启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。
[url=http://digitalid.verisign.com/server/apacheNotice.htm]http://digitalid.verisign.com/server/apacheNotice.htm[/url]
# Thawte Consulting - [url=http://www.thawte.com/certs/server/request.html]http://www.thawte.com/certs/server/request.html[/url]
# CertiSign Certificadora Digital Ltda. - [url=http://www.certisign.com.br]http://www.certisign.com.br[/url]
# IKS GmbH - [url=http://www.iks-jena.de/produkte/ca]http://www.iks-jena.de/produkte/ca[/url] /
# Uptime Commerce Ltd. - [url=http://www.uptimecommerce.com]http://www.uptimecommerce.com[/url]
# BelSign NV/SA - [url=http://www.belsign.be]http://www.belsign.be[/url]
# 生成CA根证书私钥
openssl genrsa -des3 -out ca.key 1024
# 生成CA根证书
# 根据提示填写各个字段, 但注意 Common Name 最好是有效根域名(如 zeali.net ),
# 并且不能和后来服务器证书签署请求文件中填写的 Common Name 完全一样,否则会
# 导致证书生成的时候出现
# error 18 at 0 depth lookup:self signed certificate 错误
openssl req -new -x509 -days 365 -key ca.key -out ca.crt
echo "CA根证书创建完毕。"
echo "开始生成服务器证书签署文件及私钥 ..."
#
# 生成服务器私钥
openssl genrsa -des3 -out server.key 1024
# 生成服务器证书签署请求文件, Common Name 最好填写使用该证书的完整域名
# (比如: security.zeali.net )
openssl req -new -key server.key -out server.csr
ls -altrh ${sslOutputRoot}/server.*
echo "服务器证书签署文件及私钥生成完毕。"
echo "开始使用CA根证书签署服务器证书签署文件 ..."
#
# 签署服务器证书,生成server.crt文件
# 参见 [url=http://www.faqs.org/docs/securing/chap24sec195.html]http://www.faqs.org/docs/securing/chap24sec195.html[/url]
# sign.sh START
#
# Sign a SSL Certificate Request (CSR)
# Copyright (c) 1998-1999 Ralf S. Engelschall, All Rights Reserved.
#
CSR=server.csr
case $CSR in
*.csr ) CERT="`echo $CSR | sed -e 's/\.csr/.crt/'`" ;;
* ) CERT="$CSR.crt" ;;
esac
# make sure environment exists
if [ ! -d ca.db.certs ]; then
mkdir ca.db.certs
fi
if [ ! -f ca.db.serial ]; then
echo '01' >ca.db.serial
fi
if [ ! -f ca.db.index ]; then
cp /dev/null ca.db.index
fi
# create an own SSLeay config
# 如果需要修改证书的有效期限,请修改下面的 default_days 参数.
# 当前设置为10年.
cat >ca.config <<EOT
[ ca ]
default_ca = CA_own
[ CA_own ]
dir = .
certs = ./certs
new_certs_dir = ./ca.db.certs
database = ./ca.db.index
serial = ./ca.db.serial
RANDFILE = ./ca.db.rand
certificate = ./ca.crt
private_key = ./ca.key
default_days = 3650
default_crl_days = 30
default_md = md5
preserve = no
policy = policy_anything
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
EOT
# sign the certificate
echo "CA signing: $CSR -> $CERT:"
openssl ca -config ca.config -out $CERT -infiles $CSR
echo "CA verifying: $CERT <-> CA cert"
openssl verify -CAfile ./certs/ca.crt $CERT
# cleanup after SSLeay
rm -f ca.config
rm -f ca.db.serial.old
rm -f ca.db.index.old
# sign.sh END
echo "使用CA根证书签署服务器证书签署文件完毕。"
# 使用了 ssl 之后,每次启动 apache 都要求输入 server.key 的口令,
# 你可以通过下面的方法去掉口令输入(如果不希望去掉请注释以下几行代码):
echo "去除 apache 启动时必须手工输入密钥密码的限制:"
cp -f server.key server.key.org
openssl rsa -in server.key.org -out server.key
echo "去除完毕。"
# 修改 server.key 的权限,保证密钥安全
chmod 400 server.key
echo "Now u can configure apache ssl with following:"
echo -e "\tSSLCertificateFile ${sslOutputRoot}/server.crt"
echo -e "\tSSLCertificateKeyFile ${sslOutputRoot}/server.key"
# die gracefully
exit 0
机械节能产品生产企业官网模板...
大气智能家居家具装修装饰类企业通用网站模板...
礼品公司网站模板
宽屏简约大气婚纱摄影影楼模板...
蓝白WAP手机综合医院类整站源码(独立后台)...
