㈠ 如何通過SSL證書開啟伺服器443埠。
1.配置SSL證書,確定證書是正規渠道獲取的情況下。
2.443埠在伺服器中配置,根據不同的服務環境來的。
3.要注意的是443埠與80埠一樣,防火牆要設置允許443。
㈡ 如何將SSL VPN Mangement Service Program服務啟動並設置為自動啟動
在菜單的運行里輸入services.msc,然後找到 SSL VPN Mangement Service Program項目,右鍵屬性把該成自動啟動就可以了
㈢ 怎麼開啟HTTPS服務
網站想要開啟https服務,就必須安裝一個ssl證書。申請流程如下:
第一步,生成並提交CSR(證書簽署請求)文件
CSR文件一般都可以通過在線生成(或伺服器上生成),申請人在製作的同時系統會產生兩個秘鑰,公鑰CSR和密鑰KEY。選擇了SSL證書申請之後,提交訂單並將製作生成的CSR文件一起提交到證書所在的CA頒發機構。
第二步,CA機構進行驗證
CA機構對提交的SSL證書申請有兩種驗證方式:
第一種是域名認證。系統自動會發送驗證郵件到域名的管理員郵箱(這個郵箱是通過WHOIS信息查詢到的域名聯系人郵箱)。管理員在收到郵件之後,確認無誤後點擊我確認完成郵件驗證。所有型號的SSL證書都必須進行域名認證。
第二種是企業相關信息認證。對於SSL證書申請的是OV SSL證書或者EV SSL證書的企業來說,除了域名認證,還得進行人工核實企業相關資料和信息,確保企業的真實性。
第三步,CA機構頒發證書
由於SSL證書申請的型號不同,所驗證的材料和方式有些區別,所以頒發時間也是不同的。
如果申請的是DV SSL證書最快10分鍾左右就能頒發。如果申請的是OV SSL證書或者EV SSL證書,一般3-7個工作日就能頒發。
完成以上SSL證書申請步驟收到CA的證書之後,就可以將證書部署到伺服器上了
㈣ 如何在Web伺服器上設置SSL
採用SSL實現加密傳輸(1) 在默認情況下,IIS使用HTTP協議以明文形式傳輸數據,Web Service就是使用HTTP協議進行數據傳輸的。Web Service傳輸的數據是XML格式的明文。沒有採取任何加密措施,用戶的重要數據很容易被竊取,如何才能保護網路中傳遞的這些重要數據呢? SSL(Security Socket Layer)的中文全稱是加密套接字協議層,它位於HTTP協議層和TCP協議層之間,用於建立用戶與伺服器之間的加密通信,確保所傳遞信息的安全性,同時SSL安全機制是依靠數字證書來實現的。 SSL基於公用密鑰和私人密鑰,用戶使用公用密鑰來加密數據,但解密數據必須使用相應的私人密鑰。使用SSL安全機制的通信過程如下:用戶與IIS伺服器建立連接後,伺服器會把數字證書與公用密鑰發送給用戶,用戶端生成會話密鑰,並用公共密鑰對會話密鑰進行加密,然後傳遞給伺服器,伺服器端用私人密鑰進行解密,這樣,用戶端和伺服器端就建立了一條安全通道,只有SSL允許的用戶才能與IIS伺服器進行通信。 注意SSL網站不同於一般的Web站點,它使用的是"HTTPS"協議,而不是普通的"HTTP"協議。因此它的URL(統一資源定位器)格式為"https://網站域名"。 下面講解如何使用SSL來增強IIS伺服器和Web Service的通信安全。 實現步驟如下。 1.為伺服器安裝證書服務 要想使用SSL安全機制功能,首先必須為Windows Server 2003系統安裝證書服務。進入"控制面板",運行"添加或刪除程序",接著進入"Windows組件向導"對話框,如圖7-13所示。 圖7-13 Windows組件向導 勾選"證書服務"選項,單擊"下一步"按鈕。 接著選擇CA類型。這里選擇"獨立根CA"選項,如圖7-14所示。單擊"下一步"按鈕,為自己的CA伺服器起名,並設置證書的有效期限,如圖7-15所示。 圖7-14 選擇CA類型 圖7-15 設置CA信息 最後指定證書資料庫和證書資料庫日誌的位置,如圖7-16所示,單擊"下一步"按鈕。 圖7-16 指定證書資料庫 因為需要復制系統文件,所以需要插入Windows的安裝光碟,如圖7-17所示。安裝證書服務需要停止當前的IIS運行,所以要單擊"是"按鈕。 圖7-17 復制系統文件 最後,顯示完成了證書服務的安裝,單擊"完成"按鈕,如圖7-18所示。 圖7-18 安裝完成 7.9.2 採用SSL實現加密傳輸(2) 2.配置SSL網站 1)創建請求證書文件 要想讓Web Service使用SSL安全機制,首先需將Web Service配置為網站。然後為該網站創建請求證書文件。 依次單擊"控制面板"→"管理工具"按鈕,運行"Internet 信息服務(IIS)管理器",在管理器窗口中展開"網站"目錄,用滑鼠右鍵單擊要使用SSL的Web Service網站,在彈出的快捷菜單中選擇"屬性"命令,在網站屬性對話框中切換到"目錄安全性"選項卡,如圖7-19所示, 圖7-19 網站屬性 然後單擊"伺服器證書"按鈕,彈出"IIS證書向導"對話框。 在"IIS證書向導"對話框中選擇"新建證書"選項,單擊"下一步"按鈕,如圖7-20所示。 圖7-20 伺服器證書 選擇"現在准備證書請求,但稍後發送"選項。單擊"下一步"按鈕,如圖7-21所示。 圖7-21 證書向導 在"名稱"輸入框中為該證書取名,然後在"位長"下拉列表中選擇密鑰的位長(默認為1024,長度越長保密性越好,但性能會越差)。單擊"下一步"按鈕,如圖7-22所示。 圖7-22 設置證書名稱 設置單位信息,如圖7-23所示,然後單擊"下一步"按鈕。設置公共名稱,如圖7-24所示。 圖7-23 設置單位信息 圖7-24 設置公共名稱 注意 公共名稱必須輸入為訪問站點的域名,例如要想用地址 https://www.maticsoft.com 訪問Web Service,則此處必須填寫為" www.maticsoft.com ",否則將提示使用了不安全的證書,導致站點無法訪問。並且切記, www.maticsoft.com 和 www.maticsoft.com:8001 帶埠的訪問也是不同的,如果設置的是 www.maticsoft.com ,則網站設置為 www.maticsoft.com:8001 來訪問也是無法使用的。 然後,單擊"下一步"按鈕,設置國家地區,如圖7-25所示。 圖7-25 設置國家地區 設置證書的單位、部門、站點公用名稱和地理信息,一路單擊"下一步"按鈕。 最後指定請求證書文件的保存位置。這樣就完成了請求證書文件的創建。 7.9.2 採用SSL實現加密傳輸(3) 2)申請伺服器證書 完成上述設置後,還要把創建的請求證書文件提交給證書伺服器。 在伺服器端的IE瀏覽器地址欄中輸入"http://localhost/CertSrv/default.asp"。 在"Microsoft 證書服務"歡迎窗口中單擊"申請一個證書"鏈接,如圖7-26所示。 接下來在證書申請類型中單擊"高級證書申請"鏈接,如圖7-27所示。 圖7-26 申請證書 圖7-27 選擇證書類型 然後在高級證書申請窗口中單擊"使用base64編碼的CMC或PKCS#10……"鏈接,如圖7-28所示。 圖7-28 選擇編碼 接下來在新打開的窗口中,打開剛剛生成的"certreq.txt"文件,將其中的內容復制到"保存的申請"中,如圖7-29所示。 圖7-29 提交證書申請 單擊"提交"按鈕,顯示"證書掛起"頁面,如圖7-30所示。 圖7-30 證書掛起 7.9.2 採用SSL實現加密傳輸(4) 3)頒發伺服器證書 提交證書申請以後,還需要頒發伺服器證書。依次選擇"開始"→"設置"→"控制面板",雙擊"管理工具",再雙擊"證書頒發機構",在打開的對話框中選擇"掛起的申請"選項,如圖7-31所示。 (點擊查看大圖)圖7-31 掛起的申請 找到剛才申請的證書,然後用滑鼠右鍵單擊該項,在彈出的快捷菜單中選擇"所有任務"→"頒發"命令,如圖7-32所示。 頒發成功後,選擇"頒發的證書"選項,雙擊剛才頒發的證書,在彈出的"證書"對話框中的"詳細信息"標簽頁中,單擊"復制到文件"按鈕,如圖7-33所示。 圖7-32 頒發證書 圖7-33 復制到文件 彈出"證書導出向導"對話框,連續單擊"下一步"按鈕,選擇"Base64編碼X.509"選項,如圖7-34所示。 (點擊查看大圖)圖7-34 選擇導出文件格式 單擊"下一步"按鈕,並在"要導出的文件"對話框中指定文件名,最後單擊"完成"按鈕。 4)安裝Web伺服器證書 重新進入IIS管理器的"目錄安全性"標簽頁,單擊"伺服器證書"按鈕,彈出"掛起的證書請求"對話框,選擇"處理掛起的請求並安裝證書"選項,單擊"下一步"按鈕,如圖7-35所示。 (點擊查看大圖)圖7-35 處理掛起的證書 指定剛才導出的伺服器證書文件的位置,如圖7-36所示。 (點擊查看大圖)圖7-36 選擇導出位置 接著設置SSL埠,使用默認的"443"即可,最後單擊"完成"按鈕。 7.9.2 採用SSL實現加密傳輸(5) 5)配置網站啟用SSL通道 在網站屬性"目錄安全性"標簽頁中單擊安全通信欄的"編輯"按鈕,然後,勾選"要求安全通道(SSL)"選項,如圖7-37所示。 (點擊查看大圖)圖7-37 啟用網站SSL通道 忽略客戶端證書:選擇該選項可以允許用戶不必提供客戶端證書就可訪問該站點。 接受客戶端證書:選擇該選項可以允許具有客戶端證書的用戶進行訪問,證書不是必需的。具有客戶端證書的用戶可以被映射;沒有客戶端證書的用戶可以使用其他身份驗證方法。 要求客戶端證書:選擇該選項則僅允許具有有效客戶端證書的用戶進行連接。沒有有效客戶端證書的用戶被拒絕訪問該站點。選擇該選項從而在要求客戶端證書前,必須選擇"要求安全通道(SSL)"選項。 最後單擊"確定"按鈕,即完成啟用SSL了。在完成了對SSL網站的配置後,用戶只要在IE瀏覽器中輸入"https://網站域名"就能訪問該網站。 注意 勾選上SSL後,必須用HTTPS來訪問,而訪問網站的埠也會使用SSL埠,默認為443。 如果在你訪問站點的過程中出現無法正常訪問的情況,那麼請檢查伺服器防火牆是否禁止對SSl埠443的訪問,這點比較容易被忽視,當然你也可以自己修改埠。 如果還是不能訪問,出現提示"你試圖從目錄中執行 CGI、ISAPI 或其他可執行程序,但該目錄不允許執行程序。HTTP錯誤403.1-禁止訪問:執行訪問被拒絕。"那麼請檢查網站主目錄的執行許可權,將執行許可權設置為純腳本即可,如圖7-38所示。 圖7-38 設置執行許可權 6)客戶端安裝證書 如果IIS伺服器設置了"要求客戶端證書",則其他機器或用戶想通過HTTPS訪問和調用該Web服務,就需要將CA的根證書導入到客戶端證書的可信任機構中,客戶端才可以正常訪問Web服務。 (1)選擇"開始"→"運行"命令,在彈出的對話框中輸入"mmc",出現如圖7-39所示的界面。 圖7-39 啟動控制台 (2)選擇"文件"→"添加/刪除管理單元"命令,出現如圖7-40所示的界面。 圖7-40 添加/刪除管理單元 (3)單擊"添加"按鈕,在可用獨立管理單元列表中選擇"證書"選項,出現如圖7-41所示的界面。 (4)選擇"計算機賬戶"選項,單擊"下一步"按鈕,選擇"本地計算機"選項,然後依次單擊"完成"→"關閉"→"確定"按鈕。 圖7-41 添加證書管理單元 進入當前用戶的證書管理單元,界面如圖7-42所示。 (點擊查看大圖)圖7-42 選擇證書導入位置 選中"個人"下的"證書節點"選項,單擊滑鼠右鍵,在彈出的快捷菜單中選擇"所有任務"→"導入"命令,如圖7-43所示。 (點擊查看大圖)圖7-43 導入證書 選擇我們剛才頒發的伺服器證書cert.cer,將其導入到個人的存儲位置,導入後如圖7-44所示。 (點擊查看大圖)圖7-44 導入到證書 7)SSL的優點與缺點 優點:它對Web服務提供的數據完整性沒有任何影響,當值返回給客戶時,值還是保持原樣,並沒有因在傳輸過程中使用了加密技術而發生變化。 缺點:它對站點的整體性能有影響,因為它需要進行很多加解密的數據處理。 0 0 0 (請您對文章做出評價)
㈤ 如何為MySQL伺服器和客戶機啟用SSL
用戶想要與MySQL伺服器建立一條安全連接時,常常依賴VPN隧道或SSH隧道。不過,獲得MySQL連接的另一個辦法是,啟用MySQL伺服器上的SSL封裝器(SSL wrapper)。這每一種方法各有其優缺點。比如說,在出現多條短時間MySQL連接的高度動態環境下,VPN或SSH隧道也許是比SSL更好的選擇,因為後者建立每條連接時需要成本高昂的SSL握手計算。另一方面,如果是長時間運行的MySQL連接比較少的那些應用,基於SSL的加密可能很合理。由於MySQL伺服器已經內置了SSL支持功能,你不需要實施VPN或SSH隧道之類單獨的安全層,這種隧道有其自己的維護開銷。
在MySQL伺服器中實施SSL可以加密在伺服器與客戶機之間來回傳輸的所有數據,因而防止廣域網或數據中心裏面可能出現的竊聽或數據嗅探行為。此外,SSL還通過SSL證書提供了身份驗證機制,因而可以保護用戶,遠離可能出現的網路釣魚攻擊。
我們在本文中將介紹如何啟用MySQL伺服器上的SSL。請注意:同樣過程適用於MariaDB伺服器。
創建Server SSL證書和私鑰
我們必須為MySQL伺服器創建SSL證書和私鑰,通過SSL連接到伺服器時要用到它們。
首先,創建一個臨時的工作目錄,我們將把私鑰和證書文件放在該目錄下。
$ sudo mkdir ~/cert $ cd ~/cert
確保OpenSSL已安裝在運行MySQL伺服器的系統上。通常,所有linux發行版在默認情況下都安裝了OpenSSL。想檢查一下OpenSSL有沒有安裝,不妨使用下面這個命令。
$ openssl version OpenSSL 1.0.1f 6 Jan 2014
現在,繼續創建CA私鑰和證書。下面這些命令將創建ca-key.pem和ca-cert.pem。
$ openssl genrsa 2048 > ca-key.pem $ openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem
第二個命令會詢問你幾個問題。你在這些欄位里填入什麼並不重要。只管填好那些欄位。
下一步是為伺服器創建私鑰。
$ openssl req -sha1 -newkey rsa:2048 -days 730 -nodes -keyout server-key.pem > server-req.pem
這個命令會再次詢問幾個問題,你可以填寫上一步中提供的相同答案。
下一步,使用下面這個命令,將伺服器的私鑰導出成RSA類型的密鑰。
$ openssl rsa -in server-key.pem -out server-key.pem
最後,使用CA證書,創建伺服器證書。
$ openssl x509 -sha1 -req -in server-req.pem -days 730 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem
配置MySQL伺服器上的SSL
完成上述過程後,我們應該有了CA證書、伺服器的私鑰及其證書。下一步就是配置MySQL伺服器,以便使用私鑰和證書。
在配置MySQL伺服器之前,檢查一下SSL選項已被啟用還是被禁用。為此,登錄進入到MySQL伺服器,輸入下面這個查詢。
mysql> SHOW GLOBAL VARIABLES LIKE 'have_%ssl';,
該查詢的結果會如同下圖。
請注意:「have_openssl」和「have_ssl」變數的默認值是「被禁用」,如下所示。想啟用MySQL伺服器中的SSL,繼續執行下列步驟。
1. 將ca-cert.pem、server-cert.pem和server-key.pem拷貝或移動到/etc目錄下。
$ sudo mkdir /etc/mysql-ssl $ sudo cp ca-cert.pem server-cert.pem server-key.pem /etc/mysql-ssl
2. 使用文本編輯工具,打開伺服器的my.cnf配置文件。添加或去掉注釋[mysqld]部分中類似下面內容的幾行。這些應該指向你放在/etc/mysql-ssl中的私鑰和證書。
[mysqld] ssl-ca=/etc/mysql-ssl/ca-cert.pem ssl-cert=/etc/mysql-ssl/server-cert.pem ssl-key=/etc/mysql-ssl/server-key.pem
3. 在my.cnf中,還要找到「bind-address = 127.0.0.1」,並將它改成:
bind-address = *
那樣一來,你就可以從另一個主機連接到MySQL伺服器了。
4. 重啟MySQL服務。
$ sudo service mysql restart 或 $ sudo systemctl restart mysql 或 $ sudo /etc/init.d/mysql restart
你只要查看MySQL錯誤日誌文件(比如/var/log/mysql/mysql.log),就可以檢查SSL配置有沒有問題。要是錯誤日誌中沒有警告或錯誤(就像下面的屏幕截圖),這表明SSL配置沒有問題。
驗證SSL配置的另一個辦法就是,在MySQL伺服器裡面再次運行「have_%ssl」查詢。
mysql> SHOW GLOBAL VARIABLES LIKE 'have_%ssl';
創建擁有SSL許可權的用戶
伺服器端的SSL配置完成後,下一步就是創建有權通過SSL訪問MySQL伺服器的用戶。為此,登錄進入到MySQL伺服器,輸入下面內容:
mysql> GRANT ALL PRIVILEGES ON *.* TO 『ssluser』@』%』 IDENTIFIED BY 『dingdong』 REQUIRE SSL; mysql> FLUSH PRIVILEGES;
把「ssluser」(用戶名)和「dingdong」(密碼)換成你自己的用戶名和密碼。
如果你想分配一個特定的IP地址(比如192.168.2.8),以便用戶從該地址來訪問伺服器,那就改而使用下列查詢。
mysql> GRANT ALL PRIVILEGES ON *.* TO 『ssluser』@』192.168.2.8』 IDENTIFIED BY 'dingdong' REQUIRE SSL; mysql> FLUSH PRIVILEGES;
配置MySQL客戶機上的SSL
鑒於MySQL伺服器端配置已完成,不妨將目光轉移到客戶機端。就MySQL客戶機而言,我們就需要基於伺服器的CA私鑰和證書,創建新的私鑰和證書。
在伺服器的CA私鑰和證書駐留於其中的MySQL伺服器主機上運行下列命令。
$ openssl req -sha1 -newkey rsa:2048 -days 730 -nodes -keyout client-key.pem > client-req.pem
類似伺服器端配置,上述命令會詢問幾個問題。只管填好欄位,就像前面所做的那樣。
我們還需要將創建的客戶機私鑰轉換成RSA類型,如下所示。
$ openssl rsa -in client-key.pem -out client-key.pem,
最後,我們需要使用伺服器的CA私鑰和證書,創建客戶機證書。
$ openssl x509 -sha1 -req -in client-req.pem -days 730 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem
現在,將ca-cert.pem、client-cert.pem和client-key.pem文件轉移到你想要運行MySQL客戶機的任何主機上。
在客戶機主機上,使用下面這個命令,通過SSL連接到MySQL伺服器。
$ mysql --ssl-ca=ca-cert.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem -h -u ssluser -p
在輸入ssluser的密碼後,你會看到如往常那樣的MySQL提示符。
想檢查一下你有沒有使用SSL,在提示符處輸入狀態命令。
mysql> status;
如果你已通過SSL連接上去,它會在SSL欄位顯示密碼信息,如下所示。
㈥ 如何在win伺服器上安裝ssl證書呢怎麼配置
一、生成證書請求
進入IIS控制台
在「開始」菜單上,依次單擊「所有程序」、「附件」和「運行」。
在「打開」框中,鍵入 inetmgr,然後單擊「確定」。
點擊對應機器主頁,然後選擇「伺服器證書」。
創建證書請求
進入伺服器證書配置頁面,並選擇「創建證書申請」,填寫相關信息,點擊「下一步」。
選擇加密服務提供程序,並設置證書密鑰長度,EV證書需選擇位長2048,點擊「下一步」。
保存證書請求文件到.txt文件(如申請證書,如將此文件提交給相關機構)。
二、安裝伺服器證書
獲取證書
在提交申請之後,會收到證書簽發的郵件,在郵件中獲取證書文件。
將證書簽發郵件中的包含伺服器證書代碼的文本復制出來(包括「—–BEGIN CERTIFICATE—–」和「—–END CERTIFICATE—–」)粘貼到記事本等文本編輯器中並修改文件名,保存為為server.cer。
中級CA證書:將證書簽發郵件中的從BEGIN到 END結束的兩張中級CA證書內容(包括「—–BEGIN CERTIFICATE—–」和「—–END CERTIFICATE—–」)分別粘貼到記事本等文本編輯器中,並修改文件擴展名,保存為intermediate1.cer和intermediate2.cer文件(如果您的伺服器證書只有一張中級證書,則只需要保存並安裝一張中級證書)。
安裝中級CA證書
在「開始」菜單上,依次單擊「所有程序」、「附件」和「運行」。
在「打開」框中,鍵入 mmc,然後單擊「確定」。
打開控制台,點擊「文件」之後點擊「添加/刪除管理單元」。
點擊「證書」,然後點擊「添加「。
選擇「計算機賬戶」,點擊「下一步」 。
選擇「本地計算機」,點擊「完成」。
點擊「證書(本地計算機)」,選擇「中級證書頒發機構」,「證書」。
在空白處點擊右鍵,選擇「所有任務」,然後點擊「導入」。
通過證書向導分別導入中級CA證書intermediate1.cer、intermediate2.cer 。
選擇「將所有的證書放入下列存儲」,點擊「下一步」,點擊「完成」。
㈦ 配置了SSL 的web伺服器,如何實現啟動服務的
Gworg申請SSL證書後進入伺服器使用對用伺服器環境SSL安裝即可。
㈧ 網站如何啟用SSL安全證書
你好!
答:網站如何啟用SSL安全證書?
Exchange管理控制台中導入證書
開始菜單中打開Exchange 管理控制台 - 伺服器配置 - 導入Exchange證書,選擇簽發的pfx格式證書,或者普通的
x.509格式證書轉換為pfx證書 - SSL/TLS多種證書類型的轉換,輸入pfx證書密碼,完成導入證書。
注意:本文使用的是合並後的pfx證書
2.伺服器配置
點擊資料庫管理,選擇伺服器配置 - 右鍵點擊導入的證書 - 為證書分配服務 - 選擇指定的服務(Internet郵件訪問
協議、郵局協議、簡單郵件傳輸協議、Internet信息服務)。
點擊下一步 - 分配 - 如果提示是否覆蓋SMTP就點擊是 - 完成,即可完成證書分配服務。
3.使用Exchange生成CSR請求文件和完成證書安裝
上述建立在既有的pfx證書前提下進行的導入證書並配置服務,而Exchange 2010也和IIS一樣,具備新建證書請求
和 完成證書請求功能。此舉可以代替openSSL和IIS的製作證書過程1). 新建證書請求
打開 Exchange管理控制台 - 新建 Exchange 證書
在域范圍頁中,如果希望製作通配符證書可以啟用此項,如果非通配符證書在下一步進行子域名設置,選擇下一步。
2.) 填寫CSR證書請求文件信息
和其它CSR製作一樣,設定通用名稱為一個子域名,例如 smtp.yourdomain.com,然後填寫組織、單位等信息、
郵箱等信息點擊完成,這樣就完成了整個證書請求文件的生成。此時私鑰也一並生成,將此CSR文件填寫到在線生
成CSR輸入框內自助申請數字證書 申請證書。
3. )完成證書安裝
CA簽發證書後,在Exchange管理控制台中點擊完成等待請求,選擇簽發的證書,點擊完成也完成了證書導入工作。
以上就是網站啟用SSL安全證書的方法,詳細步驟:網頁鏈接
㈨ 怎麼開啟ssl協議
要啟用 SSL 伺服器證書驗證,並為您的用戶提供他們希望的安全級別,您應該從第三方證書頒發機構獲得證書。由第三方證書頒發機構頒發給您的組織的證書通常是與 Web 伺服器密切關聯的,更具體地說,是與您要綁定 SSL 的網站關聯的。
解釋步驟:
首先請確認您的Apache伺服器已經安裝有加密模塊,可以是OpenSSL,或是OpenSSL+ModSSL。
通過OpenSSL給Apache伺服器產生一個密鑰對(key pair)
# openssl req -new -nodes -keyout private.key -out public.csr
在這里,您需要根據您Apache伺服器的實際信息回答一些問題,主要有:國家名(Country Name)、省或洲際名(State or Province Name)、地方名(Locality Name)、組織名(Organization Name)、組織單位名(Organization Unit Name)、通用名(Common Name)、email地址(Email Name)、私鑰保護密碼(a challenge password)、可選公司名(An opentional company name)。
這里有必要注意的是,國家名一定要是標準的縮寫,中國是CN;通用名一定是FQDN。
然後,在您的當前目錄下會產生兩個文件:private.key和public.csr。
private.key是您的私鑰,public.csr是證書請求文件。
淘寶中找到:Gworg,申請SSL證書。把剛才的public.csr請求文件提供給Gworg,完成證書的申請工作。
申請完證書之後,將證書文件復制到您剛才保存私鑰和請求文件的目錄下。
現在配置您的Apache伺服器的http.conf文件,打開https服務。
請用編輯器(unix或linux可以用vi,windows用notpad。請不要用word之類的字處理軟體,因為它會包括一些不可見控制符)
增加如下內容:
SSLCertificateFile /etc/ssl/crt/public.der
SSLCertificateKeyFile /etc/ssl/crt/private.key
請根據您的證書和私鑰的實際地址,修改上述內容。
重新啟動您的Apache 伺服器。您可以通過啟動腳本來實現。
# apachectl stop
# apachectl startssl
這樣,您Apache 伺服器的80和443埠同時提供服務了。