linux下安裝Apache(https) 服務器證書安裝配置指南

一、  安裝准備

1.    安裝Openssl 
要使Apache支持SSL，需要首先安裝Openssl支持。推薦下載安裝openssl-0.9.8k.tar.gz   
下載Openssl：http://www.openssl.org/source/
       tar -zxf openssl-0.9.8k.tar.gz    //解壓安裝包   
       cd openssl-0.9.8k                 //進入已經解壓的安裝包   
       ./config                          //配置安裝。推薦使用默認配置   
       make && make install              //編譯及安裝   
openssl默認將被安裝到/usr/local/ssl 

2.    安裝Apache  
./configure --prefix=/usr/local/apache --enable-so --enable-ssl --with-ssl=/usr/local/ssl --enable-mods-shared=all                               //配置安裝。推薦動態編譯模塊   
make && make install  
動態編譯Apache模塊，便於模塊的加載管理。Apache 將被安裝到/usr/local/apache   

二、  生成證書請求文件

1.    創建私鑰  
在創建證書請求之前，您需要首先生成服務器證書私鑰文件。  
cd /usr/local/ssl/bin                    //進入openssl安裝目錄  
openssl genrsa -out server.key 2048      //運行openssl命令，生成2048位長的私鑰server.key文件。如果您需要對 server.key 添加保護密碼，請使用 -des3 擴展命令。Windows環境下不支持加密格式私鑰，Linux環境下使用加密格式私鑰時，每次重啟Apache都需要您輸入該私鑰密碼（例：openssl genrsa -des3 -out server.key 2048）。 
  
2.    生成證書請求（CSR）文件   
openssl req -new -key server.key -out certreq.csr   
Country Name：                           //您所在國家的ISO標准代號，中國為CN   
State or Province Name：                 //您單位所在地省/自治區/直轄市   
Locality Name：                          //您單位所在地的市/縣/區   
Organization Name：                      //您單位/機構/企業合法的名稱   
Organizational Unit Name：               //部門名稱   
Common Name：                            //通用名，例如：www.itrus.com.cn。此項必須與您訪問提供SSL服務的服務器時所應用的域名完全匹配。   
Email Address：                          //您的郵件地址，不必輸入，直接回車跳過   
"extra"attributes                        //以下信息不必輸入，回車跳過直到命令執行完畢。 
   
3.    備份私鑰並提交證書請求   
請將證書請求文件certreq.csr提交給天威誠信，並備份保存證書私鑰文件server.key，等待證書的簽發。服務器證書密鑰對必須配對使用，私鑰文件丟失將導致證書不可用。 
   
三、  安裝服務器證書

1.    獲取服務器證書中級CA證書 
從郵件中獲取中級CA證書：
將證書簽發郵件中的從BEGIN到 END結束的中級CA證書內容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘貼到記事本文本文件中。修改文件擴展名，保存為intermediate.crt文件。   
下載中級CA證書：http://www.itrus.com.cn/verisignchina/Service/download/

2.    獲取服務器證書   
將證書簽發郵件中的從BEGIN到 END結束的服務器證書內容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”） 粘貼到記事本等文本編輯器中，保存為server.crt文件 

3.    Apache 2.0.63的配置   
打開apache安裝目錄下conf目錄中的httpd.conf文件，找到   
#LoadModule ssl_module modules/mod_ssl.so   
刪除行首的配置語句注釋符號“#”   
保存退出。   
打開apache安裝目錄下conf目錄中的ssl.conf文件，找到   
在配置文件中查找以下配置語句   
SSLCertificateFile conf/ssl.crt/server.crt             將服務器證書配置到該路徑下   
SSLCertificateKeyFile conf/ssl.key/server.key        將服務器證書私鑰配置到該路徑下   
#SSLCertificateChainFile conf/ssl.crt/ca.crt          刪除行首的“#”號注釋符，並將中級CA證書intermediate.crt配置到該路徑下   
保存退出，並重啟Apache。重啟方式：   
進入Apache安裝目錄下的bin目錄，運行如下命令   
./apachectl -k -stop   
./apachectl startssl 

4.    Apache 2.2.* 的配置   
打開apache安裝目錄下conf目錄中的httpd.conf文件，找到   
#LoadModule ssl_module modules/mod_ssl.so   
#Include conf/extra/httpd_ssl.conf   
刪除行首的配置語句注釋符號“#”   
保存退出。   
打開apache安裝目錄下conf/extra目錄中的httpd-ssl.conf文件   
在配置文件中查找以下配置語句   
SSLCertificateFile conf/ssl.crt/server.crt         將服務器證書配置到該路徑下   
SSLCertificateKeyFile conf/ssl.key/server.key    將服務器證書私鑰配置到該路徑下   
#SSLCertificateChainFile conf/ssl.crt/ca.crt      刪除行首的“#”號注釋符，並將中級CA證書intermediate.crt配置到該路徑下   
保存退出，並重啟Apache。重啟方式：   
進入Apache安裝目錄下的bin目錄，運行如下命令   
./apachectl -k -stop   
./apachectl startssl
通過https方式訪問您的站點，測試站點證書的安裝配置。 
  
四、  服務器證書的備份及恢復  

在您成功的安裝和配置了服務器證書之后，請務必依據下面的操作流程，備份好您的服務器證書，以防證書丟失給您帶來不便。

1.    服務器證書的備份   
備份服務器證書私鑰文件server.key，服務器證書文件server.crt，以及服務器證書中級CA證書文件intermediate.crt即可完成服務器證書的備份操作。 
   
2.    服務器證書的恢復   
請參照服務器證書配置部分，將服務器證書密鑰文件恢復到您的服務器上，並修改配置文件，恢復服務器證書的應用。