abstract：SSLSSL證書(shū)通過(guò)在客戶(hù)端瀏覽器和Web服務(wù)器之間建立一條SSL安全通道（Secure socket layer(SSL)安全協(xié)議是由Netscape Communication公司設(shè)計(jì)開(kāi)發(fā)。該安全協(xié)議主要用來(lái)提供對(duì)用戶(hù)和服務(wù)器的認(rèn)證；對(duì)傳送的數(shù)據(jù)進(jìn)行加密和隱藏；確保數(shù)據(jù)在傳送中不被改變，即數(shù)據(jù)的完整性，現(xiàn)已成為該領(lǐng)域中全球化的標(biāo)準(zhǔn)。由于SSL技術(shù)已建立到所有主要的瀏覽器和WEB服務(wù)器程序中，因

SSL

SSL證書(shū)通過(guò)在客戶(hù)端瀏覽器和Web服務(wù)器之間建立一條SSL安全通道（Secure socket layer(SSL)安全協(xié)議是由Netscape Communication公司設(shè)計(jì)開(kāi)發(fā)。該安全協(xié)議主要用來(lái)提供對(duì)用戶(hù)和服務(wù)器的認(rèn)證；對(duì)傳送的數(shù)據(jù)進(jìn)行加密和隱藏；確保數(shù)據(jù)在傳送中不被改變，即數(shù)據(jù)的完整性，現(xiàn)已成為該領(lǐng)域中全球化的標(biāo)準(zhǔn)。由于SSL技術(shù)已建立到所有主要的瀏覽器和WEB服務(wù)器程序中，因此，僅需安裝服務(wù)器證書(shū)就可以激活該功能了）。即通過(guò)它可以激活SSL協(xié)議，實(shí)現(xiàn)數(shù)據(jù)信息在客戶(hù)端和服務(wù)器之間的加密傳輸，可以防止數(shù)據(jù)信息的泄露。保證了雙方傳遞信息的安全性，而且用戶(hù)可以通過(guò)服務(wù)器證書(shū)驗(yàn)證他所訪問(wèn)的網(wǎng)站是否是真實(shí)可靠。

安全套接字層 (SSL) 技術(shù)通過(guò)加密信息和提供鑒權(quán)，保護(hù)您的網(wǎng)站安全。一份 SSL 證書(shū)包括一個(gè)公共密鑰和一個(gè)私用密鑰。公共密鑰用于加密信息，私用密鑰用于解譯加密的信息。瀏覽器指向一個(gè)安全域時(shí)，SSL 同步確認(rèn)服務(wù)器和客戶(hù)端，并創(chuàng)建一種加密方式和一個(gè)唯一的會(huì)話(huà)密鑰。它們可以啟動(dòng)一個(gè)保證消息的隱私性和完整性的安全會(huì)話(huà)。

首先要有一個(gè)主證書(shū)，然后用主證書(shū)來(lái)簽發(fā)服務(wù)器證書(shū)和客戶(hù)證書(shū)，服務(wù)器證書(shū)和客戶(hù)證書(shū)是平級(jí)關(guān)系，SSL所使用的證書(shū)可以自己生成，也可以通過(guò)一個(gè)商業(yè)性CA（如Verisign 或 Thawte）簽署證書(shū)。簽發(fā)證書(shū)的問(wèn)題：如果使用的是商業(yè)證書(shū)，具體的簽署方法請(qǐng)查看相關(guān)銷(xiāo)售商的說(shuō)明；如果是知己簽發(fā)的證書(shū)，可以使用openssl 自帶的CA.sh腳本工具。如果不為單獨(dú)的客戶(hù)端簽發(fā)證書(shū)，客戶(hù)端證書(shū)可以不用生成，客戶(hù)端與服務(wù)器端使用相同的證書(shū)。

配置過(guò)程 

步驟一：安裝apache,使其支持SSL,并安裝php

1.安裝配有SSL模塊的apache,apache_2.2.8-win32-x86-openssl-0.9.8g

2.配置apache以支持SSL:

1)打開(kāi)apache的配置文件conf/httpd.conf

LoadModule ssl_module modules/mod_ssl.so
Include conf/extra/httpd-ssl.conf

去掉兩行前面的#

2)注意修改httpd-ssl.conf 文件里的兩個(gè)字段：

SSLCertificateFile "C:/Apache2.2/conf/server.crt"
SSLCertificateKeyFile "C:/Apache2.2/conf/server.key"

3.安裝php,整合apache和php(略)

步驟二：為網(wǎng)站服務(wù)器生成證書(shū)及私鑰文件

1. 生成服務(wù)器的私鑰

進(jìn)入命令行:

D:\local\apache2\bin\openssl genrsa -out server.key 1024

在當(dāng)前目錄下生成了一個(gè)server.key生成簽署申請(qǐng)

2. 生成簽署申請(qǐng)

D:\local\apache2\bin>openssl req -new –out server.csr -key server.key -config ..\conf\openssl.cnf

此時(shí)生成簽署文件server.csr。

可能會(huì)報(bào)錯(cuò)：無(wú)法定位序數(shù)xxx于動(dòng)態(tài)鏈接庫(kù)libeay32.dll，解決辦法：將apache的bin目錄下的libeay32.dll文件復(fù)制到c:\windows\system32下。

步驟三：通過(guò)CA為網(wǎng)站服務(wù)器簽署證書(shū)

1.生成CA私鑰

D:\local\apache2\bin\openssl genrsa  -out ca.key 1024

多出ca.key文件

2.利用CA的私鑰產(chǎn)生CA的自簽署證書(shū)

D:\local\apache2\bin\openssl req  -new -x509 -days 365 -key ca.key -out ca.crt  -config ..\conf\openssl.cnf

此時(shí)需要輸入一些信息，注意Common Name為服務(wù)器域名，如果在本機(jī)，為本機(jī)IP。

3.CA為網(wǎng)站服務(wù)器簽署證書(shū)

D:\local\apache2\bin\openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config ..\conf\openssl.cnf

但此時(shí)會(huì)報(bào)錯(cuò)，于是在當(dāng)前目錄創(chuàng)建demoCA，里面創(chuàng)建以下文件，index.txt,serial:serial內(nèi)容為01，其他為空,以及文件夾newcert.再執(zhí)行一遍，即可生成server.crt文件

步驟四：將  server.crt,server.key復(fù)制到apache的conf文件夾下，重啟apache

步驟五：配置windows

打開(kāi)C:\WINDOWS\system32\drivers\etc下的etc文件：
修改為：

127.0.0.1 localhost
127.0.0.1 www.icultivator.com

步驟六：

在apache下創(chuàng)建站點(diǎn)。 訪問(wèn)

https://www.icultivator.com