Apache和Nginx的SSL证书的生成及配置

WEB服务器

Apache和Nginx的SSL证书的生成及配置

1.生成私钥文件：

openssl genrsa -des3 -out server.key 1024

这种方式，会要求你Enter PEM pass，需要输入私钥加密密码，在apache中配置了SSL后启动443时，会要求输入这个密码的, 不过，你可以这样把密码给去掉:

openssl rsa -in server.key -out my-server.key

然后把2个key文件给mv一下

或者，可以把上2个步骤合为一个：

openssl genrsa -out server.key 1024

这样生成的私钥文件，是不包含密码的

2.生成CSR请求文件：

openssl req -new -key server.key -out server.csr

   根据提示填入DN信息，即可在该目录下产生server.csr (证书请求)和server.key
   •  Country Name：您所在国家的ISO标准代号，中国为CN
   •  State or Province Name：您单位所在地省/自治区/直辖市
  •  Locality Name：您单位所在地的市/县/区
  •  Organization Name：是您单位/机构/企业合法的名称
  •  Organizational Unit Name：部门名称
  •  Common Name：为证书的通用名，这里应是您主机的全称，例如：www.itrus.com.cn。这个名称必须与通过浏览器访问您网站的URL完全相同。这一点十分重要，否则您的用户会发现您服务器证书的通用名与站点的名字不匹配，用户就会怀疑您的证书的真实性
  •  Email Address：地址是您单位的邮件地址
  •  "extra"attributes可以不必输入

3.把CSR文件提交到对应的根证书CA那里（如：verisign），请求证书CRT文件，保存为server.crt。

4.如果您申请的是全球服务器证书（如：verisign），需要安装中间级证书，以构成一个证书链，使浏览器信任您的证书。
  如果不是，则可以跳过这一步。

  对于verisign，在如下页面获得中间证书：
  http://www.verisign.com/support/verisign-intermediate-ca/secure-site-intermediate/index.html
   将中间级证书存成intermediate.crt。

5.配置Apache或nginx：
  Apache的配置：

vi extra/httpd-ssl.conf：

<VirtualHost _default_:443> 
 ServerName test.sohu.com:443  
 
 SSLCertificateFile "/usr/local/apache2/conf/server.crt"  
 SSLCertificateKeyFile "/usr/local/apache2/conf/server.key"  
 SSLCACertificateFile "/usr/local/apache2/conf/intermediate.crt"  
 ....  
 </VirtualHost>

Nginx的配置：

server {
        listen       443;
        server_name  test.sohu.com;

        ssl                  on;
        ssl_certificate      server.crt;
        ssl_certificate_key  server.key;
        ssl_session_timeout  5m;
        ssl_protocols  SSLv2 SSLv3 TLSv1;
        ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
        ssl_prefer_server_ciphers   on;
        ....
}

以上是新申请ssl证书的步骤
对于证书快过期了，更新证书的情况，只需要替换对应的server.crt文件即可

此文章由 flyinweb 于 2010-08-25 11:36:23 编辑

本日志由 flyinweb 于 2010-08-25 11:19:19 发表，目前已经被浏览 4256 次，评论 0 次；

作者添加了以下标签： SSL certificates；

引用通告：http://www.517sou.net/Article/512/Trackback.ashx

评论订阅：http://www.517sou.net/Article/512/Feeds.ashx

Creating Certificate Authorities and self-signed SSL certificates2012-01-07 16:35:20
SSL certificates support2010-08-25 10:47:20

评论列表

暂时没有评论

昵称(必填)

邮件(必填，不会被公开)

网站(应该以 http:// 开头)

2012 - 05

文章分类

友情链接

站点统计

文章数：765
评论数：22
标签数：970
附件数：2932
访问数：3969120

flyinweb's blog

桃李无言，下自成蹊

相关文章

评论列表

文章分类

最新评论

推荐文章

最新文章

友情链接

站点统计