为了使Apache支持https访问,系统需要安有apache、openssl、mod_ssl.so
1、安装openssl:
基本上系统都已经安装了,在/usr/bin/openssl下,直接使用openssl命令即可;如果系统未安装,则下载openssl进行安装。
2、安装mod_ssl.so:
现在Apache都自带了这个模块,默认是不安装的。安装方式有两种:静态编译和动态加载。
静态编译:即在编译安装apache的时候,在./configure的时候添加--enable--ssl,这样mod_ssl.so模块就加载进了Apache。(如果已经static编译过的模块,再次修改httpd.conf方式用loadmodule命令,在启动apache时会报"模块名" is built-in and can't be loaded.的错误。)
动态编译:无需重新编译apache,使用whereis openssl查找openssl路径,直接进入[source]/modules/ssl;执行[apache]/bin/apxs -a -i -c -L/usr/lib/openssl/engines/lib -c *.c -lcrypto -lssl -ldl;
如果执行上面的命令失败,请执行以下命令,验证成功
/usr/local/apache24/bin/apxs -a -i -DHAVE_OPENSSL=1 -I/usr/include/openssl -L/usr/lib64/openssl -c *.c -lcrypto -lssl -ldl
这种方式加载之后,在apache的安装目录下的modules目录会生成一个mod_ssl.so,同时httpd.conf中会增加一行LoadModule php5_module modules/libphp5.so([apache]表示Apache的安装目录,[source]表示Apache源码目录)
注:
apxs命令参数说明:
-i 此选项表示需要执行安装操作,以安装一个或多个动态共享对象到服务器的modules目录中。
-a 此选项自动增加一个LoadModule行到httpd.conf文件中,以激活此模块,或者,如果此行已经存在,则启用之。
-A 与 -a 选项类似,但是它增加的LoadModule命令有一个井号前缀(#),即此模块已经准备就绪但尚未启用。
-c 此选项表示需要执行编译操作。它首先会编译C源程序(.c)files为对应的目标代码文件(.o),然后连接这些目标代码和files中其余的目标代码文件(.o和.a),以生成动态共享对象dsofile 。如果没有指定 -o 选项,则此输出文件名由files中的第一个文件名推测得到,也就是默认为mod_name.so
3、生成密钥和证书:
新建一个目录testCA或者直接进入Apache安装目录下的conf目录;
建立三个文件(不然为网站服务器签署证书的时候会报错):
mkdir newcerts
echo "01" > serial
touch index.txt
建立服务器密钥:
openssl genrsa -des3 1024 > server.key
从密钥中删除密码(以避免系统启动后被询问口令):
openssl rsa -in server.key > server2.key
替换文件:
mv server2.key server.key
建立服务器密钥请求文件:
openssl req -new -key server.key -out server.csr
建立服务器证书:
openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365
4、Apache添加SSL支持:
修改httpd.conf,去掉 Include conf/extra/httpd-ssl.conf 行首的“#”
5、修改httpd-ssl.conf:
修改端口Listen 443
(若生成的server.crt、server.key、server.csr等文件是在testCA目录下,还需要修改SSLCertificateFile等的路径)
6、重启Apache服务器:
7、输入https://网站进行验证,成功则表示已经支持ssl