注册
个人空间
Apache,众所周知,是UNIX世界最为流行的WWW服务器软件,性能好,可扩展性强。同时他也有相应的Win32版本。
在访问一些网站时,我们会注意到它的URL不是一般的HTTP://aa.bb.cc ,而是https://aa.bb.cc 这表明网站提供了HTTPS连接功能,即SSL over HTTP. 这保证了客户端与服务器的通信都是在SSL建立的加密通道中进行,绝对安全。为了让Apache服务器支持https,那么就必须配置mod_ssl模块。下文就开始就Apache+mod_ssl on FreeBSD进行讨论。
配置Apache服务器
首先,如果您的FreeBSD系统已经配置好Apache服务器,那么最好先备份一下,起码要把Apache的配置文件作一备份。如果需要直接往现有的安装上配置SSL支持,请阅读文章的最后一部分。
· 安装port
port的安装非常方便,由于笔者已经安装好了所有的port 框架,所以只需要 cd /usr/ports/www/apache13-modssl make install
这样就安装好了Apache的二进制文件,但是这还不够。
· Apache以什么方式运行?
比如,笔者需要Apache以www用户组的www用户运行(这也是出于安全性考虑)。如果发现针对apache的入侵,那么这只是针对这个组/用户的。所以还是推荐这样配置用户。
可以用adduser命令添加用户,也可以直接vipw,添加:
www:*:99:99::0:0:apache Daemon:/nonexistent:/sbin/nologin
同时需要添加www组,在/etc/group里面添加一行
www:*:99
· 配置文件
以下都需要在apache的配置文件中进行改变。缺省条件下,它是/usr/local/etc/apache/apache.conf
下列表格是笔者改动的一些设置
· 测试配置
配置好apache以后,运行# /usr/local/sbin/apachectl configtest Syntax OK
表示已经工作正常
· 启动和重起服务器
现在,一切已经工作正常,可以启动apache服务器
# /usr/local/sbin/apachectl startssl /usr/local/sbin/apachectl startssl: httpd started
启动可能需要一些时间,因为需要产生随机数。
如果你又做了一些配置上的改动,需要重起服务器,可以
# /usr/local/sbin/apachectl graceful /usr/local/sbin/apachectl graceful: httpd gracefully restarted
· 校错
如果启动出现问题,那么最好去查阅log文件, 比如
# tail apache_ssl_engine_log
[notice] SIGUSR1 received. Doing graceful restart
[notice] Apache/1.3.14 (Unix) mod_ssl/2.7.1 OpenSSL/0.9.4
configured -- resuming normal operations
然后,看看SSL引擎的log
# tail apache_ssl_engine_log
[info] Init: 1st restart round (already detached)
[info] Init: Reinitializing OpenSSL library
[info] Init: Seeding PRNG with 1160 bytes of entropy
[info] Init: Configuring temporary RSA private keys (512/1024 bits)
[info] Init: Configuring temporary DH parameters (512/1024 bits)
[info] Init: Initializing (virtual) servers for SSL
[info] Init: Configuring server new.host.name:443 for SSL protocol
[warn] Init: (new.host.name:443) RSA server certificate CommonName
(CN) `www.snakeoil.dom' does NOT match server name!?
问题就一幕了然了,其中snakeoil是安装的时候缺省的证书,以后会用我们自己的证书来代替之。
| 论坛热门帖子: | [lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了,有点迷茫,应该再学些什么提高自己的测试水平和测试能力呢?(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍,希望对大家有用(10-18) |
| TAG标签: | 配置 证书 需要 服务器 然后 Apache SSL 文件 Netscape |
