2008-07-3123:55:46
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://dufei.blog.51cto.com/382644/90532
SSL:安全套接层,是netscape公司设计的主要用于web的安全传输协议。这种协议在WEB上获得了广泛的应用。通过证书认证来确保客户端和网站服务器之间的数据是安全,过程大致如下:
SSL客户端在TCP连接建立之后,发出一个消息给服务器,这个消息里面包含了自己可实现的算法列表和其它一些需要的消息,SSL的服务器端会回应一个数据包,这里面确定了这次通信所需要的算法,然后发过去自己的证书(里面包含了身份和自己的公钥)。Client在收到这个消息后会生成一个秘密消息,用SSL服务器的公钥加密后传过去,SSL服务器端用自己的私钥解密后,会话密钥协商成功,双方可以用同一份会话密钥来通信了。
如果对于一般的应用,管理员只需生成“证书请求”(后缀大多为.csr),它包含你的名字和公钥,然后把这份请求交给诸如verisign等有CA服务公司,你的证书请求经验证后,CA用它的私钥签名,形成正式的证书发还给你。管理员再在webserver上导入这个证书就行了。如果你不想花那笔钱,或者想了解一下原理,可以自己做CA。从ca的角度讲,你需要CA的私钥和公钥。从想要证书的服务器角度将,需要把服务器的证书请求交给CA.
如果你要自己做CA,别忘了客户端需要导入CA的证书(CA的证书是自签名的,导入它意味着你“信任”这个CA签署的证书)。而商业CA的一般不用,因为它们已经内置在你的浏览器中了。
实现HTTPS,经我个人测试,每个版本实现的细节都有所不同,但个人认为最为简单的还是apache_2.2.8-win32-x86-openssl-0.9.8g 那么我下面就以这个版本来介绍一下如何实现基于windows下的https.
思路:
1. 配置 apache 以支持 SSL
2. 为网站服务器生成私钥及申请文件
3. 安装CA 使用两种方法
4.通过CA为网站服务器签署证书
5.测试
步骤1:配置 APACHE以支持SSL
LoadModule ssl_module modules/mod_ssl.so
Includeconf/extra/httpd-ssl.conf
去掉两行前面的#
步骤2: 为网站服务器生成证书及私钥文件
生成服务器的私钥
C:Program FilesApache SoftwareFoundationApache2.2in>openssl genrsa -outserver.key 1024
生成一个server.key
生成签署申请
C:Program FilesApache SoftwareFoundationApache2.2in>openssl req -new –outserver.csr -key server.key -config ..confopenssl.cnf
此时生成签署文件 SERVER.CSR
步骤3: