ApacheMySQLPHPSSL服务器之完全安装攻略

ApacheMySQLPHPSSL服务器之完全安装攻略目的我们的目标是安装一个承诺我们托管多个网站的web服务器，其中一些是针对电子商务的安全解决方案，而大部分网站是通过连接一个数据库服务器同时提取其数据的脚本驱动的。

为了那个任务所需的工具是：
Apache－一个网站服务器
Mod_SSL－一个安全套接字层(SSL)的模块
OpenSSL－开放源代码工具箱(mod_ssl所需）
RSARef－仅对美国用户
MySQL－一个数据库服务器
PHP－一种脚本语言
“条条大路通罗马”……因此这只是专门多能达到我们要求的配置之一。

我选择如此的配置，是因为它是最简单和最快的一种。

选择Mod_SSL/OpenSSL的缘故是因为我有它的先前体会，是最快配置和最容易安装的一种。

为了彼此方便地与Apache 集成，我选择了PHP和MySQL。

记住，Perl能做到你想要做任何工作，然而，PHP 对任何想学习它地程序员来说简单同时容易。

期望你将在终止那个简单的指南后能成功地完成下列目标。

安装并设置MySQL数据库服务器
o 明白如何样检查MySQL服务器的状态
o 明白如何样使用命令行客户程序存取MySQL服务器
o 明白如何样从web存取你的DB服务器
安装并设置具备SSL的Apache网站服务器
o 配置一个简单的虚拟网站
o 明白如何样停止并启动服务器
o 明白如何样做一些差不多的主机托管配置
安装并配置服务器端脚本的PHP 4.0超文本预处理器
o 明白如何样编写简单的php代码
o 明白如何样使用php连接一个DB
o 创建一个启用PHP地简单网站与一个数据库沟通
制造一些样本证书用于Apache SSL
o 明白如何样产生一个CSR文件
o 明白如何样加密一个键码
o 明白如何样签署你自己的证书
本文将覆盖大量的信息。

本指南作为一个入门性地的指南，让你步入电子商务、网站脚本和安全套接字层 (SSL)的世界，目的是关心你建立由储备在数据库中的动态信息驱动的安全网站。

本文绝非是一个详细全面的文档，它因此将有一些错误(期望最小)，在你阅读它时请记住这一点。

然而，它将激起你的热情并运行前面提到的产品，期望让你更好明白得这些东西是如何样工作的。

不需要往常的编程知识，但假定你有点运算机知识背景。

我的目标是编写那个文档以便任何新手能明白得我正在谈论的东西。

假如我达到了，那么我做了一件好事。

假如你轻而易举地建立了电子商务站点，比我做的更杰出:-) 给我一些说明。

假设
本文假设你差不多把下列软件安装在你的系统上了。

Perl (最好是ver 5+)
gzip或gunzip
gcc 和 GNU make
假如你没有安装好这些，你将需要采取必要的步骤在说明本文的任何过程前把他们安装好。

你也需要对UNIX命令、HTML、和SQL的一个差不多了解。

你应该有如何样治理你的Linux机器的一个差不多了解。

你也需要一个完全正常的Linux机器，你将在它上面安装软件。

因此你将需要在前面列出的必要的软件包以编译源代码，同时最后，保证你还没有在Linux机器中预装了MySQL、Apache、或PHP。

工作原理
明白得在幕后发生了什么是有关心的。

那个地点是一个过分简化的工作原理，下图和随后的说明目前不是完全正确的，只是它的一个要点概述：
情形是：我们有一个从一个数据库取出一些数据的网页。

John Doe从他的扫瞄器要求该页，要求被发送给web服务器，接着调用一个PHP脚本。

PHP脚本由PHP预处理器说明并从数据库中取出数据，然后结果由余下的PHP脚本加工并转化成HTML，做后的HTML被发回用户的扫瞄器。

让我们一步一步地看：
John Doe 从他的扫瞄器中点击一个链接；他的扫瞄器发送对 :// yourserver /test.php的要求。

Apache得到对test.php的要求，它明白.php文件应由PHP预处理器(mod_php)处理，因此它通知 PHP处理它。

它明白这些，是因为我们在Apache的配置中指定它。

test.php是包含命令的一个PHP脚本。

这些命令之一是打开一个到一个数据库的连接并抓取数据。

PHP 处理到数据库的连接，同时说明SQL调用从DB中提取数据。

服务器服务器得到从PHP说明器来的连接要求，同时处理那个要求。

要求可能是类似于一个简单的选择语句，或数据库表创建等。

数据库然后将应答和结果回送到PHP说明器。

Apache回送该结果到John Doe的扫瞄器，作为对他要求的应答。

John Doe现在看见一个包含从一个数据库来的一些信息的网页。

假如这是一个对 s:// yoursecureserver /test.php的要求，整个过程与上述类似，除了每个要求和应答在两端被加密和解密，即，扫瞄器连接Apache，获得它的加密键码，加密要求并发送它。

服务器看到要求，解密同时认证它。

它处理文件，加密同时发送它。

然后扫瞄器用服务器的键码解密它。

记住既然连接被加密，确实是用不同的端口用。

端口80用在在非安全连接上，而端口443用在安全连接时。

再说一次，它不是100%的正确，然而它足够快地让你明白幕后发生的情况的专门简单的概述。

既然我们对我们正在试图达到的目标有了一个专门差不多的了解，让我们连续安装软件吧。

预备
Apache (Web服务器)- ://
Mod_SSL (安全服务器层)- ://
OpenSSL (SSL工具箱)- ://
PHP (脚本语言)- ://
MySQL (SQL数据库服务器 )- :// mysql
下载所有(tar文件)源代码到一个临时名目下。

保证你把他们放在有专门多空间的地点……你应该以root身份下载他们以幸免权限问题。

我们的打算
我们的打确实是第一安装MySQL服务器并保证它工作，然后我们将安装PHP和
Mod_SSL，最后我们将安装Apache网站服务器。

在我们安装了Apache以后，我们能够测试PHP和Mod_SSL支持是否起作用了。

MySQL源代码安装(UNIX)
你必须用来执行安装MySQL源代码分发的差不多命令是(自一个没解开“tar”文件)：通过使用su成为 root用户。

$su
直截了当进入你有tar文件的名目。

（使用一个临时名目。

那个地点使用
/tmp/download/ ）
#cd /tmp/download/
使用下列命令提取文件。

# gunzip -d -c mysql-3.22.xx.tar.gz | tar xvf -
改变到新名目，它在提取期间创建。

# cd mysql-3.22.xx
现在你能够开始“配置”MySQL服务器。

你能够用configure指定专门多选项，使用configure --help查看所有的选项。

我差不多选择--prefix指定到安装地点的直截了当路径。

configure将检查你的编译器和一些其他东西。

假如你有任何错误，你能够检查config.cache文件查看错误。

# configure --prefix=/usr/local/mysq
在你完成了配置以后，你能够执行下列命令make真正的二进制代码。

# make
现在你已预备好安装所有的二进制代码。

运行下列命令在你用configure --prefix 选项指定的名目下安装二进制代码。

# make install
在你安装好二进制代码后，现在是创建用于定义权限的mysql表的时候了。

# scripts/mysql_install_db
# cd /usr/local/mysql/bin
# ./safe_mysqld &
# ./mysqladmin -u root password "new-password"
注意：/usr/local/mysql是我选择安装MySQL服务器的名目。

你能够通过改变名目选择另外的地点。

你能够通过运行一些简单的测试来验证服务器正在工作以确保MySQL正在运行。

输出应该类似于下面所示的：BINDIR=/usr/local/mysql/bin。

BINDIR依靠于你在上面的前缀选择的名目。

# BINDIR/mysqlshow -p
+---------------+
| Databases |
+---------------+
| mysql |
+---------------+
一旦你安装好MySQL，它将自动地创建2个数据库。

一个mysql表，它操纵在实际的服务器中用户、主机和数据库权限；另一个是一个test数据库，我们能使用test 数据库。

然而，我们想给你一个快速而简单的MySQL可用的一些命令行选项的概述。

这也将保证root被设置了对DB服务器的全部存取权限，即：root有创建数据库、数据库表等的许可，因此我们将创建一个test2数据库，在以后我们用它进行我们的测试。

在你通过命令行进入MySQL前，你将被提示root用户的新口令。

记住你往常改变了它。

# mysql -u root -p
mysql> show databases;
+----------------+
| Database |
+----------------+
| mysql |
| test |
+----------------+
mysql> create database test2;
Query OK, 1 row affected (0.00 sec)
现在选择新的数据库使用，并创建一个名为tst_tbl的新表, 有下列2个字段。

字段1是是一个id字段，承诺你明白记录的id。

实质上为了简化这只是的一个行号。

第二个字段是你一个name字段，储备书名信息。

这些字段的格式是：字段1(id)是一个长度为3的整数(int)，而字段2(name)是一个长度为50的字符(char)字段。

为搜索和索引数据，我们指定id为键码。

mysql> use test2;
Database changed
mysql> CREATE TABLE books ( id int(3) not null
-> auto_increment, name char(50) not null,
-> unique(id), primary key(id));
Query OK, 0 rows affected (0.00 sec)
现在我们用下列命令验证一切正确无误。

mysql> show tables
+---------------------+
| Tables in test2 |
+---------------------+
| books |
+---------------------+
1 row in set (0.00 sec)
mysql> describe books;
+-------+-------------+------+------+----------+------------------------+
| Field | Type | Null | Key | Default | Extra |
+-------+-------------+------+------+----------+------------------------+
| id | int(3) | | PRI | 0 | auto_increment |
| name | char(50) | | | | |
+-------+-------------+------+------+----------+------------------------+
2 rows in set (0.00 sec)
注意到describe命令差不多上“描述”了表的布局。

相当不错吧！
好，该试一些确实有用的SQL命令，插入并从数据库中选择数据，现在把几个记录加到新表中。

记住这些是简单的书名记录，然而一旦你获得了SQL足够的体会，你能够为一些大的电子商务站点创建确实复杂的数据库。

让我们创建2本假想的书的2条记录。

第一条记录是我在今后某天写的一本书的名字-“PHP 4 Newbies”，另一本是一个专门有用的Linux书，“Red Hat Linux 6 Server”，由Mohammed J. Kabir所著。

mysql> INSERT INTO books (name) values("PHP 4 Newbies");
Query OK, 1 row affected (0.00 sec)
mysql> INSERT INTO books (name) values("Red Hat Linux 6 Server");
Query OK, 1 row affected (0.00 sec)
现在我们能够检查新纪录，发出一条“选择所有”命令
mysql> SELECT * from books;
+----+----------------------------------+
| id | name |
+----+----------------------------------+
| 1 | PHP for Newbies |
| 2 | Red Hat Linux 6 Server |
+----+----------------------------------+
2 rows in set (0.00 sec)
专门好，MySQL服务器完全起作用了。

我们能够连续加入，然而现在没什么意义。

注意到当你向数据库中插入记录时，你如何样不必指定id号，这是因为你创建了启用auto_increment选项的id字段。

让我演示一下如何做一个快速删除。

这只是让你明白，记住，你可在MySQL的网站 :// mysql 上找到所需的有关mysql命令和服务器的所有信息。

mysql> delete from books where id=1;
Query OK, 1 row affected (0.00 sec)
mysql> select * from books;
+----+-----------------------------------+
| id | name |
+----+-----------------------------------+
| 2 | Red Hat Linux 6 Server |
+----+-----------------------------------+
1 row in set (0.00 sec)
好了，退出MySQL，连续安装。

你可在完成所有安装同时一切工作正常后玩MySQL 也不迟。

PHP安装(UNIX)
现在安装PHP语言。

你下载了最新的beta版，然而你可能必须下载非beta版本。

记住beta版本需要GNU make。

你仍旧假定是root，假如不是，su回到root。

PHP要求你差不多预先配置好的Apache，以便它能明白所需的东西在哪儿。

在以后你安装Apache服务器时，你将会回到那个地点。

改变到你有源代码的名目。

# cd /tmp/DOWNLOAD
# gunzip -c apache_1.3.x.tar.gz | tar xf -
# cd apache_1.3.x
# ./configure
# cd ..
好的，现在你能够开始PHP的安装。

提取源代码文件并进入其名目。

假如你下载了版本3，在数字和命令上有一个改变，不大的改变。

# gunzip -c php-4.0.x.tar.gz | tar xf -
# cd php-4.0.x
假如你正在编译代码，configure将永久是你的朋友。

:-) 因此，configure有专门多选项。

使用configure --help确定你想要增加哪些。

我只是需要MySQL和LDAP，同时因此Apache。

# ./configure --with-mysql=/usr/local/mysql
--with-xml
--with-apache=../apache_1.3.x
--enable-track-vars
--with-ldap
make并安装二进制代码。

# make
# make install
拷贝ini文件到lib名目。

# cp php.ini-dist /usr/local/lib/php.ini
你能够编辑PHP文件来设置PHP选项，如你能够通过在你的php.ini文件中插入下列行，增加php的max_execution_time。

max_execution_time = 60;
注意：php3用户将使用php3.ini，而php4用户将使用php.ini文件。

Apache 与 Mod_SSL
该配置并安装mod_ssl和Apache了。

对此，你将需要有rsaref-2.0文件。

在 ://ftpsearch.lycos /上搜索“rsaref20.tar.Z”。

假如你不喜爱Lycos，
你能够选择其他搜索引擎来搜索文件。

因此只有你在美国才需要那个文件。

（管它呢，你也可从别处下载，第一在 ://ftpsearch.ntnu.no/查找“rsaref20.tar.Z”，好多啊！。

）
创建rasref名目，你将在该名目提取文件。

注意。

这假定你下载了一个临时名目，而你就在此名目。

# mkdir rsaref-2.0
# cd rsaref-2.0
# gzip -d -c ../rsaref20.tar.Z | tar xvf -
现在配置并构造OpenSSL库。

# cd rsaref-2.0
# cp -rp install/unix local
# cd local
# make
# mv rsaref.a librsaref.a
# cd ../..
安装OpenSSL。

记住，你将用它来创建临时证书和CSR文件。

--prefix选项指定主安装名目。

# cd openssl-0.9.x
# ./config -prefix=/usr/local/ssl
-L`pwd`/../rsaref-2.0/local/ rsaref -fPIC
现在make、测试并安装它。

# make
# make test
# make install
# cd ..
我们将配置MOD_SSL模块，然后用Apache配置指定它为一个可装载的模块。

# cd mod_ssl-2.5.x-1.3.x
# ./configure
--with-apache=../apache_1.3.x
# cd ..
现在我们能够把更多的Apache模块加到Apache源代码树中。

可选的
--enable-shared=ssl选项使得mod_ssl构造成为一个DSO“libssl.so”。

关于在Apache支持DSO的更多信息，阅读Apache源代码树中的INSTALL和
htdocs/manual/dso.html文档。

我强烈建议ISP和软件包装爱护者为了最灵活地使用mod_ssl而使用DSO工具，然而注意，DSO不是在所有平台上的Apache都支持。

# cd apache_1.3.x
# SSL_BASE=../openssl-0.9.x
RSA_BASE=../rsaref-2.0/local
./configure --enable-module=ssl
--activate-module=src/modules/php4/libphp4.a
--enable-module=php4 --prefix=/usr/local/apache
--enable-shared=ssl
[...你可加入更多的选项...]
生成Apache，然后生成证书，并安装...
# make
假如你已正确地完成，你将得到类似于以下的信息：
+-----------------------------------------------------------------------+
| Before you install the package you now should prepare the SSL |
| certificate system by running the "make certificate" command. |
| For different situations the following variants are provided: |
| |
| % make certificate TYPE=dummy (dummy self-signed Snake Oil cert) |
| % make certificate TYPE=test (test cert signed by Snake Oil CA) |
| % make certificate TYPE=custom (custom cert signed by own CA) |
| % make certificate TYPE=existing (existing cert) |
| CRT=/path/to/your.crt [KEY=/path/to/your.key] |
| |
| Use TYPE=dummy when you're a vendor package maintainer, |
| the TYPE=test when you're an admin but want to do tests only, |
| the TYPE=custom when you're an admin willing to run a real server | | and TYPE=existing when you're an admin who upgrades a server. |
| (The default is TYPE=test) |
| |
| Additionally add ALGO=RSA (default) or ALGO=DSA to select |
| the signature algorithm used for the generated certificate. |
| |
| Use "make certificate VIEW=1" to display the generated data. |
| |
| Thanks for using Apache & mod_ssl. Ralf S. Engelschall |
| rse@engelschall |
| engelschall |
+-----------------------------------------------------------------------+
现在你能够创建一个定制的证书。

该选项将提示输入你的地址、公司、和其他一些东西。

关于证书，请参阅本文的结尾。

# make certificate TYPE=custom
现在安装Apache...
# make install
假如一切正常，你应该看到类似于以下的信息：
+----------------------------------------------------------------------------------+
| You now have successfully built and installed the |
| Apache 1.3 server. To verify that Apache actually |
| works correctly you now should first check the |
| (initially created or preserved) configuration files |
| |
| /usr/local/apache/conf/ d.conf |
| and then you should be able to immediately fire up |
| Apache the first time by running: |
| |
| /usr/local/apache/bin/apachectl start |
| Or when you want to run it with SSL enabled use: |
| |
| /usr/local/apache/bin/apachectl startssl |
| Thanks for using Apache. The Apache Group |
| :// / |
+----------------------------------------------------------------------------------+
现在验证Apache和PHP是否正在工作。

然而，我们需要编辑srm.conf和 d.conf 保证我们把PHP类型加到了配置中。

查看 d.conf并去掉下列行的注释。

假如你精确地遵循了本文的指令，你的 d.conf文件将位于/usr/local/apache/conf 名目。

文件有一行针对php4的addtype加了注释，现在就去掉注释。

d.conf 文件--片断
>
> # And for PHP 4.x, use:
> #
---> AddType application/x- d-php .php
---> AddType application/x- d-php-source .phps
>
>
现在我们预备启动Apache服务器看它是否在工作。

第一我们将启动不支持SSL的服务器看它是否启动了。

我们将检查对PHP的支持，然后我们将停止服务器同时启动
启用了SSL支持的服务器并检查我们是否一切正常。

configtest 将检查所有配置是否正确设置。

# cd /usr/local/apache/bin
# ./apachectl configtest
Syntax OK
# ./apachectl start
./apachectl start: d started
测试我们的工作
Apache 正在工作吗？
假如它工作正常，当你用Netscape连接服务器时，你将看见一幅类似于这幅屏幕捕捉的屏幕。

这是差不多上是Apache缺省安装的页面。

注意：你能够用域名或机器实际的IP地址与服务器连接。

检查这两种情形，确保一切工作正常。

PHP支持正在工作吗？？
现在将测试PHP支持……创建一个文件(名为：test.php )，它有下列信息。

文件需要位于文档根路径下，它应该缺省设置为/usr/local/apache/htdocs。

注意这依靠于我们往常选择的前缀，然而，这可在 d.conf中改变。

设置多个虚拟主机将在另一篇文章加少，请留意，因为它将涉及安装Apache和它的指令的一些专门差不多的选项。

test.php 文件
< ?
phpinfo();
?>
它将显示有关服务器、php和环境的信息。

下面是输出页面的顶部的屏幕抓取。

专门酷吧，PHP起作用了。

SSL 选择正在工作吗？？
好了，现在我们预备测试SSL了。

第一停止服务器，并以启用SSL的选项重启它。

# /usr/local/apache/bin/apachect l stop
# /usr/local/apache/bin/apachectl startssl
测试它是否工作：通过用一个Netscape与服务器连接同时选择 s协议，即：s://youserver.yourdomain 或 ://yoursever.yourdomain :443 ，也能够再试一下你的服务器的 ip地址，即： s://xxx.xxx.xxx.xxx
和 ://xxx.xxx.xxx.xxx:443 。

假如它起作用了，服务器将把证书发送到扫瞄器以建立一个安全连接。

这将让扫瞄器提示你同意自己签署的证书。

，假如它是来自VeriSign或Thawte的一张证书，那么扫瞄器将不提示你，因为证书来自一个可信的证书授权机构(CA)。

在我们的情形中，我们创建并签署我们自己的证书……我们不想赶忙买一个。

第一，我们想要保证我们能使一切正常。

你在Netscape中将看见启用了下列选项。

这就告诉你一个安全的连接差不多建立起来了。

PHP和MySQL能一起工作吗？？
现在，我们能够确定php能与MySQL一起工作，通过创建一个简单的脚本，对“test2”数据库做一些插入和数据删除操作。

只是一个简单的脚本以测试它是否工作了。

在另一篇文章中我们将讨论PHP脚本连接一个 MySQL数据库。

还记得我们差不多创建立了数据库和一张表。

我们能够现在完成它，然而我选择不。

我想要再检查一次root 有权限创建立数据库和表，然而，PHP提供了对MySQL的提供，因此我能专门容易地编写代码以创建一个测试数据库和若干条记录。

记得我们往常创建了书籍数据库。

假如你跃过了往常的内容，这部分将不工作。

我们创建了有一个“books”表的test2数据库，同时为一本书插入了一条记录。

那个脚本差不多上扫瞄该表并列出所有字段名，它的确专门简单。

< ?
$dbuser = "root";
$dbhost = "localhost";
$dbpass = "password";
$dbname = "test2";
$dbtble = "books";
$mysql_link = mysql_connect($dbhost,$dbuser,$dbpass); $column = mysql_list_fields($dbname,$dbtble,$mysql_link); for($i=0; $i< mysql_num_fields($column); $i++ )
{
print mysql_field_name($column,$i )."< br> ";
}
?>
一个更复杂的例子将向你演示PHP某些精妙的功能。

< html>
< head>
< title> Example 2 -- more details< /title>
< /head>
< body bgcolor="white">
< ?
$dbuser = "root";
$dbhost = "localhost";
$dbpass = "password";
$dbname = "test2";
$dbtable = "books";
//------ DATABASE CONNECTION --------//
$mysql_link = mysql_connect($dbhost,$dbuser, $dbpass); $column = mysql_list_fields($dbname,$dbtable,$mysql_link); $sql = "SELECT * FROM $dbtable";
$result = mysql_db_query($dbname,$sql);
?>
< table bgcolor="black">
< tr> < td>
< table>
< /td> < /tr>
< /table>
< /body>
< /html>
注意，我们竟能在同一文件中同时有HTML和PHP命令。

这确实是PHP脚本的奇异之处。

虚拟主机的设置
现在是设置Apache处理一些虚拟主机的时刻了。

由于Apache提供的灵活性，虚拟主机可专门简单地做到。

第一你需要一个DNS服务器把虚拟主机的域名指向web服务器的IP地址。

在DNS使用一个CNAME记录把 your_virtual_domain 指向服务器的IP。

其次你需要修改Apache的配置文件 d.conf以增加新的虚拟域名。

记住，这只是一个专门差不多的例子，你有勇气读一下Apache的指令。

让我们看一个 d.conf 的例子。

d.conf 片断
#--------------------------------------------------------#
# VIRTUAL HOST SECTION NON-SSL
#--------------------------------------------------------#
# VirtualHost directive allows you to specify another virtual
# domain on your server. Most Apache options can be specified
# within this section.
# Mail to this address on errors
ServerAdmin webmaster@domain1
# Where documents are kept in the virtual domain
# this is an absolute path. So you may want to put
# in a location where the owner can get to it. DocumentRoot /home/vhosts/domain1 /www/
# Since we will use PHP to create basically
# all our file we put a directive to the Index file. DirectoryIndex index.php
# Name of the server
ServerName domain1
# Log files Relative to ServerRoot option
ErrorLog logs/domain1 -error_log
TransferLog logs/domain1 -access_log
RefererLog logs/domain1 -referer_log
AgentLog logs/domain1 -agent_log
# Use CGI scripts in this domain. In the next case you
# can see that it does not have CGI scripts. Please
# read up on the security issues relating to CGI-scripting. ScriptAlias /cgi-bin/ /var/www/cgi-bin/domain1 / AddHandler cgi-script .cgi
AddHandler cgi-script .pl
# This is another domain. Note that you could host
# multiple domains this way...
# Mail to this address on errors
ServerAdmin webmaster@domain2
# Where documents are kept in the virtual domain
DocumentRoot /virtual/domain2 /www/html
# Name of the server
ServerName domain2
# Log files Relative to ServerRoot option
ErrorLog logs/domain2 -error_log
TransferLog logs/domain2 -access_log
RefererLog logs/domain2 -referer_log
AgentLog logs/domain2 -agent_log
# No CGI's for this host
# End: virtual host section
使用上述例子在你的服务器上创建你自己的虚拟主机。

假如你想从Apache网站上阅读每一条指令，它的网址是： :// 。

SSL虚拟主机
创建SSL虚拟主机类似非SSL。

除了你需要指定另外的指令，还有，你需要增加一个DNS记录同时修改 d.conf。

那个地点有一个例子。

#--------------------------------------------#
# SSL Virtual Host Context
#--------------------------------------------#
# General setup for the virtual host
DocumentRoot /usr/local/apache/htdocs
ServerAdmin webmaster@securedomain1
ServerName securedomain1
ErrorLoglogs/domain1 -error_log
TransferLog logs/domain1 -transfer_log
# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on
# Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate. If
# the certificate is encrypted, then you will be prompted for a # pass phrase. Note that a kill -HUP will prompt again. A test # certificate can be generated with `make certificate' under
# built time. Keep in mind that if you've both a RSA and a DSA # certificate you can configure both in parallel (to also allow # the use of DSA ciphers, etc.)
# Note that I keep my certificate files located in a central
# location. You could change this if you are an ISP, or ASP. SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
# Server Private Key:
# If the key is not combined with the certificate, use this
# directive to point at the key file. Keep in mind that if
# you've both a RSA and a DSA private key you can configure
# both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key # Per-Server Logging:
# The home of a custom SSL log file. Use this when you want a # compact non-error SSL logfile on a virtual host basis.
CustomLog /usr/local/apache/logs/ssl_request_log
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b"
记住你有专门多指令能够指定。

我们将在另一篇有关配置Apache的文章中讨论，本文只是一个入门性指南。

生成证书
这是如何生成证书的按部就班的描述。

为你的Apache服务器创建一个RSA私用密钥(被Triple-DES加密同时进行PEM格式化)：
# openssl genrsa -des3 -out server.key 1024
请在安全的地点备份那个server.key文件。

记住你输入的通行短语(pass phrase)！你能够通过下面的命令看到那个RSA私用密钥的细节。

# openssl rsa -noout -text -in server.key
而且你能够为那个RSA私用密钥创建一个加密的PEM版本（不举荐），通过下列命令：
# openssl rsa -in server.key -out server.key.unsecure
用服务器RSA私用密钥生成一个证书签署要求（CSR-Certificate Signing Request）（输出将是PEM格式的）：
# openssl req -new -key server.key -out server.csr
当OpenSSL提示你“CommonName”时，确保你输入了服务器的FQDN("Fully Qualified Domain Name") ，即，当你为一个以后用 s:// foo.dom/访问的网站生成一个CSR时，那个地点输入" foo.dom"。

你可借助下列命令查看该CSR的细节：# openssl req -noout -text -in server.csr
将CSR发到一个CA
现在你必须发送该CSR到一个CA以便签署，然后的结果才是能够用于Apache的一个真正的证书。

有两种选择：
第一种，你能够通过一个商业性CA如Verisign 或 Thawte签署证书。

那么你通常
要将CSR贴入一个web表格，支付签署费用并等待签署的证书，然后你能够把它存在一个server.crt文件中。

关于商业性CA的更多信息，请参见下列链接：Verisign - ://digitalid.verisign /server/apacheNotice.htm
Thawte Consulting - :// thawte /certs/server/request.html CertiSign Certificadora Digital Ltda. - :// certisign .br
IKS GmbH - :// iks-jena.de/produkte/ca /
Uptime Commerce Ltd. - :// uptimecommerce
BelSign NV/SA - :// belsign.be
你自己的CA
第二种，你能够利用自己的CA并由该CA签署CSR。

你能够创建自己的认证中心来签署证书。

最简单的方法是利用OpenSSL提供的CA.sh或 CA.pl脚本。

比较复杂而且是手工的方法是：
为你的CA创建一个RSA私用密钥（被Triple-DES加密同时进行PEM格式化的）：# openssl genrsa -des3 -out ca.key 1024
请在安全的地点备份那个ca.key文件。

记住你输入的通行短语(pass phrase)！你能够通过下面的命令看到那个RSA私用密钥的细节。

# openssl rsa -noout -text -in ca.key
而且你能够为那个RSA私用密钥创建一个加密的PEM版本（不举荐），通过下列命令：
# openssl rsa -in ca.key -out ca.key.unsecure
利用CA的RSA密钥创建一个自签署的CA证书（X509结构）（输出将是PEN格式的）：# openssl req -new -x509 -days 365 -key ca.key -out ca.crt
你能够通过下列命令查看该证书的细节：
# openssl x509 -noout -text -in ca.crt
预备一个签署所需的脚本，因为"openssl ca"命令有一些惊奇的要求而且缺省的OpenSSL配置不承诺简单地直截了当使用"openssl ca"命令，因此一个名为sign.sh 的脚本随mod_ssl分发一道公布（子名目pkg.contrib/）。

使用该脚本进行签署。

现在你能够使那个CA签署服务器的CSR，以便创建用于Apache服务器内部的真正的SSL证书（假定你手头差不多有一个server.csr）：
# ./sign.sh server.csr
它签署服务器的CSR同时结果在一个server.crt文件中。

现在你有两个文件：server.ket和server.crt。

在你的Apache的 d.conf文件中，如下使用它们：
SSLCertificateFile /path/to/this/server.crt
SSLCertificateKeyFile /path/to/this/server.key
server.csr不再需要了。