Apache httpd开启SSL

https://my.oschina.net/xpbug/blog/197454

必要软件

apache httpd 2.4(windows)
perl 5 (windows)
openssl (windows)

安装软件

因为手上没有linux的空余机器，所以一切操作都是在windows平台上。安装以上三个软件的win版，略。

配置httpd

首先用httpd搭建一个简单的网站。在apache的目录下，找到httpd.conf文件，打开文件，找到下面的内容，并把注释去掉：

# Virtual hosts

Include conf/extra/httpd-vhosts.conf

找到httpd-vhosts.conf文件，打开，并向其中添加一个虚拟网站

<VirtualHost *:80>

   ServerAdmin joey

   DocumentRoot "D:/www/test0"

   ServerName www.test0.com

   ErrorLog "logs/errlog"

   CustomLog "logs/accesslog" common

   <Directory "D:/www/test0">

	Order allow,deny

	Allow from all

	</Directory>

</VirtualHost>

在网站目录下面创建一个index页面， index.html

<html>

<body>test0</body>

</html>

重启httpd，访问网站http://www.test0.com, 可以看到test0页面。（注意，如果www.test0.com无法加入DNS，则可以修改本地的hosts文件）。

生成SSL证书

SSL中存在三种证书，顶级证书，服务器证书和客户端证书。

顶级证书是权威证书颁发机构所持有的证书，权威机构使用顶级证书给服务器证书或客户端证书进行签名。
服务器证书是我们最常见的，访问多有https的网站，都会收到一个服务器证书，如果证书是有有名的权威机构颁发，则浏览器就会帮我们处理证书。如果证书是由不知名机构颁发，浏览器会跳出窗口，问我们是否信任此证书。
客户端证书常见于网银。像招商银行的客户端，可以使用电子证书。之所以存在客户端证书，原因是服务器想验证客户的合法性。这时候，信任是双向的。

一般互联网上，只需要服务器证书，信任是单向的，服务器并不对客户做验证。

安装完openssl以后，其目录存在于C:\OpenSSL-Win32. 现在让我们来生成各种证书。

打开cmd命令台，在运行openssl的命令之前，先设置环境变量
```
>set OPENSSL_CONF=c:\openssl-win32\bin\openssl.cfg
```
生成顶级证书。这部分应该是有权威机构做的，这里我冒充一下权威机构。
```
>CA.pl -newca
```
在/demoCA/目录下会生成CA的必须文件。这其中包含顶级证书。
服务器商需要为自己生成公钥密钥，并制作一个证书申请。这里还是我来冒充一下。
```
>openssl.exe genrsa -des3 -out server.key 1024

>openssl.exe req -new -key server.key -out server.csr
```
注意，当遇到下面一行的时候，一定要填写网站的域名，比如今天的例子www.test0.com.
服务商把证书申请server.csr发送给权威机构，权威机构进行签名。将server.csr重命名为newreq.pem,然后执行下面命令
```
>CA.pl -sign
```
生成的newcert.pem就是证书，将newcert.pem重命名为server.crt,然后发还给服务商。
生成客户端证书，这部分并不在本实验中，可以忽略，但我把要执行的命令列在这里，以便于以后查找。

>openssl.exe genrsa -des3 -out client.key 1024

>openssl.exe req -new -key client.key -out client.csr

>openssl.exe ca -in client.csr -out client.crt

#生成客户端可安装文件。

>openssl.exe pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

上面的步骤中，将获得的server.key和server.crt复制出来，待会用。

在win32上，apache不支持加密的private key，所以还需要额外步骤，去除加密。请看最后面的部分。

开启httpd的SSL功能

修改httpd.conf文件，将其中两行的注释去掉

LoadModule ssl_module modules/mod_ssl.so

# Secure (SSL/TLS) connections

Include conf/extra/httpd-ssl.conf

打开httpd-ssl.conf文件，进行编辑

NameVirtualHost *:443

<VirtualHost *:443>

   ServerAdmin joey

   DocumentRoot "D:/www/test0"

   ServerName www.test0.com:443

   ErrorLog "logs/errlog"

   CustomLog "logs/accesslog" common

   

   SSLEngine on

   SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5

   SSLCertificateFile "C:/Program Files (x86)/Apache Software Foundation/Apache2.2/conf/server.crt"

   SSLCertificateKeyFile "C:/Program Files (x86)/Apache Software Foundation/Apache2.2/conf/server.key"

   

   <Directory "D:/www/test0">

	Order allow,deny

	Allow from all

	</Directory>

</VirtualHost>

注意，SSLCertificateFile和SSLCertificateKeyFile必须指向之前我们生成的key和证书。

重启httpd

无法重启httpd,并在error.log中发现这么一句话：

SSLPassPhraseDialog builtin is not supported on Win32

原因是因为Win32不支持SSLPassPhraseDialog命令，我们需要把此命令个注释掉，并需要把server.key的PassPhrase也给去掉。步骤如下

重命名server.key为server.key.org
运行命令 >openssl rsa -in server.key.org -out server.key
将产生的new key替换到原来的位置。
编辑httpd-ssl.conf，把 #SSLPassPhraseDialog builtin注释掉。

再重启一下httpd. 还有错误，error.log中有这么一句话：

Syntax error on line 62 of C:/Program Files (x86)/Apache Software Foundation/Apache2.2/conf/extra/httpd-ssl.conf:

SSLSessionCache: Invalid argument: size has to be >= 8192 bytes

原因是命令吧(X86)给当做86来解析了，需要做下修改

#修改前

SSLSessionCache        "shmcb:C:/Program Files (x86)/Apache Software Foundation/Apache2.2/logs/ssl_scache(512000)"

#修改后

SSLSessionCache        "shmcb:C:/PROGRA\~2/Apache Software Foundation/Apache2.2/logs/ssl_scache(512000)"

再次重启，成功。

验证https

在浏览器中输入网址https://www.test0.com, 浏览器会询问你是否信任当前证书。因为这个证书不是权威机构发放的。选择信任。我们可以查看证书，证书里面的签发机构是我。

接下来几天的计划

下一步，将使用tomcat搭建集群，使用apache做负载平衡。http://my.oschina.net/xpbug/blog/197680

接着，会给tomcat制作登录页面。然后只保留登录页面的https连接，其它页面使用http.

然后，会开启tomcat认证和授权。

接着，会搭建第二个tomcat网站，并开启两个网站之间的SSO。

最后，会着手性能优化，如何增加cache。