Linux Apache 的 HTTPS 配置.docx
《Linux Apache 的 HTTPS 配置.docx》由会员分享,可在线阅读,更多相关《Linux Apache 的 HTTPS 配置.docx(13页珍藏版)》请在冰豆网上搜索。
LinuxApache的HTTPS配置
LinuxApache的HTTPS配置
我以前在Windows上配置过Apache的SSL/HTTPS双向认证,即对Web服务器与浏览器同时进行认证,而建立的HTTPS安全连接。
最近,我在Linux下也配置了下Apache的HTTPS,并将配置过程和遇到的问题记录了一下。
配置环境
∙Web服务器系统:
VMwareWorkstation6.0.2,DebianLinux5.0.2,kernel=2.6.26-2-686
∙Web服务器:
Apache2.2.9-10
∙Web浏览器系统:
WindowsXPProfessional
∙Web浏览器:
Firefox3.0.11
LinuxApache的基本配置
现在Linux下较新的Apache配置,要比Windows下的配置方便、灵活的多。
比如,我的Debian5下的Apache2包安装后,就将Apache的配置文件放在:
/etc/apache2目录下,并按照Linux下经典的:
xxx-available,xxx-enabled,xxx.d目录来组织配置文件,看到这里有没有想到Emacs的配置文件组织方式呢?
(*^_^*)。
玩Linux的人看到这里,大多都能猜地出LinuxApache是怎么组织的。
下面简单列举一下Apache配置文件的组织结构:
∙apache2.conf:
Apache的入口配置文件,包含其它配置文件的主控文件
∙conf.d/:
包含一些零碎的配置,一般不和具体的mod相关,是全局性质的,比如:
字符集charset、安全选项security。
∙ports.conf:
设置Apache的监听端口,默认时,HTTP为80,HTTPS为443。
∙envvars:
导出一些环境变量,比如:
∙exportAPACHE_RUN_USER=www-data
∙exportAPACHE_RUN_GROUP=www-data
∙exportAPACHE_PID_FILE=/var/run/apache2.pid
∙httpd.conf:
额外的用户设置的配置,默认里面内容为空。
Windows下的Apache喜欢用这个名字作为主控配置文件,但在Linux下,作用不大。
∙mods-available/:
包含Apache中所有可用mod的加载和设置配置,加载配置一般用xxx.load表示,设置配置一般用xxx.conf表示,比如:
mod_ssl的加载配置为:
ssl.load,设置配置为:
ssl.conf
∙mods-enabled/:
实际启动的mod的加载和设置配置,是到mods-available/中配置文件的符号链接。
∙sites-available/:
Web站点的配置,可以是全局的,或虚拟主机作用域的。
默认有两个附带的配置文件:
default、default-ssl,其中default为一般的HTTP服务的虚拟主机配置,而default-ssl就是HTTPS服务的虚拟主机配置。
这两个配置文件可以直接使用,配置内容只需做适当的调整即可。
∙sites-enabled/:
实际启动的Web站点配置,是到sites-available/中配置文件的符号链接。
默认时,只有一个000-default链接指向sites-available/default,说明默认的Apache配置,只启动HTTP服务,而不启动HTTPS服务。
另外,列举一下配置HTTPS时,Apache的相关文件路径:
∙Apache日志文件:
在:
/var/log/apache2目录中保存。
错误日志为:
error.log,HTTP访问日志为:
access.log,HTTPS访问日志为:
ssl_access.log。
∙Apache的启动:
可以使用Apache在:
/etc/init.d/中安装的RunLevel脚本:
apache2,来启动/停止Apache服务。
和大多数RunLevel脚本一样,使用参数start启动服务,使用参数stop停止服务,如下:
∙#/etc/init.d/apache2start
∙Startingwebserver:
apache2apache2:
Couldnotreliablydeterminetheserver'sfullyqualifieddomainname,using192.168.2.108forServerName
∙
∙#/etc/init.d/apache2stop
∙Stoppingwebserver:
apache2apache2:
Couldnotreliablydeterminetheserver'sfullyqualifieddomainname,using192.168.2.108forServerName
∙...waiting.
∙Web文件目录:
使用sites-available中,配置文件default和default-ssl的DocumentRoot选项,默认指定的Web文件目录:
/var/www/。
/var/www目录下默认只有一个Web文件:
index.html,我就用它作为HTTPS配置的测试页面,并更改了下它的内容:
HelloWorld!
--zy
证书、密钥和测试场景
有2台主机系统:
∙一个Linux安装Apache服务器,主机名:
zy-13
∙另一个为Windows,使用Firefox作为浏览器,主机名:
zy-1。
使用Firefox作为浏览器,是因为HTTPS基于的SSL最早是由Netscape提出的,并且Netscape一直在发展SSL技术(参考:
MozillaSSL/TLS),而Mozilla是Netscape的开源社区,所以我想Mozilla的Firefox应该比其它浏览器对SSL支持地更完善(其实这是借口,我只是喜欢用Firefox而已)。
有3套证书,用openssl工具生成,作用如下:
∙zy-root.cer:
用作CA证书,PEM格式,对其它两个证书进行签发,它自己是自签的。
∙zy-13.cer:
用作Web服务器证书,PEM格式。
它的密钥文件为:
zy-13.key,用DES3加密保护。
注意:
服务器证书zy-13.cer中的通用名属性,即CN:
CommonName字段,应该和服务器的主机名一致,我都设定为:
zy-13,否则,浏览器会报错:
ssl_error_bad_cert_domain,如下:
这个要求的作用是显然的,目的是防止其它人冒用服务器证书,比如:
当服务器证书zy-13.cer,和服务器密钥zy-13.key,同时落入攻击者手中,并且zy-13.key不使用密码保护时,这种冒充攻击就可能奏效。
在实际工作中,CN名应该设定为服务器主机的全域名(FQDN:
FullyQualifiedDomainName)。
我在测试中,用IP地址访问HTTPS服务时,浏览器也会出现该错误,这可能是因为主机名和IP地址的映射不是由DNS系统完成的,而是由WindowsLAN完成的。
另外,对于这种“无效的安全证书”错误,Firefox有一种“迁就的”用户放过的方法:
通过服务器证书的散列码(指纹)和其它属性信息,人工验证证书的有效性,如果最后你确定信任这个证书,可以在Firefox中加入一条“安全例外”。
“安全例外”型证书是Firefox对待证书认证的一种灵活方式,但使用这种方式后安全性交由Firefox用户自己负责,而依靠授权证书链的认证策略也荡然无存了,这也不是HTTPS认证的正常使用方式。
安全例外可以在Firefox的报错页面上点击“或者,您可以添加一个例外”来增加,例外的证书被放置在“证书管理器”中的“服务器”类别中,在那里也可以点击“添加例外”增加例外证书。
∙zy-1.cer:
用作浏览器中使用的Web客户端证书,PEM格式。
它的密钥文件为:
zy-1.key,用DES3加密保护。
将zy-1.cer与zy-1.key合成为PKCS#12格式的文件:
zy-1.p12,并设定导出密码(ExportPassword)保护zy-1.p12文件。
注意:
这个导出密码就是在浏览器中导入PKCS#12文件时,提示输入的密码,而原来的密钥文件zy-1.key的DES3保护密码是没有用的。
HTTPS服务器端认证配置
Apache中对服务器端的HTTPS认证配置、使用过程如下:
1.启用Apache默认附带的HTTPS服务配置文件:
sites-available/default-ssl,只需在目录:
sites-enabled中建立一个指向它的符号链接即可:
2.#cdsites-enabled
3.#ln-s-T../sites-available/default-ssl001-default-ssl
4.在:
sites-available/default-ssl中设置HTTPS服务器端认证的选项。
首先,启动SSL传输层引擎SSLEngine,如下:
5.#SSLEngineSwitch:
6.#Enable/DisableSSLforthisvirtualhost.
7.SSLEngineon
8.使用SSLCertificateFile和SSLCertificateKeyFile选项,设置服务器证书zy-13.cer和服务器密钥zy-13.key。
9.#Aself-signed(snakeoil)certificatecanbecreatedbyinstalling
10.#thessl-certpackage.See
11.#/usr/share/doc/apache2.2-common/README.Debian.gzformoreinfo.
12.#Ifbothkeyandcertificatearestoredinthesamefile,onlythe
13.#SSLCertificateFiledirectiveisneeded.
14.SSLCertificateFile/root/common/key/zy-13.cer
15.SSLCertificateKeyFile/root/common/key/zy-13.key
设置完后,服务器端认证大致就配置完成了,不要忘记重启Apache服务器。
如果服务器密钥文件zy-13.key使用密码加密保护,则在启动Apache时会提示用户输入密码,以解密zy-13.key获得明文的密钥信息,如下:
#/etc/init.d/apache2start
Startingwebserver:
apache2apache2:
Couldnotreliablydeterminetheserver'sfullyqualifieddomainname,using192.168.2.108forServerName
Apache/2.2.9mod_ssl/2.2.9(PassPhraseDialog)
Someofyourprivatekeyfilesareencryptedforsecurityreasons.
Inordertoreadthemyouhavetoprovidethepassphrases.
Serverzy-13:
443(RSA)
Enterpassphrase:
(这里输入密码,无击键反馈回显)
OK:
PassPhraseDialogsuccessful.
.
16.现在可以使用Firefox测试一下效果。
用Firefox连接服务器端,地址中的服务器端主机名应该写为服务器证书zy-13中CN字段记录的值,不要使用IP地址来连接服务器,否则Firefox会报ssl_error_bad_cert_domain错误。
因此,连接地址为:
https:
//zy-13/index.html。
一开始连接这个地址时,Firefox会报错:
sec_error_unknown_issuer,如下:
说明服务器证书的签发者不被Firefox信任,这是当然的,因为服务器证书zy-13.cer是我自己用另外一个证书zy-root.cer签的,zy-root.cer是我认为的CA证书,但Firefox并不认为它是,Firefox会预置一些CA证书,但通常它们都是由大的安全公司、机构生成的证书,比如:
VeriSign、Thawte,所以需要手工导入自己的CA证书zy-root.cer到Firefox的证书管理器中。
导入在这里操作:
选项→高级→加密→查看证书→证书机构→导入。
17.再次测试Firefox连接服务器端,这次就可以连接成功,Firefox取回并显示index.html页面。
在通过HTTPS验证的连接中,Firefox会在状态栏显示此图标:
,双击此图标会弹出“页面信息”对话框,选择它的“安全”一栏就可以查看HTTPS连接的细节和相关的证书信息:
点击“安全”中的“查看证书”可以查看当前服务器证书zy-13.cer的信息:
注意上面显示的证书的组织名:
zy-home,这是证书中的:
O(OrganizationName)字段设置的,在Firefox中这个名字也被认为是验证者的名字。
如果想查看服务器证书zy-13.cer的更多内容,可以换到证书查看器的“细节”选项卡,这里显示证书结构(即证书链),和证书字段,如下:
HTTPS客户端认证配置
Apache中对客户端(浏览器)的HTTPS认证配置,是建立在已完成的服务器端认证配置基础之上,也在HTTPS服务配置文件:
sites-available/default-ssl中设置。
客户端的认证配置、使用过程如下:
1.设置SSLVerifyClient和SSLVerifyDepth,如下:
2.#ClientAuthentication(Type):
3.#Clientcertificateverificationtypeanddepth.Typesare
4.#none,optional,requireandoptional_no_ca.Depthisa
5.#numberwhichspecifieshowdeeplytoverifythecertificate
6.#issuerchainbeforedecidingthecertificateisnotvalid.
7.SSLVerifyClientrequire
8.SSLVerifyDepth10
设置完后,使用Firefox测试一下,Firefox会报:
ssl_error_handshake_failure_alert错误,如下:
再看看Apache的错误日志error.log,其中记录到:
[SunOct1100:
13:
342009][warn]Init:
Oops,youwanttorequestclientauthentication,butnoCAsareknownforverification!
?
[Hint:
SSLCACertificate*]
说明Apache中需要设置CA证书信息,此证书的作用就是:
在服务器端,对客户端证书进行验签。
上述的:
SSLCACertificate*,指代两个选项:
SSLCACertificatePath、SSLCACertificateFile,这两个选项都可以用来设置CA证书。
9.使用SSLCACertificatePath、SSLCACertificateFile选项设置CA证书。
将用于签名客户端证书zy-1.cer的CA证书zy-root.cer,拷贝到Apache2所装系统的某个目录下,比如拷贝到:
/root/common/key/zy-root.cer,然后用SSLCACertificateFile设置该CA证书路径,如下:
#CertificateAuthority(CA):
#SettheCAcertificateverificationpathwheretofindCA
#certificatesforclientauthenticationoralternativelyone
#hugefilecontainingallofthem(filemustbePEMencoded)
#Note:
InsideSSLCACertificatePathyouneedhashsymlinks
#topointtothecertificatefiles.Usetheprovided
#Makefiletoupdatethehashsymlinksafterchanges.
#SSLCACertificatePath/etc/ssl/certs/
SSLCACertificateFile/root/common/key/zy-root.cer
当使用SSLCACertificatePath选项,指定一个存储多个CA证书的目录时,要求这个目录中的CA证书必需是一个指向实际证书文件的符号链接,并且符号链接的名字应该是通过openssl工具对证书文件进行散列后的散列码,据说在mod_ssl中提供了一个Makefile来做这件事情,不过我始终没找到在Apache2安装包中还有什么SSL的Makefile,倒是在ssl-cert包中找到了一个叫:
make-ssl-cert的bash脚本,其中有几句:
cd/etc/ssl/certs/
ln-sfssl-cert-snakeoil.pem$(opensslx509-hash-noout-inssl-cert-snakeoil.pem)
我感觉这就是用openssl产生证书散列码,并建立符号链接的过程,于是我仿照这个命令建立了自己的CA证书zy-root.cer的符号链接,但是测试后发现不行:
Firefox一直处在连接中状态,似乎是Apache无法找到合适的CA证书来验证客户端证书的有效性(/etc/ssl/certs下的证书符号链接很多),所以我干脆就用SSLCACertificateFile来设置CA证书了,注意:
用SSLCACertificateFile设置的CA证书必需是BASE64编码的PEM格式的证书。
关于SSLCACertificatePath,有兴趣的人可以参考:
Apache2mod_ssl文档中“SSLCACertificatePath指令”一节,虽然它说地的内容很少,(-_-^)。
CA证书设置完成后,再用Firefox测试,仍然是错误:
ssl_error_handshake_failure_alert。
不要紧张,这是因为在浏览器中没有候选的客户端证书导致的,可以在Firefox的:
选项→高级→加密→查看证书→您的证书,中导入PKCS#12格式的证书文件,因为PKCS#12证书中含有私钥部分,所以在导入时会提示输入保护密码。
另外,在Firefox的:
选项→高级→加密,中有两种Firefox提供客户端证书给服务器的策略方式,可以在“当某个服务器请求我的个人证书:
”选项下进行设置,分别是:
“自动选择一个”和“每次均询问”,默认为:
每次均询问。
10.看似一切均设置妥当,再用Firefox测试。
如果设置“每次均询问”的方式提供客户端证书,则此时会弹出“使用确认请求”对话框,让用户选择一个已导入的客户端证书,证书以证书序号标识,并显示了证书的一些属性信息,如下图:
确认客户端证书后,Firefox继续连接建立过程,但却报出错误:
ssl_error_bad_cert_alert,如下:
而Apache的错误日志error.log中记录:
[FriJan0100:
05:
282010][error]CertificateVerification:
Error(9):
certificateisnotyetvalid
我在网上查了半天也没找到问题的原因,又改了其它几个Apache配置选项还是不行,仍然出同样的错误。
提示说错误证书,究竟是什么造成的呢?
最后我直接搜Apache日志中的错误描述:
certificateisnotyetvalid,在OpenSSL官方网站的:
openssl工具的verify命令文档中找到了点线索,摘录如下:
9X509_V_ERR_CERT_NOT_YET_VALID:
certificateisnotyetvalid
thecertificateisnotyetvalid:
thenotBeforedateisafterthecurrenttime.
证书中的NotBefore时间和系统时间?
难道是造成“错误证书”的原因是这个,我用:
date'+%Y-%m-%d%T'查了下Apache的系统时间,果然不对劲:
我的Linux的系统时间,竟然比CA证书和客户端证书的NotBefore时间还早,于是我终于想起来了:
我用的VMware中GuestOS的DebianLinux系统,是我以前做的,拷贝到新的宿主机上后就没改过Linux的系统时间,(-_-^)。
知道这一点后,赶紧用:
date-syyyy-mm-dd,把Linux系统时间改成正确的时间,至少要在证书的NotBefore与NotAfter两个时间之间。
证书的有效时间信息可以用此命令显示:
opensslx509-noout-text-infile.cer。
设置完系统时间后,重启Apache服务,再用Firefox测试,确认客户端证书后,Firefox终于完成与服务器的HTTPS连接,显示网页内容。
至此,Apache的HTTPS客户端认证配置完成。