怎样在apache上配置ssl

一、简介 这篇文章要说明的是如何将阿帕奇与SSL(Secure Socket Layer)结合起来安装 配置。众所周知，在网络上以明文传递敏感信息是相当不安全的，因此SSL提供 了一种加密手段，在底层上为上层协议提供服务和加密方案，因此当用户在以 HTTP协议传输数据时，窥探者将难以获取数据的信息。当然加密只是在传输过程 中的，对用户是完全透明的。 ^^^^^^^^ 那么就开始吧……二、准备工作 如果你的系统是从头装起的话，建议你留出一个叫/chroot的分区用来运行Apache。 至于这个分区的大小，取决于你自已，一般来说，一个普通的网站有40M也就够了。 但你的系统如果早就运行了Apache，你可以另外开辟一个分区，或者选择不用独立 分区来安装，仅仅在根下面开一个目录。 另外我假定你的系统已经通过了一定的安全检测——在安装Apache之前(如果有其它 漏洞存在的话，你认为运行在其上的Apache会怎样，所谓覆巢之下，焉有完卵:),检 测至少要包括(但不仅限于)——移除不安全的SUID程序、升级某些守护进程，去掉不 必要的服务。还假定你是的WEB SERVER是运行TCP/IP而且有自己的地址。 三、平台 以下测试都在下列平台下通过: 1、Slackware 4.x distribution using gcc 2.7.2.3 and Perl v5.005_02 2、Solaris 7 on Sparc using gcc v2.8.1 and Perl v5.005_03 四、获取所需要的软件 因为阿帕奇并没有在她的包里自己SSL，因此我们必须先下载到这些加密网页所必需的 部份： 1、Apache Web Server - http://www.apache.org/dist/ 不必多说，我们当然需要获得这个web server，现在的版本是1.3.11，阿帕奇是现在世界 上使用最广泛的web server。 2、mod_ssl - http://www.modssl.org 这是一个为Apache1.3.x web server提供强力加密的的软件模块，它使用的是SSL v2和v3 以及TLS(Transport Layer Security)v1 协议。该软件包是在BSD的license下开发的，在 非商业的情况下，你可以自由地使用它，要判断该使用哪一个版本的mod_ssl很简单，它的 版本号是-格式的，也就是说，你如果用的是1.3.11 的Apache,那么就该用2.50-1.3.11的mod_ssl。 3、mod_perl - http://perl.apache.org/dist/ 4、Open SSL - http://www.openssl.org 这一软件包提供了SSL v2/v3(Secure Sockets Layer)及TLS v1(Transport Layer Security) 协议的加密保护。 5、RSAref - 用搜索引擎查找一下"rsaref20.tar.Z"应该就能找到了 我们将把这些程序安装于/usr/local目录下 增加功能模块可以给阿帕奇更强大的功能，如果你需要更多的模块的话，自己去获 得它并且加载，比如mod_php这一模块也是现在流行的，可以使阿帕奇提供php脚本 支持……五、软件包的安装 在实际安装前我们要决定我们将把web server安装在什么环境下，对于一个对 安全有相当高要求的人来说，可以将服务器和软件安装于chroot环境，chroot 改变root 目录并且仅在这一目录中执行程序，这提供了一个内建的小环境，即 使入侵者已经通过cgi程序或者其它办法通过80端口获得了系统的进入权限，它 也只能够在这一受限的环境中活动，从安全角度考量，这当然是最好的，但对 系统管理员来说，这样安装相对麻烦一些，还必须把一些必要的库，perl以及 相关工具也搬到chroot中，所以——你自己决定吧，这里我们介绍的是在chroot 下安装

服务器采用Win2008 R2来架构逐渐增多，因性能方面提升了不少，还自带对某些文件进行配置缓存，大大提高了网站的效率和访问量。针对网站自带的FTP自然也是比较好的选择方案，不用选择第三方，即安全又方便。但跟Win2003的配置有所不同，配置过程如下：打开IIS管理器“控制面板\所有控制面板项\管理工具”-“Internet 信息服务(IIS)管理器”右击“添加FTP站点”填写FTP站点名称及所在盘符，这个盘符比较讲究，如果是在D盘设为FTP目录那么只要选择D盘就可以。接着在D盘下创建一个“LocalUser”目录。一般情况下IP地址不用选择，除非特殊要求，端口号就改成自己喜欢的，SSL可以选择无。比较关键，身份验证这里选择“基本”即可，允许访问这里选择“所有用户”，并且权限这里要勾上“读取，写入”FTP创建完之后，选择“FTP用户隔离”选择“用户名目录（禁用全局虚拟目录）”，这样创建用户名就可以限止到其他用户目录下了。FTP搭建完成可以测试了。

with OpenSSL是表示带有OpenSSL模块，利用OpenSSL就可以给Apache配置SSL安全链接的，也就是使用https://方式进行访问；no ssl则表示不带OpenSSL模块，无法用于SSL安全链接。

更多SSL证书的信息，可以访问下面的网站。

---