采用mod_ssl让Apache更加安全

安装 mod_ssl，编译进 Apache 的源码树： 中国网管联盟bitsCN.com

# pwd
/usr/local/src/mod_ssl-2.8.8-1.3.24
# ./configure --with-apache=/usr/local/src/apache_1.3.24 \
--with-ssl=/usr/local/ssl
 

以 DSO 方式编译 Apache：

网管bitscn_com

# pwd
/usr/local/src/apache_1.3.24
# ./configure --prefix=/usr/local/apache --enable-rule=SHARED_CORE \
--enable-module=ssl --enable-shared=ssl
# make
 

网管网www.bitscn.com

创建 SSL 证书

网管网www.bitscn.com

在生产环境中，证书需要从商业的认证权威机构或者从内部的 CA 得到。

执行下面的步骤生成假证书： 网管bitscn_com

# pwd
/usr/local/src/apache_1.3.24
# make certificate TYPE=custom
  网管论坛bbs_bitsCN_com

生成证书时会提示两遍下面的信息：<> 内为示范数据。

第一遍：

中国网管联盟bitsCN.com

Country Name (2-letters)
State or Province Name
Locality Name
Organization Name
Organizational Unit Name
Common Name
Email Address
Certificate Validity <365>
 

网管u家u.bitscn@com

第一遍会产生一个假的，用于测试的 CA。"Common Name" 可以为任意文本。

网管联盟bitsCN_com

第二遍

网管bitscn_com

Country Name (2-letters)
State or Province Name
Locality Name
Organization Name
Organizational Unit Name
Common Name
Email Address
Certificate Validity <365>
  网管网www_bitscn_com

第二遍产生的是实际可用的证书，能被商业机构或者内部 CA 认证， "Common Name" 为 Web 服务器的主机名。

安装并运行 Apache 网管网www_bitscn_com

# pwd
/usr/local/src/apache_1.3.24
# make install
 

网管下载dl.bitscn.com

启动 Apache ，并测试

# pwd
/usr/local/apache/bin
# ./apachectl stop
# ./apachectl startssl
  网管网www.bitscn.com

在浏览器上检查 http://yourdomain.com 和 https://yourdomain.com

网管u家u.bitsCN.com

网管bitscn_com