”，回車之后會在bin 目錄下面看到多了一個server.crt 文件，這就是簽名以后的服務器證書。

步驟七：測試

把server.crt 、server.key 兩個文件復制到conf 文件夾下面，找到hosts 系統文件，把xiangxiaren.net 映射到127.0.0.1，然后打開瀏覽器把ca 的證書（ca.crt ）導入瀏覽器，輸入https://xiangxiaren.net

延伸閱讀

SSL (Secure Socket Layer)

為Netscape 所研發，用以保障在Internet 上數據傳輸之安全，利用數據加密(Encryption)技術，可確保數據在網絡上之傳輸過程中不會被截取及竊聽。目前一般通用之規格為40 bit

之安全標準，美國則已推出128 bit之更高安全標準，但限制出境。只要3.0版本以上之I.E. 或Netscape 瀏覽器即可支持SSL 。

當前版本為3.0。它已被廣泛地用于Web 瀏覽器與服務器之間的身份認證和加密數據傳輸。

SSL 協議位于TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。SSL 協議可分為兩層： SSL 記錄協議（SSL Record Protocol）：它建立在可靠的傳輸協議（如TCP ）之上，為高層協議提供數據封裝、壓縮、加密等基本功能的支持。 SSL 握手協議（SSL Handshake Protocol）：它建立在SSL 記錄協議之上，用于在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。

SSL 協議提供的服務主要有：

1）認證用戶和服務器，確保數據發送到正確的客戶機和服務器；

2）加密數據以防止數據中途被竊取；

3）維護數據的完整性，確保數據在傳輸過程中不被改變。

SSL 協議的工作流程：

服務器認證階段：1）客戶端向服務器發送一個開始信息“Hello”以便開始一個新的會話連接；2）服務器根據客戶的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息；3）客戶根據收到的服務器響應信息，產生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器；4）服務器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。

用戶認證階段：在此之前，服務器已經通過了客戶認證，這一階段主要完成對客戶的認證。經認證的服務器發送一個提問給客戶，客戶則返回（數字）簽名后的提問和其公開密鑰，從而向服務器提供認證。

從SSL 協議所提供的服務及其工作流程可以看出，SSL 協議運行的基礎是商家對消費者信息保密的承諾，這就有利于商家而不利于消費者。在電子商務初級階段，由于運作電子商務的企業大多是信譽較高的大公司，因此這問題還沒有充分暴露出來。但隨著電子商務的發展，各中小型公司也參與進來，這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中通過數字簽名和數字證書可實現瀏覽器和Web 服務器雙方的身份驗證，但是SSL 協議仍存在一些問題，比如，只能提供交易中客戶與服務器間的雙方認證，在涉及多方的電子交易中，SSL 協議并不能協調各方間的安全傳輸和信任關系。在這種情況下，Visa 和 MasterCard 兩大信用卡公組織制定了SET 協議，為網上信用卡支付提供了全球性的標準。

HTTPS （Secure Hypertext Transfer Protocol）安全超文本傳輸協議

它是由Netscape 開發并內置于其瀏覽器中，用于對數據進行壓縮和解壓操作，并返回網絡上傳送回的結果。HTTPS 實際上應用了Netscape 的完全套接字層（SSL ）作為HTTP 應用層的子層。（HTTPS 使用端口443，而不是象HTTP 那樣使用端口80來和TCP/IP進行通信。）SSL 使用40 位關鍵字作為RC4流加密算法，這對于商業信息的加密是合適的。HTTPS 和SSL 支持使用X.509數字認證，如果需要的話用戶可以確認發送者是誰。。

它是一個URI scheme(抽象標識符體系) ，句法類同http:體系。用于安全的HTTP 數據傳輸。https:URL表明它使用了HTTP ，但HTTPS 存在不同于HTTP 的默認端口及一個加密/身份驗證層（在HTTP 與TCP 之間）。這個系統的最初研發由網景公司進行，提供了身份驗證與加密通訊方法，現在它被廣泛用于萬維網上安全敏感的通訊，例如交易支付方面。