Apache上部署SSL服务器证书

1. 本部署指南适用于Apache版本；2. Apache服务器部署EV SSL和SSL证书的操作步骤一致，区别在于：前者在IE7以上浏览器访问时，浏览器会显示安疙矬嫣歌全锁标志，地址栏会变成绿色；而后者在浏览器访问时，浏览器显示安全锁标志，但地址栏不会变成绿色。3. 本部署指南使用testweb.95105813.cn作为样例进行安装配置，实际部署过程请用户根据正式的域名进行配置。4. 您可以使用其它方式并不要求按照本部署指南在windows下使用OpenSSL工具方式生成证书请求文件；5. 本部署指南提供参考的apache服务器部署方式。如果您的服务器已部署好apache服务您可以继续使用原来的服务在其基础上完成服务器证书的安装配置，并不要求重新进行安装；6.您可以按照自己的方式部署apache并不要求必须按照本部署指南的方式安装。

一、生成证书请求

1、安装OpenSSL工具您需要使用Openssl工具来创建证书请求。下载OpenSSL：http://slproweb.com/products/Win32OpenSSL.html安装OpenSSL到C:\OpenSSL

2、安装完后将C:\OpenSSL\bin目录下的openssl.cfg重命名为openssl.cnf

3、生成服务器证书私钥命令行进入C:\OpenSSL\bin，生成证碜钓芡涸书私钥。如产生的私钥文件可以是server.k髫潋啜缅ey这样简单的命名或者使用我们推荐的使用主机域名方式进行命名。cd c:\OpenSSL\bin先设置环境变量set OPENSSL_CONF=openssl.cnf参考：openssl genrsa -out server.key 2048例：openssl genrsa -out D:\testweb.95105813.cn.key 2048

4、生成服务器证书请求（CSR）文件参考：openssl req -new -key server.key -out certreq.csr例：openssl req -new -key D:\testweb.95105813.cn.key -out D:\certreq.csr

5、如出现以下报错请先设置环境变量set OPENSSL_CONF=openssl.cnf

6、执行成功后提示要输入您的相关信息。填写说明：1.Country Name：填您所在国家的ISO标准代号，如中国为CN，美国为US2.State or Province Name：髦芎埙玳填您单位所在地省/自治区/直辖市，如广东省或 Guangdong3.Locality Name：填您单位所在地的市/县/区，如佛山市或Foshan4.Organization Name：填您单位/机构/企业合法的名称，如广东数字证书认证中心或Guangdong Certification Authority Co.,Ltd.5.Organizational Unit Name：填：部门名称，如技术支持部或Technical support6.Common Name：填：域名，如：testweb.95105813.cn。在多个域名时，填主域名7.Email Address：填您的邮件地址，不必输入，按回车跳过8.‘extra’attributes从信息开始的都不需要填写，按回车跳过直至命令执行完毕除第1、6、7、8项外，2-5的信息填写请统一使用中文或者英文填写。并确保您填写的所有内容和您提交到的证书颁发单位内容一致，以保证SSL证书的签发。

7、提交证书请求请您保存证书私钥文件，最好复制一份以上副本到不同的物理环境上（如不同的主机），防止丢失。并将证书请求文件certreq.csr提交给证书颁发单位。

二、服务器证书转码与CA证书链生成

1、服务器证书需要安装根证书和CA证书,以确保证书在浏览器中的兼间恒溪痞容性，由于不同的证书公司颁发给用户的证书链不一样，有的里诹鬃蛭镲面是一张，有的里面是两张，所以用GDCA公司的证书为例，颁发给用户的除了所申请的企业证书外还有一张根证书GDCA_TrustAUTH_R5_ROOT.cer和相应的CA证书，如果您申请的是睿信(OV) SSL证书（Organization Validation SSL Certificate），CA证书文件就是GDCA_TrustAUTH_R4_SSL_CA.cer；如果您申请的是恒信企业EV SSL证书（Extended Validation SSL Certificate），CA证书就是文件就是GDCA_TrustAUTH_R4_Extended_Validation_SSL_CA.cer

2、请注意：根证书和业务证书下载时需要观察证书是不是base64编码的证书，如果不是，则需要先转换为Base64编码格式，以根证书为例

3、转换成Base64编码后，用编辑器打开，可以看到文件内容是以-----BEGIN CERTIFICATE-----开头，-----END CERTIFICATE-----结尾。以同样方式将CA证书也转换成Base64编码

4、crt格式的服务器证书和CA证书链将证书颁发单位返回给您的服务器证书也转换成Base64编码.并保存为crt格式文件

5、新建一个文本文档，将CA证书和根证书加入到文件里，将文件保存crt文件。如gdca-cert-chain.crt。文件里证书的保存顺序是 CA证书-根证书：

三、安装服务器证书

1、打开apache安装目录下conf目录中的httpd.conf文件例：vi /usr/local/apac茑霁酌绡he/conf/httpd.conf找到以下两项去掉注释：# LoadModule ssl_module modules/mod_ssl.so#Include conf/extra/httpd-ssl.conf保存退出。打开apache安装目录下conf/extra目录中的httpd_ssl.conf文件编辑Apache2.2/conf/extra/ 目录下的httpd-ssl.conf文件将”ServerName www.example.com:443”改成您的主机域名：如

2、找到SSLCertificateFile和 SSLCertificateKeyFile这两个配置项，服务器证书私钥和服务器证书文件及证书链文件上传到该目录（这里是/usr/local/apache/conf）下：

3、保存退出，并重启Apache通过https方式访问您的站点，测试站点证书的安装配置。

4、服务器若部署了睿信OV SSL证书，浏览器访问时将出现安全锁标志；若部署了恒信企业EV SSL证书，浏览器除了显示安全锁标志，地址栏会变成绿色，如下图所示则表示成功在apache部署EV SSL证书.

四、备份和恢复

1、在您完成服务器证书的安装与配置后，请务必要备份好您的服务器证书，避免证书遗失给您造成不便：

2、备份服务器证书备份服务器证书私钥文，服务器证书文件，以及服务器证书链文件。即可完成服务器证书的备份操作。

3、恢复服务器证书参照步骤三即可完成恢复操作