本篇將以兩種不同使用模式來說明:
需要的檔案
編輯 /etc/httpd/conf.d/ssl.conf: (以 CentOS 5.x 為例)
LoadModule ssl_module modules/mod_ssl.so Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl ... <VirtualHost _default_:443> ServerName this.is.your.host:443 <=== 這裡 ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW SSLCertificateFile /etc/pki/mypbxCA/certs/this-is-your-host_SERVER.crt <=== 這裡 SSLCertificateKeyFile /etc/pki/mypbxCA/private/this-is-your-host_SERVER.key <=== 這裡 ... </VirtualHost>
重啟 Apache 服務
開啟 Firefox 輸入 https://this.is.your.host/ ,會看到以下視窗
會出現這訊息是因為 Server 憑證是我們自己所簽署的,可以選擇 新增例外網站 後,就可以繼續這個網站的存取,爾後用戶再次瀏覽時,就不再出現這個訊息。
假使不想讓用戶看到這訊息,以及新增例外網站,有兩個作法:
不管用戶端使用以上任何一個方式來存取網站,這樣的連線都是經過加密的 SSL安全連線。
TIPs:
需要的檔案
編輯 /etc/httpd/conf.d/ssl.conf: (以 CentOS 5.x 為例)
... <VirtualHost _default_:443> ServerName this.is.your.host:443 <=== 這裡 ErrorLog logs/ssl_error_log TransferLog logs/ssl_access_log LogLevel warn SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW SSLCertificateFile /etc/pki/mypbxCA/certs/this-is-your-host_SERVER.crt <=== 這裡 SSLCertificateKeyFile /etc/pki/mypbxCA/private/this-is-your-host_SERVER.key <=== 這裡 SSLCACertificateFile /etc/pki/mypbxCA/certs/yourCA_Root.crt <=== 這裡 SSLVerifyClient require <=== 這裡 SSLVerifyDepth 10 <=== 這裡 ... </VirtualHost>
重啟 Apache 服務
開啟 Firefox 輸入 https://this.is.your.host/,會看到以下視窗
會出現這訊息是因為 Server 憑證是我們自己所簽署的,可以選擇 新增例外網站 後,就可以繼續這個網站的存取,爾後用戶再次瀏覽時,就不再出現這個訊息。
假使不想讓用戶看到這訊息,以及新增例外網站,有兩個作法:
不管用戶端使用以上任何一個方式來存取網站,這樣的連線都是經過加密的 SSL安全連線。
不過,假使 Apache 網站啟用了認證模式(SSLVerifyClient),用戶端除了必須完成上述的步驟外,還需要匯入一個 PKCS#12 憑證檔,否則會遭遇到以下錯誤訊息:
用戶端匯入 PKCS#12 憑證檔的步驟:
關於 PKCS#12 憑證檔