怎样在Apache上安装MOD_SSL


手工签署证书的方法


虽然在安装MOD_SSL时已经使用 make certificate 命令建立了服务器
的证书签名，但是有时你可能需要改变它。

当然有很多自动的脚本可以实现它，但是最可靠的方法是手工签署
证书。

首先我假定你已经安装好了openssl和MOD_SSL，如果你的openssl安装时
的prefix设置为/usr/local/openssl，那么把/usr/local/openssl/bin加入
执行文件查找路径。还需要MOD_SSL源代码中的一个脚本，它在MOD_SSL的
源代码目录树下的pkg.contrib目录中，文件名为 sign.sh。
将它拷贝到 /usr/local/openssl/bin 中。

先建立一个 CA 的证书，
首先为 CA 创建一个 RSA 私用密钥，
[S-1]
openssl genrsa -des3 -out ca.key 1024
系统提示输入 PEM pass phrase，也就是密码，输入后牢记它。
生成 ca.key 文件，将文件属性改为400，并放在安全的地方。
[S-2]
chmod 400 ca.key
你可以用下列命令查看它的内容，
[S-3]
openssl rsa -noout -text -in ca.key

利用 CA 的 RSA 密钥创建一个自签署的 CA 证书（X.509结构）
[S-4]
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
然后需要输入下列信息：
Country Name: cn 两个字母的国家代号
State or Province Name: An Hui 省份名称
Locality Name: Bengbu 城市名称
Organization Name: Family Network 公司名称
Organizational Unit Name: Home 部门名称
Common Name: Chen Yang 你的姓名
Email Address: sunstorm@263.net Email地址
生成 ca.crt 文件，将文件属性改为400，并放在安全的地方。
[S-5]
chmod 400 ca.crt
你可以用下列命令查看它的内容，
[S-6]
openssl x509 -noout -text -in ca.crt