Question

我获取到的数字证书如何配置在自己的Apache中

Answer 1

一、安装SSL证书的环境

1.1 SSl 证书安装环境简介

Centos 6.4 操作系统;

Apache2.2.*或以上版本;

Openssl 1.0.1+;

SSL 证书一张(备注：本指南使用 s.wosign.com 域名OV SSL证书进行操作,通用其它版本证书)。

1.2 网络环境要求

请确保站点是一个合法的外网可以访问的域名地址，可以正常通过或 http://XXX 进行正常访问。

二、SSL 证书的安装

2.1 获取SSL 证书

成功在沃通CA申请SSL证书后，会得到一个有密码的压缩包文件，输入证书密码后解压得到五个文件：

for Apache、for IIS、for Ngnix、for Tomcat、for Other Server，这个是证书的几种格式，Apache 上需要用到for Apache格式的证书。

图 1 

2.2 解压证书文件

解压Apache 文件可以看到3 个文件。包括公钥、私钥、证书链，如图2：

图 2 

2.3 安装SSL证书 

1、打开apache 安装目录下 conf 目录中的httpd.conf 文件，找到：

#LoadModule ssl_module modules/mod_ssl.so

(如果找不到请确认是否编译过 openssl 插件)

#Include conf/extra/httpd_ssl.conf

删除行首的配置语句注释符号“#”，保存退出。 

2、打开apache 安装目录下 conf/extra 目录中的httpd-ssl.conf 文件

注释：

yum 安装配置目录：conf.d/ssl.conf

ubuntu/apache2 安装目录：conf/sites-enabled/*.conf

在配置文件中查找以下配置语句： 

a. 添加SSL 协议支持语句，关闭不安全的协议和加密套件:

SSLProtocol all -SSLv2 -SSLv3 

b.修改加密套件如下:

SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL; 

c.将服务器证书公钥配置到该路径下(在conf 目录下创建ssl 目录，将 for Apache 里面的三

个证书文件拷贝到 ssl 目录下)

SSLCertificateFile conf/ssl/test.wosign.com.crt (证书公钥) 

d.将服务器证书私钥配置到该路径下

SSLCertificateKeyFile conf/ssl/test.wosign.com.key (证书私钥) 

e.将服务器证书链配置到该路径下

#SSLCertificateChainFile conf/ssl/1_root_bundle.crt(证书链)删除行首的“#”号注释符

保存退出，并重启Apache。 

3、进入Apache 安装目录下的bin 目录，运行如下命令

./apachectl -k stop

./apachectl -k start 

2.4 测试SSL 证书

在浏览器地址栏输入：https://s.wosign.com (申请证书的域名)测试您的 SSL 证书是否安装成功，如果成功，则浏览器地址栏后方会显示一个安全锁标志。

备注：安装完ssl 证书后部分服务器可能会有以下错误，请按照链接修复

a. 加密协议和安全套件：https://bbs.wosign.com/thread-1284-1-1.html

b. 部署https页面后出现排版错误或提示网页有不安全因素，可参考以下链接：

https://bbs.wosign.com/thread-1667-1-1.html

三、安装安全签章

(目前该安全签章只支持 OV 级以上证书使用)

3.1 安装中文签章

(注意：签章的显示需要外网环境，且 https 使用 443 端口)

您购买了 WoSign SSL 证书后，将免费获得一个能直观地显示贵网站的认证信息的可信网站安全认证标识，能大大增强用户的在线信任，促成更多在线交易。所以，建议您在安装成功 SSL 证书后马上在网站的首页和其他页面中添加如下代码动态显示可信网站安全认证标识：

<SCRIPT LANGUAGE="JavaScript" TYPE="text/javascript" SRC="https://seal.wosign.com/tws.js"></SCRIPT>

3.2 安装英文签章

如果您希望在英文页面显示认证标识，则在英文页面添加如下代码：

<SCRIPT LANGUAGE="JavaScript" TYPE="text/javascript" SRC="https://seal.wosign.com/tws-en.js"></SCRIPT>

详细请访问：https://www.wosign.com/support/siteseal.htm

四、SSL证书的备份

请保存好收到的证书压缩包文件及密码，以防丢失。

五、SSL 证书的恢复

重复2.3 操作即可。

技术支持热线 0755-26027828 / 0755-26027859

技术支持邮箱 support#wosign.com

沃通SSL论坛 http://bbs.wosign.com

沃通CA官网 http://www.wosign.com

Answer 2

一、安装openssl
下载Openssl安装包并解压，推荐使用默认配置 make && make install //编译及安装 ，openssl默认将被安装到/usr/local/ssl。
二、 让apache支持ssl，编译的时候，要指定ssl支持
静态方法即–enable-ssl=static –with-ssl=/usr/local/ssl
动态方法–enable-ssl=shared –with-ssl=/usr/local/ssl
其中第二种方法会在module/ 目录下生成 mod_ssl.so 模块，而静态不会有，当然第二种方法也需要在httpd.conf 中加入LoadModule ssl_module modules/mod_ssl.so
三、获取SSL证书
1）创建私钥。在创建证书请求之前，您需要首先生成服务器证书私钥文件。
cd /usr/local/ssl/bin //进入openssl安装目录
openssl genrsa -out server.key 2048 //运行openssl命令，生成2048位长的私钥server.key文件。如果您需要对 server.key 添加保护密码，请使用 -des3 扩展命令。Windows环境下不支持加密格式私钥，Linux环境下使用加密格式私钥时，每次重启Apache都需要您输入该私钥密码（例：openssl genrsa -des3 -out server.key 2048）。
cp server.key /usr/local/apache/conf/ssl.key/
2）生成证书请求（CSR）文件
openssl req -new -key server.key -out certreq.csr
Country Name： //您所在国家的ISO标准代号，中国为CN
State or Province Name： //您单位所在地省/自治区/直辖市
Locality Name： //您单位所在地的市/县/区
Organization Name： //您单位/机构/企业合法的名称
Organizational Unit Name： //部门名称
Common Name： //通用名，例如：www.anxinssl.com。此项必须与您访问提供SSL服务的服务器时所应用的域名完全匹配。
Email Address： //您的邮件地址，不必输入，直接回车跳过
“extra”attributes //以下信息不必输入，回车跳过直到命令执行完毕。
3)备份私钥并提交证书请求
请将证书请求文件certreq.csr提交给安信证书，并备份保存证书私钥文件server.key，等待证书的签发。服务器证书密钥对必须配对使用，私钥文件丢失将导致证书不可用。
四、安装SSL证书
为保障服务器证书在客户端的兼容性，服务器证书需要安装两张中级CA证书(不同品牌证书，可能只有一张中级证书)。
从邮件中获取中级CA证书：
将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容（包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”）粘贴到同一个记事本等文本编辑器中，中间用回车换行分隔。修改文件扩展名，保存为conf/ssl.crt/intermediatebundle.crt文件(如果只有一张中级证书，则只需要保存并安装一张中级证书)。
五、完成apache配置 2.0的配置
httpd.conf 中增加
Listen443
NameVirtualHost *:443
DocumentRoot “/data/web/www”
ServerName aaa.com:443
ErrorLog “logs/error.log”
CustomLog “logs/access.log” combined
SSLEngine on
SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key
SSLCertificateChainFile /usr/local/apache/conf/ssl.crt/intermediatebundle.crt

Answer 3

您好！

1、获取SSL数字证书，拿到对应的服务器环境证书：网页链接

2、根据SSL证书安装教程：网页链接

注：安装SSL证书，服务器防火墙或安全软件必须允许对应的443端口！如果是云服务器还需要登陆云控制面板安全规则设置允许443端口。