当前位置: 技术问答>linux和unix
apache带SSL支持已做完,也认证完了,可是认证以后该如何做呢?高手指点
来源: 互联网 发布时间:2017-02-11
本文导语: 我的步骤, #openssl genrsa -des3 -out server.key 2048 #openssl req -new -key server.key -out server.csr # openssl x509 –req –days 1830 –in server.csr –signkey server.key –out server.crt 从新启动apahce后,https访问成功...
我的步骤,
#openssl genrsa -des3 -out server.key 2048
#openssl req -new -key server.key -out server.csr
# openssl x509 –req –days 1830 –in server.csr –signkey server.key –out server.crt
从新启动apahce后,https访问成功,我也安装了我生成的认证文件(拿去认证的文件),可是等认证回来,还是提示
非官方的文件,那我如何设置才能被承认,难道说,认证的网站会提供我另一个ssl文件,我安装这个文件么?
再就是,还想用这个文件使用在vsftp上,我该怎么做,才能让我的vsftp支持我这个 x509生成的ssl文件呢?
高手指点,谢谢,紧急
#openssl genrsa -des3 -out server.key 2048
#openssl req -new -key server.key -out server.csr
# openssl x509 –req –days 1830 –in server.csr –signkey server.key –out server.crt
从新启动apahce后,https访问成功,我也安装了我生成的认证文件(拿去认证的文件),可是等认证回来,还是提示
非官方的文件,那我如何设置才能被承认,难道说,认证的网站会提供我另一个ssl文件,我安装这个文件么?
再就是,还想用这个文件使用在vsftp上,我该怎么做,才能让我的vsftp支持我这个 x509生成的ssl文件呢?
高手指点,谢谢,紧急
|
可是等认证回来,还是提示
非官方的文件
如果你是自己生成证书,则需要把你用的根证书放到客户端系统信任列表里。
|
WINDOWS系统自带了一些国际公认的证书发布机构的根证书。所以由这些机构制作的证书是被IE认可的,不会有警告。若你的证书不是来自那些机构,而是你自己做的。IE就不会信任你,会弹警告。
解决办法是手动添加信任,让系统认可你这个山寨证书机构。
这个信任指的是把你制作证书时的用的根证书放到系统的信任列表里。
你可以google/baidu一下如何导出根证书(公钥)、如何在windws上安装根证书。讲解很多。
|
把pem和crt放到APACHE指定的目录下,写好配置文件指向这两个文件。
CRT这里是自己签的,如果没有特别配置,这个仅仅是客户端验证服务端的单向认证。
另外,CRT不是特殊机构签的,所以这个CRT的作用只是存储了一个完全废物的数字签名+服务器公钥+服务器信息(主要是域名),服务器会先将这个CRT发给TCP连上来的客户端,客户端拿着这个废物签名不做任何事情,弹出对话框问你是否信任,点确定就信任了(信任公钥是真实的),之后就是利用服务器的这个公钥和服务器交互几轮交换对称密钥就可以通信了。
说了这些,简单的说就是,你做的证书CRT的目的只是为加密数据存在的,与验证毫无关系,除非你去第三方签这个CRT,或者你这个CRT用于公司内网,根本不在乎伪装,只是为了加密而已。
CRT这里是自己签的,如果没有特别配置,这个仅仅是客户端验证服务端的单向认证。
另外,CRT不是特殊机构签的,所以这个CRT的作用只是存储了一个完全废物的数字签名+服务器公钥+服务器信息(主要是域名),服务器会先将这个CRT发给TCP连上来的客户端,客户端拿着这个废物签名不做任何事情,弹出对话框问你是否信任,点确定就信任了(信任公钥是真实的),之后就是利用服务器的这个公钥和服务器交互几轮交换对称密钥就可以通信了。
说了这些,简单的说就是,你做的证书CRT的目的只是为加密数据存在的,与验证毫无关系,除非你去第三方签这个CRT,或者你这个CRT用于公司内网,根本不在乎伪装,只是为了加密而已。
|
apache这边就放一个pem(私钥),一个签来的CRT(证书)就行了。
|
pem是肯定有的,你找找你生成CSR时候的目录下,或者看一下CRT文件里是否有PRIVATE KEY的段落,拷贝出来单独存储到PEM里。
|
server.key就是那个pem文件。
|
看你的命令来说,crt应该是被签发的,csr已经没用了。