【51CTO.com 獨(dú)家特稿】Apache服務(wù)器與客戶端的通信是明文方式，很多通過(guò)HTTP協(xié)議傳送數(shù)據(jù)的應(yīng)用將受到黑客的威脅，信息的安全性難以得到保障。因此，本文就將對(duì)SSL協(xié)議進(jìn)行深入剖析，并介紹如何使用SSL技術(shù)保護(hù)Apache服務(wù)器通信。

1  SSL簡(jiǎn)介

通常的連接方式中，通信是以非加密的形式在網(wǎng)絡(luò)上傳播的，這就有可能被非法竊聽(tīng)到，尤其是用于認(rèn)證的口令信息。為了避免這個(gè)安全漏洞，就必須對(duì)傳輸過(guò)程進(jìn)行加密。對(duì)HTTP傳輸進(jìn)行加密的協(xié)議為HTTPS，它是通過(guò)SSL進(jìn)行HTTP傳輸?shù)膮f(xié)議，不但通過(guò)公用密鑰的算法進(jìn)行加密保證傳輸?shù)陌踩?，而且還可以通過(guò)獲得認(rèn)證證書(shū)CA，保證客戶連接的服務(wù)器沒(méi)有被假冒。

SSL是一種國(guó)際標(biāo)準(zhǔn)的加密及身份認(rèn)證通信協(xié)議，用戶采用的瀏覽器就支持此協(xié)議。SSL（Secure Sockets Layer）最初是由美國(guó)Netscape公司研究出來(lái)的，后來(lái)成為了Internet網(wǎng)上安全通信與交易的標(biāo)準(zhǔn)（參見(jiàn)圖1）。SSL協(xié)議使用通信雙方的客戶證書(shū)以及CA根證書(shū)，允許客戶/服務(wù)器應(yīng)用以一種不能被偷聽(tīng)的方式通信，在通信雙方間建立起了一條安全的、可信任的通信通道。它具備以下基本特征：信息保密性、信息完整性、相互鑒定。

該協(xié)議主要使用Hash編碼、加密技術(shù)，下面對(duì)這些技術(shù)進(jìn)行簡(jiǎn)要介紹：

圖1  SSL工作層次示意圖

（1）Hash編碼是使用Hash（散列）算法從任意長(zhǎng)度的消息中計(jì)算Hash值的一個(gè)過(guò)程，Hash值可以說(shuō)是消息的指紋，或者說(shuō)是摘要。因?yàn)閷?duì)于任何不同的消息，幾乎總有不同的Hash值，如果有沖突的話，可以采用開(kāi)鏈法等方法來(lái)進(jìn)行避免。因此在SSL通信過(guò)程中，可以對(duì)消息的Hash值進(jìn)行加密，確保傳遞的消息在傳輸過(guò)程中沒(méi)有被修改。

（2）非對(duì)稱加密或稱之為公鑰加密使用數(shù)學(xué)上相關(guān)的兩個(gè)數(shù)值來(lái)對(duì)信息進(jìn)行編碼（加密），其中一個(gè)數(shù)字稱為公鑰，另一個(gè)稱為私鑰。公鑰加密的信息可以用私鑰解密，私鑰加密的信息可以用公鑰解密。由于公鑰可以大面積發(fā)放，因此公鑰加密在SSL加密通信中應(yīng)用于對(duì)密鑰的加密或者進(jìn)行數(shù)字簽名。

對(duì)稱加密和非對(duì)稱加密相比的區(qū)別在于對(duì)稱加密中，加密信息和解密信息使用同樣的密鑰，因此該密鑰無(wú)法公開(kāi)，并且一旦知道其密碼，則該加密完全失效。但是其具有加密、解密快速、方便的特點(diǎn)。

2  Apache中運(yùn)用SSL的基本原理

1．公鑰體制

加密和解密使用同一個(gè)密鑰的算法，稱為對(duì)稱加密算法；加密和解密使用的是不同的密鑰，稱為非對(duì)稱加密算法，公鑰系統(tǒng)即屬于非對(duì)稱加密算法。對(duì)于對(duì)稱加密而言，需要著重保護(hù)的是對(duì)稱密鑰，對(duì)于公鑰算法而言，需要著重保護(hù)的是私鑰。

公鑰加密算法，以及衍生出的數(shù)字簽名、數(shù)字證書(shū)技術(shù)，不僅廣泛應(yīng)用于Internet通信中，例如HTTPS協(xié)議中的SSL/TLS，在單機(jī)系統(tǒng)中也越來(lái)越受到重視，例如Windows XP的設(shè)備驅(qū)動(dòng)程序、.NET的GAC assembly都要求數(shù)字簽名。微軟從Windows98/NT4起即提供了Cryptograph API，支持DES、RC2、RC4，IDEA等對(duì)稱加密算法和RSA公鑰系統(tǒng)等非對(duì)稱密算法，以及MD5，SHA，MAC等摘要（Digest，也稱為Hash，散列）算法。#p#

RSA公鑰加密在計(jì)算機(jī)產(chǎn)業(yè)中被廣泛使用在認(rèn)證和加密。可以從RSA Data Security Inc.獲得的RSA公鑰加密許可證。公鑰加密是使用一對(duì)非對(duì)稱的密碼加密或解密的方法。每一對(duì)密碼由公鑰和私鑰組成。公鑰被廣泛發(fā)布。私鑰是隱密的，不公開(kāi)。用公鑰加密的數(shù)據(jù)只能夠被私鑰解密。反過(guò)來(lái)，使用私鑰加密的數(shù)據(jù)只能用公鑰解密。這個(gè)非對(duì)稱的特性使得公鑰加密很有用。

2．?dāng)?shù)字證書(shū)簡(jiǎn)介

數(shù)字證書(shū)就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式，其作用類(lèi)似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。它是由一個(gè)由權(quán)威機(jī)構(gòu)-----CA機(jī)構(gòu)，又稱為證書(shū)授權(quán)(Certificate Authorit y)中心發(fā)行的，人們可以在網(wǎng)上用它來(lái)識(shí)別對(duì)方的身份。數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。最簡(jiǎn)單的證書(shū)包含一個(gè)公開(kāi)密鑰、名稱以及證書(shū)授權(quán)中心的數(shù)字簽名。一般情況下證書(shū)中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)(證書(shū)授權(quán)中心)的名稱，該證書(shū)的序列號(hào)等信息，證書(shū)的格式遵循ITUT X.509國(guó)際標(biāo)準(zhǔn)。數(shù)字證書(shū)可以應(yīng)用于互聯(lián)網(wǎng)上的電子商務(wù)活動(dòng)和電子政務(wù)活動(dòng)，其應(yīng)用范圍涉及需要身份認(rèn)證及數(shù)據(jù)安全的各個(gè)行業(yè)，包括傳統(tǒng)的商業(yè)、制造業(yè)、流通業(yè)的網(wǎng)上交易，以及公共事業(yè)、金融服務(wù)業(yè)、工商稅務(wù)、海關(guān)、政府行政辦公、教育科研單位、保險(xiǎn)、醫(yī)療等網(wǎng)上作業(yè)系統(tǒng)。

一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書(shū)包含以下一些內(nèi)容：

證書(shū)的版本信息；

證書(shū)的序列號(hào)，每個(gè)證書(shū)都有一個(gè)唯一的證書(shū)序列號(hào)；

證書(shū)所使用的簽名算法；

證書(shū)的發(fā)行機(jī)構(gòu)名稱，命名規(guī)則一般采用X.500格式；

證書(shū)的有效期，現(xiàn)在通用的證書(shū)一般采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為1950-2049；

證書(shū)所有人的名稱，命名規(guī)則一般采用X.500格式；

證書(shū)所有人的公開(kāi)密鑰；

證書(shū)發(fā)行者對(duì)證書(shū)的簽名。

3．?dāng)?shù)字證書(shū)基本功能

基于Internet網(wǎng)的電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購(gòu)物的顧客能夠極其方便輕松地獲 得商家和企業(yè)的信息，但同時(shí)也增加了對(duì)某些敏感或有價(jià)值的數(shù)據(jù)被濫用的風(fēng)險(xiǎn)。買(mǎi)方和賣(mài)方都必須對(duì)于在因特網(wǎng)上進(jìn)行的一切金融交易運(yùn)作都是真實(shí)可靠的，并且要使顧客、商家和企業(yè)等交易各方都具有絕對(duì)的信心，因而因特網(wǎng)(Internet)電子商務(wù)系統(tǒng)必須保證具有十分可靠的安全保密技術(shù)，也就是說(shuō)，必須保證網(wǎng)絡(luò)安全的四大要素，即信息傳輸?shù)谋Ｃ苄浴?shù)據(jù)交換的完整性、發(fā)送信息的不可否認(rèn)性、交易者身份的確定性。

1、信息的保密性

交易中的商務(wù)信息均有保密的要求。如信用卡的帳號(hào)和用戶名被人知悉，就可能 被盜用，訂貨和付款的信息被競(jìng)爭(zhēng)對(duì)手獲悉，就可能喪失商機(jī)。因此在電子商務(wù)的信 息傳播中一般均有加密的要求。#p#

2、交易者身份的確定性

網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認(rèn)對(duì)方的身份，對(duì)商家要考慮客戶端不能是騙子，而客戶也會(huì)擔(dān)心網(wǎng)上的商店不是一個(gè)玩弄欺詐的黑店。因此能方便而可靠地確認(rèn)對(duì)方身份是交易的前提。對(duì)于為顧客或用戶開(kāi)展服務(wù)的銀行、信用卡公司和銷(xiāo)售商店，為了做到安全、保密、可靠地開(kāi)展服務(wù)活動(dòng)，都要進(jìn)行身份認(rèn)證的工作。對(duì)有關(guān)的銷(xiāo)售商店來(lái)說(shuō)，他們對(duì)顧客所用的信用卡的號(hào)碼是不知道的，商店只能把信用卡的確認(rèn)工作完全交給銀行來(lái)完成。銀行和信用卡公司可以采用各種保密與識(shí)別方法，確認(rèn)顧客的身份是否合法，同時(shí)還要防止發(fā)生拒付款 問(wèn)題以及確認(rèn)訂貨和訂貨收據(jù)信息等。

3、不可否認(rèn)性

由于商情的千變?nèi)f化，交易一旦達(dá)成是不能被否認(rèn)的。否則必然會(huì)損害一方的利益。例如訂購(gòu)黃金，訂貨時(shí)金價(jià)較低，但收到訂單后，金價(jià)上漲了，如收單方能否認(rèn)受到訂單的實(shí)際時(shí)間，甚至否認(rèn)收到訂單的事實(shí)，則訂貨方就會(huì)蒙受損失。因此電子 交易通信過(guò)程的各個(gè)環(huán)節(jié)都必須是不可否認(rèn)的。

4、不可修改性

交易的文件是不可被修改的，如上例所舉的訂購(gòu)黃金。供貨單位在收到訂單后，發(fā)現(xiàn)金價(jià)大幅上漲了，如其能改動(dòng)文件內(nèi)容，將訂購(gòu)數(shù)1噸改為1克，則可大幅受益，那么訂貨單位可能就會(huì)因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴(yán)肅和公正。

4．?dāng)?shù)字證書(shū)原理

人們?cè)诟袊@電子商務(wù)的巨大潛力的同時(shí)，不得不冷靜地思考，在人與人互不見(jiàn)面的計(jì)算機(jī)互聯(lián)網(wǎng)上進(jìn)行交易和作業(yè)時(shí)，怎么才能保證交易的公正性和安全性，保證交易雙方身份的真實(shí)性。國(guó)際上已經(jīng)有比較成熟的安全解決方案，那就是建立安全證書(shū)體系結(jié)構(gòu)。數(shù)字安全證書(shū)提供了一種在網(wǎng)上驗(yàn)證身份的方式。安全證書(shū)體制主要采用了公開(kāi)密鑰體制，其它還包括對(duì)稱密鑰加密、數(shù)字簽名、數(shù)字信封等技術(shù)。

我們可以使用數(shù)字證書(shū)，通過(guò)運(yùn)用對(duì)稱和非對(duì)稱密碼體制等密碼技術(shù)建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，從而保證：信息除發(fā)送方和接收方外不被其它人竊取；信息在傳輸過(guò)程中不被篡改；發(fā)送方能夠通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)接收方的身份；發(fā)送方對(duì)于自己的信息不能抵賴。

數(shù)字證書(shū)采用公鑰體制，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰(私鑰)，用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰(公鑰)并由本人公開(kāi)，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用 自己的私鑰解密，這樣信息就可以安全無(wú)誤地到達(dá)目的地了。通過(guò)數(shù)字的手段保證加密過(guò)程是一個(gè)不可逆過(guò)程，即只有用私有密鑰才能解密。在公開(kāi)密鑰密碼體制中，常用的一種是RSA體制。其數(shù)學(xué)原理是將一個(gè)大數(shù)分解成兩個(gè)質(zhì)數(shù)的乘積，加密和解密用的是兩個(gè)不同的密鑰。即使已知明文、密文和加密密鑰(公開(kāi)密鑰)，想要推導(dǎo)出解密密鑰(私密密鑰)，在計(jì)算上是不可能的。按現(xiàn)在的計(jì)算機(jī)技術(shù)水平，要破解目前采用的1024位RSA密鑰，需要上千年的計(jì)算時(shí)間。公開(kāi)密鑰技術(shù)解決了密鑰發(fā)布的管理問(wèn)題，商戶可以公開(kāi)其公開(kāi)密鑰，而保留其私有密鑰。購(gòu)物者可以用人人皆知的公開(kāi)密鑰對(duì)發(fā)送的信息進(jìn)行加密，安全地傳送給商戶，然后由商戶用自己的私有密鑰進(jìn)行解密。

用戶也可以采用自己的私鑰對(duì)信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無(wú)法生成的文件，也就形成了數(shù)字簽名。采用數(shù)字簽名，能夠確認(rèn)以下兩點(diǎn)：

(1)保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)；

(2)保證信息自簽發(fā)后到收到為止未曾作過(guò)任何修改，簽發(fā)的文件是真實(shí)文件。#p#

數(shù)字簽名具體做法是:

(1)將報(bào)文按雙方約定的HASH算法計(jì)算得到一個(gè)固定位數(shù)的報(bào)文摘要。在數(shù)學(xué)上保證:只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會(huì)與原先的值不相符。這樣就保證了報(bào)文的不可更改性。

(2)將該報(bào)文摘要值用發(fā)送者的私人密鑰加密，然后連同原報(bào)文一起發(fā)送給接收者，而產(chǎn)生的報(bào)文即稱數(shù)字簽名。

(3)接收方收到數(shù)字簽名后，用同樣的HASH算法對(duì)報(bào)文計(jì)算摘要值，然后與用發(fā)送者的公開(kāi)密鑰進(jìn)行解密解開(kāi)的報(bào)文摘要值相比較。如相等則說(shuō)明報(bào)文確實(shí)來(lái)自所稱的發(fā)送者。

5．證書(shū)授權(quán)中心

CA機(jī)構(gòu)，又稱為證書(shū)授權(quán)(Certificate Authority)中心，作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。CA中心為每個(gè)使用公開(kāi)密鑰的用戶發(fā)放一個(gè)數(shù)字證書(shū)，數(shù)字證書(shū)的作用是證明證書(shū)中列出的用戶合法擁有證書(shū)中列出的公開(kāi)密鑰。CA機(jī)構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書(shū)。它負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個(gè)體所需的數(shù)字證書(shū)，因此是安全電子交易的核心環(huán)節(jié)。

由此可見(jiàn)，建設(shè)證書(shū)授權(quán)(CA)中心，是山西省開(kāi)拓和規(guī)范電子商務(wù)市場(chǎng)必不可少的一步。為保證用戶之間在網(wǎng)上傳遞信息的安全性、真實(shí)性、可靠性、完整性和不可抵賴性，不僅需要對(duì)用戶的身份真實(shí)性進(jìn)行驗(yàn)證，也需要有一個(gè)具有權(quán)威性、公正性、唯一性的機(jī)構(gòu)，負(fù)責(zé)向電子商務(wù)的各個(gè)主體頒發(fā)并管理符合國(guó)內(nèi)、國(guó)際安全電子 交易協(xié)議標(biāo)準(zhǔn)的電子商務(wù)安全證書(shū)。

6．Apache中SSL原理

在SSL通信中，首先采用非對(duì)稱加密交換信息，使得服務(wù)器獲得瀏覽器端提供的對(duì)稱加密的密鑰，然后利用該密鑰進(jìn)行通信過(guò)程中信息的加密和解密。為了保證消息在傳遞過(guò)程中沒(méi)有被篡改，可以加密Hash編碼來(lái)確保信息的完整性。

服務(wù)器數(shù)字證書(shū)主要頒發(fā)給Web站點(diǎn)或其他需要安全鑒別的服務(wù)器，證明服務(wù)器的身份信息，同樣客戶端數(shù)字證書(shū)用于證明客戶端的身份。

使用公用密鑰的方式可以保證數(shù)據(jù)傳輸沒(méi)有問(wèn)題，但如果瀏覽器客戶訪問(wèn)的站點(diǎn)被假冒，這也是一個(gè)嚴(yán)重的安全問(wèn)題。這個(gè)問(wèn)題不屬于加密本身，而是要保證密鑰本身的正確性問(wèn)題。要保證所獲得的其他站點(diǎn)公用密鑰為其正確的密鑰，而非假冒站點(diǎn)的密鑰，就必須通過(guò)一個(gè)認(rèn)證機(jī)制，能對(duì)站點(diǎn)的密鑰進(jìn)行認(rèn)證。當(dāng)然即使沒(méi)有經(jīng)過(guò)認(rèn)證，仍然可以保證信息傳輸安全，只是客戶不能確信訪問(wèn)的服務(wù)器沒(méi)有被假冒。如果不是為了提供電子商務(wù)等方面對(duì)安全性要求很高的服務(wù)，一般不需要如此嚴(yán)格的考慮。

下面給出使用SSL進(jìn)行通信的過(guò)程（參見(jiàn)圖2）：

（1）客戶端向服務(wù)器端發(fā)起對(duì)話，協(xié)商傳送加密算法。例如：對(duì)稱加密算法有DES、RC5，密鑰交換算法有RSA和DH，摘要算法有MD5和SHA。

（2）服務(wù)器向客戶端發(fā)送服務(wù)器數(shù)字證書(shū)。比如：使用DES－RSA－MD5這對(duì)組合進(jìn)行通信?？蛻舳丝梢则?yàn)證服務(wù)器的身份，決定是否需要建立通信。

（3）客戶端向服務(wù)器傳送本次對(duì)話的密鑰。在檢查服務(wù)器的數(shù)字證書(shū)是否正確，通過(guò)CA機(jī)構(gòu)頒發(fā)的證書(shū)驗(yàn)證了服務(wù)器證書(shū)的真實(shí)有效性之后，客戶端生成利用服務(wù)器的公鑰加密的本次對(duì)話的密鑰發(fā)送給服務(wù)器。#p#

（4）服務(wù)器用自己的私鑰解密獲取本次通信的密鑰。

（5）雙方的通信正式開(kāi)始。

圖2  SSL通信流程示意

在一般情況下，當(dāng)客戶端是保密信息的傳遞者時(shí)，他不需要數(shù)字證書(shū)驗(yàn)證自己身份的真實(shí)性，如用戶通常使用的網(wǎng)上銀行交易活動(dòng)，客戶需要將自己的隱秘信息——賬號(hào)和密碼發(fā)送給銀行，因此銀行的服務(wù)器需要安裝數(shù)字證書(shū)來(lái)表明自己身份的有效性，否則將會(huì)使得信息泄露。當(dāng)然，在某些安全性要求極高的B2B（Business to Business）應(yīng)用，服務(wù)器端也需要對(duì)客戶端的身份進(jìn)行驗(yàn)證，這時(shí)客戶端也需要安裝數(shù)字證書(shū)以保證通信時(shí)服務(wù)器可以辨別出客戶端的身份，驗(yàn)證過(guò)程類(lèi)似于服務(wù)器身份的驗(yàn)證過(guò)程。另外，在一些電子商務(wù)的應(yīng)用中，可能還會(huì)使用到電子簽名，或者為了信息交換的更加安全，會(huì)增加電子簽名和消息校驗(yàn)碼（MAC）。而在通常情況下，瀏覽器都會(huì)通過(guò)交互的方式來(lái)完成上述的通信過(guò)程，下面在Linux中對(duì)Apache采用SSL也會(huì)作詳細(xì)地介紹。

3  安裝和啟動(dòng)SSL

1．安裝SSL

雖然Apache服務(wù)器不支持SSL，但Apache服務(wù)器有兩個(gè)可以自由使用的支持SSL的相關(guān)計(jì)劃，一個(gè)為Apache-SSL，它集成了Apache服務(wù)器和SSL，另一個(gè)為Apache+mod_ssl，它是通過(guò)可動(dòng)態(tài)加載的模塊mod_ssl來(lái)支持SSL，其中后一個(gè)是由前一個(gè)分化出的，并由于使用模塊，易用性很好，因此使用范圍更為廣泛。還有一些基于Apache并集成了SSL能力的商業(yè)Web服務(wù)器，然而使用這些商業(yè)Web服務(wù)器主要是北美，這是因?yàn)樵谀抢颯SL使用的公開(kāi)密鑰的算法具備專(zhuān)利權(quán)，不能用于商業(yè)目的，其他的國(guó)家不必考慮這個(gè)專(zhuān)利問(wèn)題，而可以自由使用SSL。

Apache+mod_ssl依賴于另外一個(gè)軟件：OpenSSL，它是一個(gè)可以自由使用的SSL實(shí)現(xiàn)，首先需要安裝這個(gè)軟件。用戶可以從網(wǎng)站http://www.openssl.org/source/上（如圖3所示）下載Linux下OpenSSL的最新版本：openssl-1.0.0b.tar.gz。

圖3  OpenSSL軟件網(wǎng)站首頁(yè) #p#

下載源代碼安裝包后，使用如下的步驟安裝即可：

（1）用openssl-1.0.0b.tar.gz軟件包安裝OpenSSL之前，首先須要對(duì)該軟件包進(jìn)行解壓縮和解包。用以下命令完成軟件包的解壓縮和解包：

#tar xvfz openssl-1.0.0b.tar.gz

（2）解壓縮后，進(jìn)入源碼的目錄openssl-1.0.0b，并使用配置腳本進(jìn)行環(huán)境的設(shè)置。相應(yīng)的命令為：

//改變當(dāng)前目錄為openssl-1.0.0b目錄

#cd openssl-1.0.0b

//執(zhí)行該目錄下配置腳本程序

#./configure

（3）在執(zhí)行./configure之后，配置腳本會(huì)自動(dòng)生成Makefile。如果在設(shè)置的過(guò)程中沒(méi)有任何的錯(cuò)誤，就可以開(kāi)始編譯源碼了。相應(yīng)的命令及其顯示結(jié)果如下：

#make & make install

安裝好OpenSSL之后，就可以安裝使用Apache+mod_ssl了。然而為了安裝完全正確，需要清除原先安裝的Apache服務(wù)器的其他版本，并且還要清除所有的設(shè)置文件及其缺省設(shè)置文件，以避免出現(xiàn)安裝問(wèn)題。最好也刪除/usr/local/www目錄（或更名），以便安裝程序能建立正確的初始文檔目錄。如果是一臺(tái)沒(méi)有安裝過(guò)Apache服務(wù)器的新系統(tǒng)，就可以忽略這個(gè)步驟，而直接安裝Apache+mod_ssl了。

2．啟動(dòng)和關(guān)閉SSL

啟動(dòng)和關(guān)閉該服務(wù)器的命令如下所示：

#apachectl start：?jiǎn)?dòng)apache。

#apachectl startssl：?jiǎn)?dòng)apache ssl。

#apachectl stop：停止apache。

#apachectl restart：重新啟動(dòng)apache。

#apachectl status：顯示apache的狀態(tài)。

#apachectl configtest：測(cè)試httpd.conf配置是否正確。

# /usr/local/sbin/apachectl startssl

此時(shí)使用start參數(shù)為僅僅啟動(dòng)普通Apache的httpd守護(hù)進(jìn)程，而不啟動(dòng)其SSL能力，而startssl才能啟動(dòng)Apache的SSL能力。如果之前Apache的守護(hù)進(jìn)程正在運(yùn)行，便需要使用stop參數(shù)先停止服務(wù)器運(yùn)行。#p#

然后，就可以啟動(dòng)Mozilla、IE或其他支持SSL的瀏覽器，輸入U(xiǎn)RL為：https://ssl_server/來(lái)查看服務(wù)器是否有相應(yīng)，https使用的缺省端口為443，如果一切正常，服務(wù)器將會(huì)返回給客戶端證書(shū)，由客戶端進(jìn)行驗(yàn)證并且判斷，是否接受該證書(shū)并進(jìn)行下一步的通信過(guò)程。

下面以Linux下的Mozilla Firefox瀏覽器為例，來(lái)簡(jiǎn)要說(shuō)明使用Apache+SSL服務(wù)器的過(guò)程。首先，圖4給出了查看和驗(yàn)證該證書(shū)的相關(guān)提示；最后，圖5則給出了證書(shū)驗(yàn)證成功后，采用SSL進(jìn)行保密傳輸?shù)木唧w界面示意：

圖4  驗(yàn)證證書(shū)示意

圖5  證書(shū)通過(guò)驗(yàn)證，正常通信開(kāi)始

【51CTO.com獨(dú)家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】

【編輯推薦】

1. 移動(dòng)威脅、SSL弱點(diǎn)和Web應(yīng)用程序漏洞
2. 教你評(píng)測(cè)SSL VPN：性能測(cè)試--用數(shù)據(jù)說(shuō)話
3. VeriSign數(shù)字證書(shū)GeoTrust和RapidSSL現(xiàn)嚴(yán)重漏洞
4. HTTP vs.HTTPS：數(shù)字SSL證書(shū)會(huì)損害Web安全嗎？