Apache2.2 openssl配置Https应用
1、关于Apache网上有很多关于Apache配置Http,Https 的帖子,写的各式各样大同小异。但说到都比较浅,至少我感觉没有说明白原理。当然,这里我也只是针对我现在的理解来说一下Apache Https那些事。
通常我们开发的web项目都要部署在weblogic中间件上,然后为了网络安全,在停火区搭建web server用于请求转发。最常用的web server之一就是Apache。如果是金融领域的应用的话,基本上都是要配置Https的,以防敏感数据被窃取。Apache有很多版本,有些版本只能配置Http的应用,要想配置Https的话,需要下载专门的Apache,我这里用的是:httpd-2.2.21-win32-x86-openssl-0.9.8r.msi,使用这个软件可以自制证书,可以配置Https。(虽然是32位的,也可以安装在64位的windows上,我也没找到专门的64位软件)。
2、关于证书
部署Https应用需要证书,可以自制也可以购买。当然,如果你的应用是公司级的又是金融领域的,那基本上要购买了,比如天威诚信的证书。因为自制证书可能被黑客替换,用户体验也不好每次浏览器都会提示不安全证书。自制证书步骤:
进入D:\Apache2.2\bin执行以下命令:#生成rsa私钥openssl
genrsa -des3 -out root.key#配置环境变量,制定openssl.cfg配置文件的路径set
OPENSSL_CONF=C:\cert\OpenSSL-Win64\bin\openssl.cfg#生成CA的crt,用来签署下面的root.csr文件,有效期10年openssl req -new -x509 -key root.key -out ca.crt -days 3650#生成的csr文件交给CA签名后形成服务器自己的证书.重要:有一个common name可以写域名,如果为了https申请,这个必须和域名吻合,否则会引发浏览器报警openssl req -new -key root.key -out root.csr#输入key的密钥后,完成证书生成.-CA 选项指明用于被签名的csr证书,-CAkey选项指明用于签名的密钥,-CAserial指明序列号文件,而-CAcreateserial指明文件不存在时自动生成.#最后生成了私用密钥:root.key 和自己的SSL证书root.crtopenssl x509 -req -days 3650 -in root.csr -CA ca.crt -CAkey root.key -CAcreateserial -out root.crt
#证书合并:cat root.key root.crt > root.pem #linuxcopy /b /y root.key+root.crt root.pem #windows
#统一接入网关密码设置为:
admin123C:\cert\OpenSSL-Win64\bin>openssl pkcs12
-export -in root.pem -inkey root.key -out root.pfx
3、配置Https背景:Weblogic10.3.6,Apache2.2 ,windows2008Enterprise
Apache安装在D://Apache2.2,weblogic安装在Redhat6上。
a.在weblogic上拷贝对应的so文件(mod_wl_22.so,此文件从安装weblogic的服务器文件系统
/local/Oracle/Middleware/wlsserver_10.3/server/plugin/win/32上拷贝出来)至D:\Apache2.2\modules。b.开启ssl服务:修改D: \Apache2.2\conf\httpd.conf文件,将
LoadModules ssl_module modules/mod_ssl.so和Include
conf/extra/httpd-ssl.conf两行的注释删除掉。c.将证书文件拷贝到D:\Apache2.2\conf\目录下:***.crt(证书),***.csr(证书请求文件),***.key(私钥)
d.修改D:\Apache2.2\conf\extra\httpd-ssl.conf文件,配置证书文件路径:SSLCertificateFile "D:/Apache2.2/conf/server.crt"修改为:SSLCertificateFile
"D:/Apache2.2/conf/***.crt"SSLCertificateKeyFile
"D:/Apache2.2/conf/server.key"修改为:SSLCertificateKeyFile "D:/Apache2.2/conf/***.key"
e.以上完成了https的配置,下面还要完成转发配置修改http.conf文件,在最后一行添加:LoadModule
weblogic_module modules/mod_wl_22.so
<ifModule mod_weblogic.c> WebLogicCluster
appIp:appPort MatchExpression *.jsp MatchExpression *.* MatchExpression *</ifModule>至此大功告成了。