約定:
OS: RedHat 6.2
Software: apache_1.3.20.tar.gz
php-4.0.6.tar.gz
mysql-3.23.41.tar.gz
mod_ssl-2.8.4-1.3.20.tar.gz
openssl-0.9.6b.tar.gz
一 mysql的安裝
cd /usr/local/src/mysql
./configure –prefix=/usr/local/mysql
make
make install
配置、編譯和安裝完成之后
#./scripts/mysql_install_db對(duì)數(shù)據(jù)庫(kù)進(jìn)行初始化
然后啟動(dòng)mysql服務(wù)
# /usr/local/mysql/bin/safe_mysqld &
最后驗(yàn)證mysql服務(wù)
# /usr/local/mysql/bin/mysqladmin version 若正常,應(yīng)該顯示版本等參數(shù)
設(shè)置mysql的root密碼
/usr/local/mysql/bin/mysqladmin –u root password ‘xxxx’
二 php的安裝
PHP要求你已經(jīng)預(yù)先配置好的Apache,以便它能知道所需的東西在哪兒。
cd /usr/local/src/apache
對(duì)apache作預(yù)處理
./configure –prefix=/usr/local/apache
進(jìn)入php的源代碼的目錄
cd /usr/local/src/php
對(duì)php做配置
./configure --with-mysql=/usr/local/mysql --with-xml --with-apache=../apache
--enable-track-vars
配置成功后最后會(huì)看到“Thank you for using PHP”
然后進(jìn)行編譯、安裝
make
make install
拷貝ini文件到lib目錄。
# cp php.ini-dist /usr/local/lib/php.ini
注意:php3用戶將使用php3.ini,而php4用戶將使用php.ini文件。
三 安裝配置openssl、mod_ssl
# cd openssl
# ./config -prefix=/usr/local/ssl
現(xiàn)在make、測(cè)試并安裝它。
# make
# make test
# make install
# cd ..
我們將配置MOD_SSL模塊,然后用Apache配置指定它為一個(gè)可裝載的模塊。
# cd mod_ssl
# ./configure
--with-apache=../apache
# cd ..
四 安裝apache
安裝之前先找到libphp4.a
find / -name libphp4.a –print
(/usr/local/src/php/libs/libphp4.a)
然后把找到的這個(gè)文件拷貝到/usr/local/src/apache/src/modules/php4/
# cd apache
#SSL_BASE=../openssl ./configure
--prefix=/usr/local/apache --activate-module=src/modules/php4/libphp4.a
--enable-module=ssl
--enable-shared=ssl
生成Apache,然后生成證書,并安裝
# make
# make certificate TYPE=custom
說(shuō)明:這一步要生成你自己的 CA (如果你不知道,我也不能細(xì)說(shuō)了,簡(jiǎn)單地說(shuō)就是認(rèn)證中心),和用它來(lái)為你的服務(wù)器簽署證書。
STEP 0:
選擇算法,使用缺省的 RSA
STEP 1:
生成 ca.key,CA的私人密鑰
STEP 2:
為CA生成X.509的認(rèn)證請(qǐng)求 ca.csr
要輸入一些信息:
Country Name: cn 國(guó)家代碼,兩個(gè)字母
State or Provice name: An Hui 省份
Locality Name: Bengbu 城市名
Organization Name: Home CA 組織名,隨便寫吧
Organization Unit Name: Mine CA
Common Name: Mine CA
Email Address: wadia@263.net 我的Email
Certificate Validity: 4096 四千多天,夠了吧
STEP 3:
生成CA的簽名,ca.crt
STEP 4:
生成服務(wù)器的私人密鑰,server.key
STEP 5:
生成服務(wù)器的認(rèn)證請(qǐng)求,server.csr
要輸入一些信息,和STEP 2類似,
不過(guò)注意 Common Name是你的網(wǎng)站域名,如 http://www.mydomain.com
Certificate Validity不要太大,365就可以了。
STEP 6:
為你的服務(wù)器簽名,得到server.crt
STEP 7-8:
為你的 ca.key 和 server.key 加密,要記住pass phrase。
下面完成apache的安裝
make install
安裝成功后會(huì)出現(xiàn)
+--------------------------------------------------------------+
| You now have successfully built and installed the |
| Apache 1.3 HTTP server. To verify that Apache actually |
| works correctly you now should first check the |
| (initially created or preserved) configuration files |
| |
| /usr/local/apache/conf/httpd.conf |
| |
| and then you should be able to immediately fire up |
| Apache the first time by running: |
| |
| /usr/local/apache/bin/apachectl start |
| |
| Thanks for using Apache. The Apache Group |
| http://www.apache.org/ |
五 對(duì)apache的httpd.conf的配置
對(duì)php部分的修改如下:
AddType application/x-httpd-php_.php(去掉前面的#)
AddType application/x-httpd-php-source_.phps(去掉前面的#)
AddTyep application/x-httpd-php_.php4(增加)
AddTyep application/x-httpd-php_.php3(增加)
注意:上述四個(gè)配置語(yǔ)句末尾的空格號(hào)。
另外還要在DirectoryIndex index.html后面加上index.php
對(duì)ssl部分及httpd.conf的修改如下:
ServerType standalone
ServerRoot "/usr/local/apache"
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
MinSpareServers 5
MaxSpareServers 10
StartServers 5
MaxClients 150
MaxRequestsPerChild 0
LoadModule ssl_module libexec/libssl.so
Port 80
## SSL Support
<IfDefine SSL>
Listen 80
Listen 443
</IfDefine>
User webmaster
Group webmaster
ServerAdmin wadia@h4cker
DocumentRoot /usr/local/apache/htdocs
DirectoryIndex index.html index.php
HostnameLookups Off
ErrorLog /usr/local/apache/logs/error_log
CustomLog /usr/local/apache/logs/access_log common
ServerSignature On
ScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
AddType application/x-httpd-php .php4
AddType application/x-httpd-php .php3
AddType application/x-tar .tgz
AddHandler cgi-script .cgi
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLPassPhraseDialog builtin
SSLSessionCache dbm:/usr/local/apache/logs/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex file:/usr/local/apache/logs/ssl_mutex
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
SSLLog /usr/local/apache/logs/ssl_engine_log
SSLLogLevel info
<VirtualHost 192.0.0.9:443>
DocumentRoot "/usr/local/apache/htdocs"
ServerName h4cker
ServerAdmin wadia@h4cker
ErrorLog /usr/local/apache/logs/error_log
TransferLog /usr/local/apache/logs/access_log
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key
SSLCACertificatePath /usr/local/apache/conf/ssl.crt
SSLCARevocationPath /usr/local/apache/conf/ssl.crl
SSLVerifyClient 0
SSLVerifyDepth 0
要注意ssl.key ssl.crt等目錄和文件的權(quán)限!
所有的key,csr,crt,prm文件都應(yīng)該設(shè)為 400
六 手工簽署證書
雖然在安裝MOD_SSL時(shí)已經(jīng)使用 make certificate 命令建立了服務(wù)器的證書簽名,但是有時(shí)你可能需要改變它。
當(dāng)然有很多自動(dòng)的腳本可以實(shí)現(xiàn)它,但是最可靠的方法是手工簽署證書。首先我假定你已經(jīng)安裝好了openssl和MOD_SSL,如果你的openssl安裝時(shí)的prefix設(shè)置為/usr/local/openssl,那么把/usr/local/openssl/bin加入執(zhí)行文件查找路徑。還需要MOD_SSL源代碼中的一個(gè)腳本,它在MOD_SSL的源代碼目錄樹下的pkg.contrib目錄中,文件名為 sign.sh。將它拷貝到 /usr/local/openssl/bin 中。
先建立一個(gè) CA 的證書,
首先為 CA 創(chuàng)建一個(gè) RSA 私用密鑰,
[S-1]
openssl genrsa -des3 -out ca.key 1024
系統(tǒng)提示輸入 PEM pass phrase,也就是密碼,輸入后牢記它。
生成 ca.key 文件,將文件屬性改為400,并放在安全的地方。
[S-2]
chmod 400 ca.key
你可以用下列命令查看它的內(nèi)容,
[S-3]
openssl rsa -noout -text -in ca.key
利用 CA 的 RSA 密鑰創(chuàng)建一個(gè)自簽署的 CA 證書(X.509結(jié)構(gòu))
[S-4]
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
然后需要輸入下列信息:
Country Name: cn 兩個(gè)字母的國(guó)家代號(hào)
State or Province Name: An Hui 省份名稱
Locality Name: Bengbu 城市名稱
Organization Name: Family Network 公司名稱
Organizational Unit Name: Home 部門名稱
Common Name: Chen Yang 你的姓名
Email Address: sunstorm@263.net Email地址
生成 ca.crt 文件,將文件屬性改為400,并放在安全的地方。
[S-5]
chmod 400 ca.crt
你可以用下列命令查看它的內(nèi)容,
[S-6]
openssl x509 -noout -text -in ca.crt
下面要?jiǎng)?chuàng)建服務(wù)器證書簽署請(qǐng)求,
首先為你的 Apache 創(chuàng)建一個(gè) RSA 私用密鑰:
[S-7]
openssl genrsa -des3 -out server.key 1024
這里也要設(shè)定pass phrase。
生成 server.key 文件,將文件屬性改為400,并放在安全的地方。
[S-8]
chmod 400 server.key
你可以用下列命令查看它的內(nèi)容,
[S-9]
openssl rsa -noout -text -in server.key
用 server.key 生成證書簽署請(qǐng)求 CSR.
[S-10]
openssl req -new -key server.key -out server.csr
這里也要輸入一些信息,和[S-4]中的內(nèi)容類似。
至于 extra attributes 不用輸入。
你可以查看 CSR 的細(xì)節(jié)
[S-11]
openssl req -noout -text -in server.csr
下面可以簽署證書了,需要用到腳本 sign.sh
[S-12]
sign.sh server.csr
就可以得到server.crt。
將文件屬性改為400,并放在安全的地方。
[S-13]
chmod 400 server.crt
刪除CSR
[S-14]
rm server.csr
七 測(cè)試apache、php、ssl
1 apache的測(cè)試
/usr/local/apache/bin/apachectl start 啟動(dòng)apache,在瀏覽器中輸入ip,這時(shí)便會(huì)出現(xiàn)apache的頁(yè)面,說(shuō)明apache已經(jīng)運(yùn)行了。
2 php的測(cè)試
在htdocs下創(chuàng)建一個(gè)test.php文件
vi test.php
<?
phpinfo();
?>
然后在瀏覽器中輸入http://ip/test.php
若能夠看到有關(guān)php4信息的頁(yè)面,則說(shuō)明php運(yùn)行正常
3 ssl的測(cè)試
/usr/local/apache/bin/apachectl startssl
提示輸入pass phrase(就是你前面輸入的)
輸入后就啟動(dòng)了一個(gè)支持SSL的apache
在IE里輸入https://ip/ 試試,注意是https而不是http。
以上都是我的實(shí)際操作的詳細(xì)步驟,其中肯定難免會(huì)有不當(dāng)或錯(cuò)誤的地方,還望多多大家指正。
