既然 OpenBSD的强项是安全,那么在OpenBSD下用OpenSSL和Apache实现要求个人证书的网页服务器。
1. 在这里用的OS 是 OpenBSD。
我们编辑rc.conf
#cd /etc
#vi rc.conf
把 httpd_flags=NO 改成 httpd_flags="-DSSL"
我们编辑rc.conf
#cd /etc
#vi rc.conf
把 httpd_flags=NO 改成 httpd_flags="-DSSL"
2. 根据OpenBSD的manual page
10.7 - Setting up a Secure HTTP server with SSL(8)
首先得到服务器私钥。
# openssl genrsa -out /etc/ssl/private/server.key 1024
如果你需要用密码加密的服务器私钥的话请输入
# openssl genrsa -des3 -out /etc/ssl/private/server.key 1024
下面生成待签名证书
# openssl req -new -key /etc/ssl/private/server.key -out /etc/ssl/private/server.csr
待签名证书可以交给 Thawte Certification 公司http://www.thawte.com/来签名,如果你无法支付费用可以对证书自己签名。
# openssl x509 -req -days 365 -in /etc/ssl/private/server.csr
-signkey /etc/ssl/private/server.key -out /etc/ssl/server.crt
-signkey /etc/ssl/private/server.key -out /etc/ssl/server.crt
3. 作个人端证书认证服务器私钥,做法还是根据 menual page 10.7 但是要选个不同的路径或不同的文件名。我选的路径还是 /etc/ssl/
操作跟上面的操作一样。
# cd /etc/ssl
# mkdir client
# openssl genrsa -out /etc/ssl/client/client.key 1024
# openssl req -new -key /etc/ssl/client/client.key -out /etc/ssl/client/client.csr
操作跟上面的操作一样。
# cd /etc/ssl
# mkdir client
# openssl genrsa -out /etc/ssl/client/client.key 1024
# openssl req -new -key /etc/ssl/client/client.key -out /etc/ssl/client/client.csr
# openssl x509 -req -days 365 -in /etc/ssl/client/client.csr
-signkey /etc/ssl/client/client.key -out /etc/ssl/client/client.crt
-signkey /etc/ssl/client/client.key -out /etc/ssl/client/client.crt
# openssl pkcs12 -export -clcerts -in /etc/ssl/client/client.crt -inkey /etc/ssl/client/client.key -out /etc/ssl/client/client.p12
Enter Export Password: 输入个人证书密码
Verifying - Enter Export Password: 确认个人证书密码
#
把个人证书 client.p12 导出到window 。 然后双击进行安装证书。
按提示一步一步进行即可。此过程需要个人证书密码。
Verifying - Enter Export Password: 确认个人证书密码
#
把个人证书 client.p12 导出到window 。 然后双击进行安装证书。
按提示一步一步进行即可。此过程需要个人证书密码。
4. 修改 httpd.conf
# cd /var/www/conf
# vi httpd.conf
这两个地方不需要改。
SSLCertificateFile /etc/ssl/server.crt (系统默认)
SSLCertificateKeyFile /etc/ssl/private/server.key (系统默认)
修改以下四个地方。
把 Port 80 改成 Port 443
把 Listen 80 改成 #Listen 80
# cd /var/www/conf
# vi httpd.conf
这两个地方不需要改。
SSLCertificateFile /etc/ssl/server.crt (系统默认)
SSLCertificateKeyFile /etc/ssl/private/server.key (系统默认)
修改以下四个地方。
把 Port 80 改成 Port 443
把 Listen 80 改成 #Listen 80
在
#SSLCACertificateFile /var/www/conf/ssl.crt/ca-bundle.crt下面,增加一行
#SSLCACertificateFile /var/www/conf/ssl.crt/ca-bundle.crt下面,增加一行
SSLCACertificateFile /etc/ssl/client/client.crt
把 #SSLVerifyClient require 改成 SSLVerifyClient require
保存退出。
服务器重启。现在可以用 windows 的 ie 来访问服务器时要求个人证书, 然后会出现服务器证书,进到网页。
现在还没有整出以电脑作为识别的证书,不知哪位高手已经做出来了,请告诉在下。
本文错误之处 ,请各位不惜指正。
发表评论 
打印本文
推荐本文
加入收藏
返回顶部
关闭窗口
