首页 | 新闻资讯 | 培训认证 | 安全管理 | 病毒分析 | 安全协议 | 网络安全 | 防火墙 | 黑客技术
DB安全 | Web安全 | 入侵检测 | 安全审计 | 设备安全 | 备份恢复 | 安全标准 | 法律法规 | 无线安全
OS安全 | PKI与PMI | 病毒防治 | 隔离网闸 | XML安全 | 网管专区 | 经典案例 | 技术论坛 |  
+ 文章搜索 +
当前位置:首页>>原创作品>>PKI与PMI>>正文
关键字:
范 围:
※推荐文章※
·OpenSSL命令行常用功能(1)
·WEB安全模块源代码分析文档之十一
·WEB安全模块源代码分析文档之十-
·WEB安全模块源代码分析文档之九-
·WEB安全模块源代码分析文档之八-
·WEB安全模块源代码分析文档之七-
Windows2000 professional下APACHE+OpenSSL+MOD_SSL的安装手册
作者:rainbow 文章出处:中国信息安全组织[原创] 发布时间:2005-10-12 点击: 字体: 【

/********************************************************************************************
声明:本文档用于学习与研究可以自由转载,无论以何种形式发布都必须保留完整的版权声明,商业用途不得转载.本人能力有限,如有问题欢迎交流与指正。
网站:
论坛:/forum/index.php
邮件:rainbow_zrh@sina.com webmaster@infosecurity.net.cn
********************************************************************************************/
一、OpenSSL的安装 2
    1.1、下载OpenSSL  2
    1.2、下载perl:   2
    1.3、编译 2
    1.4、安装: 2
二、Apache与mod_ssl的安装 3
   2.1、所需资源 3
     2.1.1、下载awk.exe 3
     2.1.2、APACHE下载 3
     2.1.3、mod_ssl的下载 3
   2.2、配置MOD_SSL 3
   2.3、编译apache 3
   2.4、安装apache 3
三、配置证书 4
   3.1、生成自签名的证书 4
   3.2、配置httpd.conf 4
   3.3、测试 6
四、配置客户端认证 6
   4.1 生成客户证书请求 6
   4.2 客户证书的生成 6
   4.3 生成PKCS#12格式的证书 6
   4.4、将生成的zrh.p12导入IE 6
   4.5、配置httpd.conf要求客户端认证 7
   4.6、测试--一次真实的演示过程 7
参考文献 11

----------------------------------------------------------------------------------------------------------------------
 一、OpenSSL的安装
 1.1、下载OpenSSL 
到OpenSSL的官方主页(http://www.openssl.org)去下载。
 1.2、下载perl:
http://aspn.activestate.com/ASPN/Downloads/ActivePerl/Download?OS=Windows&version=5.6.1&build=629\&download=/ActivePerl/Windows/5.6/ActivePerl-5.6.1.629-MSWin32-x86-multi-thread.msi
 1.3、编译
设置好环境变量
c:\> cd d:\program files\Microsoft visual studio\vc98\bin
c:\> d:
c:\> VCVARS32.BAT
设置好perl所在路径如D:\Perl\bin\;
cd openssl-0.9.6g
perl Configure VC-WIN32
ms\do_ms
nmake /f ms\ntdll.mak
 1.4、安装:

copy out32dll\libeay32.dll c:\windows\system 
copy out32dll\ssleay32.dll c:\windows\system 
md c:\openssl 
md c:\openssl\bin
md c:\openssl\lib
md c:\openssl\include
md c:\openssl\include\openssl
copy /b inc32\openssl\* c:\openssl\include\openssl
copy /b out32dll\ssleay32.lib c:\openssl\lib
copy /b out32dll\libeay32.lib c:\openssl\lib
copy /b out32dll\ssleay32.dll c:\openssl\bin
copy /b out32dll\libeay32.dll c:\openssl\bin
copy /b out32dll\openssl.exe c:\openssl\bin


 二、Apache与mod_ssl的安装 
 2.1、所需资源
  2.1.1、下载awk.exe
到http://cm.bell-labs.com/cm/cs/awkbook/index.html下载awk95.exe,另存为awk.exe,
设置好路径(拷到你的编译目录或者System32下,或其它能找到的地方),以便VC++可以找到。
  2.1.2、APACHE下载 
http://www.apache.org下载,并解压到F:\apache\1_3_28
  2.1.3、mod_ssl的下载
http://www.modssl.org下载,并解压到F:\apache\mod_ssl-2.8.15-1.3.28

 2.2、配置MOD_SSL
cd F:\apache\mod_ssl-2.8.15-1.3.28
perl configure.pl --with-apache=f:\apache\1_3_28 --with-ssl=f:\opensslpro\openssl_0.9.6eh
注意 这一步不要将mod_ssl的源代码和apache的源代码放在一个目录下,目录也尽量不要带空格。

 2.3、编译apache
cd F:\apache\1_3_28\src
nmake /f Makefile.win _apacher
 2.4、安装apache
nmake /f Makefile.win installr INSTDIR=f:\apache\1328
f:\apache\1328是Apache的安装目录,可以根据自己的需要进行修改。
 三、配置证书
 3.1、生成自签名的证书

cd F:\apache\1328\conf 
mkdir ssl
cd ssl
copy F:\OpenSSLPro\openssl-engine-0.9.6h\apps\openssl.cnf .
cd %APACHE_HOME%\conf\ssl
openssl req -config openssl.cnf -new -out ces-s.csr
openssl rsa -in privkey.pem -out ces-s.key
openssl x509 -in ces-s.csr -out ces-s.cert -req -signkey ces-s.key -days 365
del *.rnd(这一步没有)


 3.2、配置httpd.conf
在194行加入模块加载指令

LoadModule ssl_module modules/mod_ssl.so

在246行加入AddModule指令与LoadModule对应

AddModule mod_ssl.c


278行加入要侦听的端口

Listen 80
Listen 443

最后1035左右加入:虚拟主机及公钥和私钥的路径。


AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl


 
SSLPassPhraseDialog builtin 
SSLSessionCache dbm:logs/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex sem
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
SSLLog logs/ssl_engine_log
SSLLogLevel info







DocumentRoot "F:\apache\1328\htdocs"
ServerName 127.0.0.1
ServerAdmin you@your.address
ErrorLog logs/error_log
TransferLog logs/access_log

SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile F:\apache\1328\conf\ssl\ces-s.cert
SSLCertificateKeyFile F:\apache\1328\conf\ssl\ces-s.key


SSLOptions +StdEnvVars


SSLOptions +StdEnvVars


SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0

CustomLog logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
 



3.3、测试
启动命令提示符窗口
cd f:\apache\1328
apache –D SSL
 四、配置客户端认证
所有的密码都默认为12345678
 4.1 生成客户证书请求
证书请求的名字为zrh.csr,私钥文件名为zrhkey.pem。
CD f:\apache\1328\conf\ssl
F:\apache\1328\conf\ssl>openssl req -config openssl.cnf -new -out zrh.csr -keyout zrhkey.pem
然后输入个人信息
 4.2 客户证书的生成
输入证书请求的名字为zrh.csr,生成的证书的名字为zrh.pem。
CA证书的证书名字为ces-s.cert,私钥文件名为ces-s.key
F:\apache\1328\conf\ssl>openssl x509 -req -in zrh.csr -out zrh.pem -CA ces-s.cert -CAkey ces-s.key -CAcreateserial -days 365 -outform PEM
到现在为止你就已经有了一个经CA签过名的证书zrh.pem和一个私钥zrhkey.pem
 4.3 生成PKCS#12格式的证书
为了在IE中更好的使用。
F:\apache\1328\conf\ssl>openssl pkcs12 -export -in zrh.pem -out zrh.p12 -inkey zrhkey.pem -name "Zhang RongHua Cert"
这一步将生公钥证书和私打包在一起的zrh.p12用户证书。
 4.4、将生成的zrh.p12导入IE
双击zrh.p12按提示进行,即可。如果没有必要不要选择强私钥保护,因为每一次使用私钥的时候都是让你确认一次。
导入受信任的根证书ces-s.cert。
 4.5、配置httpd.conf要求客户端认证
……中间加入以下配置
# enable client certificate requirement

SSLVerifyClient require
SSLVerifyDepth 1
SSLCACertificatePath conf\ssl
SSLCACertificateFile conf\ssl\ces-s.cert(为服务器证书/CA证书所在的目录)

 4.6、测试--一次真实的演示过程
一次真实的演示过程。
打https://127.0.0.1
点确定按钮
点确定按钮
选择一张证书,然后点确定按钮
点详细信息
点确定按钮
点查看证书按钮,可以看证书的详细信息
点确定按钮
一次访问就成功了。
(点击这里下载演示图片)
 参考文献
 1、Lajos Moczar mod_ssl安装说明
 2、http://www.galatea.com/dist/configure.pl.txt
 3、apache的安装文档
 4、Rainbow(不经历风雨,怎么见彩虹) Apache的编译及安装过程.doc
 5、OpenSSL的安装文档INSTALL.W32

返回顶部↑】 【推荐好友】 【查看评论
用户名: 新注册) 密码: 匿名评论 [查看评论] 发表评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
  Copyright © 2004-2005 infosecurity.org.cn . All Rights Reserved
版权所有:中国信息安全组织 系统管理:webmaster@infosecurity.net.cn
本站部分资源来自互联网,如有侵犯您的版权或其他问题,请通知管理员,我们会尽快处理!