apachectl startssl（怎样才能跳过启动时输入密码）已解决

platinum

UID: 33101
帖子: 1
积分: 2
在线时间: 10 分钟

1^# platinum 发表于 2005-08-25 10:35

apachectl startssl（怎样才能跳过启动时输入密码）已解决

Apache: 2.0.54
openssl: 0.9.7g（0.9.8 有 bug）
通过 openssl 颁发证书，并配置好 ssl.conf 后，可以通过 apachectl startssl 来启动 HTTPS
但每次都启动的时候让我输入密码，百思不得其解，查阅过网上其他人的做法，也都是如此，如何才能不要求输入密码也过去呢？

想了良久，实在想不出原因，特此麻烦大家，有好的建议或者想法告诉我，多谢

mocou

UID: 32342
帖子: 147
积分: 338
在线时间: 1 天 5 小时

2^# mocou 发表于 2005-08-25 10:53

(while preserving the original file):
$ cp server.key server.key.org
$ openssl rsa -in server.key.org -out server.key

确认server.key 文件为root可读
$ chmod 400 server.key

platinum

UID: 33101
帖子: 1
积分: 2
在线时间: 10 分钟

3^# platinum 发表于 2005-08-25 10:57

已解决，谢谢 mocou

QUOTE:

让apache在启动时不需输入 RSA私钥 (while preserving the original file):
$ cp server.key server.key.org
$ openssl rsa -in server.key.org -out server.key

确认server.key 文件为root可读
$ chmod 400 server.key

abel

UID: 33573
帖子: 29
积分: 66
在线时间: 1 小时

4^# abel 发表于 2005-08-25 11:30

補充一下,若原來沒密碼好像就不用,
若有密碼,但要自動輸入則在

SSLPassPhraseDialog 項上面設定, exec 的輸出結果即是 passwd
http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslpassphrasedialog

ioly

UID: 24155
帖子: 161
积分: 370
在线时间: 1 天 11 小时

5^# ioly 发表于 2005-08-26 09:31

学习！·

haoyufu

UID: 36256
帖子: 180
积分: 413
在线时间: 1 天 20 小时

6^# haoyufu 发表于 2005-08-26 10:25

为你的Apache服务器创建一个RSA私用密钥(被Triple-DES加密并且进行PEM格式化)：

# openssl genrsa -des3 -out server.key 1024

请在安全的地方备份这个server.key文件。记住你输入的通行短语(pass phrase)！你可以通过下面的命令看到这个RSA私用密钥的细节。

# openssl rsa -noout -text -in server.key

而且你可以为这个RSA私用密钥创建一个加密的PEM版本（不推荐），通过下列命令：

# openssl rsa -in server.key -out server.key.unsecure

用服务器RSA私用密钥生成一个证书签署请求（CSR-Certificate Signing Request）（输出将是PEM格式的）：

# openssl req -new -key server.key -out server.csr

当OpenSSL提示你“CommonName”时，确保你输入了服务器的FQDN("Fully Qualified Domain Name" ，即，当你为一个以后用https://www.foo.dom/访问的网站生成一个CSR时，这里输入"www.foo.dom"。你可借助下列命令查看该CSR的细节：

# openssl req -noout -text -in server.csr

将CSR发到一个CA

现在你必须发送该CSR到一个CA以便签署，然后的结果才是可以用于Apache的一个真正的证书。

有两种选择：

第一种，你可以通过一个商业性CA如Verisign 或 Thawte签署证书。那么你通常要将CSR贴入一个web表格，支付签署费用并等待签署的证书，然后你可以把它存在一个server.crt文件中。关于商业性CA的更多信息，请参见下列链接：

Verisign - http://digitalid.verisign.com/server/apacheNotice.htm
Thawte Consulting - http://www.thawte.com/certs/server/request.html
CertiSign Certificadora Digital Ltda. - http://www.certisign.com.br
IKS GmbH - http://www.iks-jena.de/produkte/ca /
Uptime Commerce Ltd. - http://www.uptimecommerce.com
BelSign NV/SA - http://www.belsign.be

你自己的CA

第二种，你可以利用自己的CA并由该CA签署CSR。你可以创建自己的认证中心来签署证书。最简单的方法是利用OpenSSL提供的CA.sh或 CA.pl脚本。比较复杂而且是手工的方法是：

为你的CA创建一个RSA私用密钥（被Triple-DES加密并且进行PEM格式化的）：

# openssl genrsa -des3 -out ca.key 1024

请在安全的地方备份这个ca.key文件。记住你输入的通行短语(pass phrase)！你可以通过下面的命令看到这个RSA私用密钥的细节。

# openssl rsa -noout -text -in ca.key

而且你可以为这个RSA私用密钥创建一个加密的PEM版本（不推荐），通过下列命令：

# openssl rsa -in ca.key -out ca.key.unsecure

利用CA的RSA密钥创建一个自签署的CA证书（X509结构）（输出将是PEN格式的）：

# openssl req -new -x509 -days 365 -key ca.key -out ca.crt

你可以通过下列命令查看该证书的细节：

# openssl x509 -noout -text -in ca.crt

准备一个签署所需的脚本，因为"openssl ca"命令有一些奇怪的要求而且缺省的OpenSSL配置不允许简单地直接使用"openssl ca"命令，所以一个名为sign.sh的脚本随mod_ssl分发一道发布（子目录pkg.contrib/）。使用该脚本进行签署。

现在你可以使这个CA签署服务器的CSR，以便创建用于Apache服务器内部的真正的SSL证书（假定你手头已经有一个server.csr）：

# ./sign.sh server.csr

它签署服务器的CSR并且结果在一个server.crt文件中。

现在你有两个文件：server.ket和server.crt。在你的Apache的httpd.conf文件中，如下使用它们：

SSLCertificateFile /path/to/this/server.crt
SSLCertificateKeyFile /path/to/this/server.key

server.csr不再需要了。

haoyufu

UID: 36256
帖子: 180
积分: 413
在线时间: 1 天 20 小时

7^# haoyufu 发表于 2005-08-26 10:27

原來沒密碼好像就不用,
若有密碼,但要自動輸入(其实说的就是上面的CA)

platinum

UID: 33101
帖子: 1
积分: 2
在线时间: 10 分钟

8^# platinum 发表于 2005-08-26 10:40

谢谢你，这个做法我知道

但我想知道，像这种方式（没有证书的）的 https，除了在网络中不是以明文传输以外，并不能保证数据的安全吧？
我是这样理解的，别人截取以后一样可以还原，不知道说的对吗？

ccn

UID: 37584
帖子: 113
积分: 259
在线时间: 17 小时

9^# ccn 发表于 2005-08-26 11:19

你能破解DES算法就能还原了

haoyufu

UID: 36256
帖子: 180
积分: 413
在线时间: 1 天 20 小时

10^# haoyufu 发表于 2005-08-26 12:03

platinum brother

说的对