OpenSSL证书生成及Mac上Apache服务器配置HTTPS

---

---

• 自签名证书

• 配置Apache服务器SSL

• 自己作为CA签发证书

---

这里是OpenSSL和HTTPS的介绍
OpenSSL
HTTPS

开启HTTPS配置前提是已在Mac上搭建Apache服务器
→Mac上Apache服务器搭建

先在桌面创建个SSL文件夹，用来放生成的私钥证书文件
打开终端cd到SSL文件夹
cd desktop/SSL

1. 自签名证书

(1) 在SSL文件夹中生成私钥

openssl genrsa -out server.key 2048

生成rsa私钥，2048位强度，server.key是秘钥文件名

(2) 生成自签名证书

openssl req -new -sha256 -x509 -days 365 -key server.key -out server.crt

输入信息

Common Name应该与域名保持一致(如我的电脑搭建的服务器IP地址为192.168.1.112)

2. 配置Apache服务器SSL

(1) 放入证书

将server.crt和server.key两个文件拷贝
放到/etc/apache2/目录

(2) 修改配置文件

• 编辑/etc/apache2/httpd.conf文件
  去掉下面三行的注释#号

  LoadModule ssl_module libexec/apache2/mod_ssl.so
  Include /private/etc/apache2/extra/httpd-vhosts.conf
  Include /private/etc/apache2/extra/httpd-ssl.conf

• 打开/etc/apache2/extra/httpd-ssl.conf文件
  去掉以下两项注释并检查是否与之前安装私钥和证书的路径一致

  SSLCertificateFile "/etc/apache2/extra/ssl/server.crt"
  SSLCertificateKeyFile "/etc/apache2/extra/ssl/private.key"

• 编辑/etc/apache2/extra/httpd-vhosts.conf文件
  在<VirtualHost *:80> .....</VirtualHost>后面添加一段如下内容：

<VirtualHost *:443>
    SSLEngine on
    SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
    SSLCertificateFile /private/etc/apache2/server.crt
    SSLCertificateKeyFile /private/etc/apache2/server.key
    ServerName 192.168.1.112 
    DocumentRoot "/Library/WebServer/Documents"
</VirtualHost>

注意ServerName填写域名与所需访问一致

(3) 重启服务器

sudo apachectl restart

访问https://192.168.1.112/
提示不安全什么的(因为自己的证书没添加到浏览器信任列表)，继续访问

HTTPS访问成功

HTTPS可以用啦
此处应有掌声👏👏👏👏

3. 自己作为CA签发证书

(1) 生成CA根证书

其实就是自签名证书

先在桌面的SSL文件夹里创建个CA文件夹，用来存放放自己作为CA生成的私钥证书文件
打开终端cd到CA文件夹
cd desktop/SSL/CA

• 私钥

openssl genrsa -des3 -out ca.key 4096

这里使用-des3进行加密，需要四位以上密码

• 证书

openssl req -new -x509 -days 365 -key ca.key -out ca.crt

按1自签名证书流程，得到ca.key和ca.crt

(2 )创建服务器私钥

openssl genrsa -out server.key 4096

(3) 生成证书请求文件CSR

openssl req -new -key server.key -out server.csr

此时已得到如下4个文件

(4) 自己作为CA签发证书

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -days 365

然后需要输入生成ca.key时设置的密码

• 接着遇到一个问题：
  I am unable to access the ./demoCA/newcerts directory ./demoCA/newcerts: No such file or directory

• 解决方法
  没有目录创造目录也要上
  执行以下几条命令创建所需的目录及文件

mkdir -p ./demoCA/newcerts
touch demoCA/index.txt
touch demoCA/serial
echo 01 > demoCA/serial

创建好所需目录及文件

重新执行命令

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -days 365

输入ca.key密码
然后会打印出证书详细进行确认

输入两次y

得到最终生成的所有文件

所有生成文件

图示server.crt即自己作为CA签发的服务器证书

---

(5)测试

• *测试1 CA生成服务器证书可用性：
  （1）前往/etc/apache2/文件夹
  
  （2）删除原来自签名证书两个文件
  （3）发现https://192.168.1.112/已经不能访问(能访问有可能是缓存，可以刷新或重启Apache)
  （4）将CA生成的server.key和server.crt两个文件拷贝进去
  （5）https://192.168.1.112/ 又可以访问成功（👏👏👏👏👏）

• *测试2 CA根证书可用性：
  （1）新打开https://192.168.1.112/ ，由于自己的CA根证书未在信任列表，会有警告

  
  
  

  （2）双击ca.crt安装(我这里使用的是Mac电脑)
  （3）到钥匙串访问，找到安装的证书，右键点击 → 显示简介 → 设置始终信任
  （4）发现https://192.168.1.112 不再警告（👏👏👏👏👏）

---

~ ~ ~ ~ ~ ~ end ~ ~ ~ ~ ~ ~ by Roy
--------愿您有所收获

---