售前咨询
技术支持
渠道合作

Apache 2.4 -SSL证书安装指南

点击查看完整版PDF

一、部署前特别说明

GDCA 信鉴易® SSL服务器证书部署指南(以下简称“本部署指南”)主要描述如何生成证书请求和如何将SSL服务器证书部署到JBoss服务器

本部署指南的适用范围:深信服VPN设备

深信服VPN部署恒信企业EV SSL和睿信SSL证书的操作步骤一致,区别在于:前者在IE7以上浏览器访问时,浏览器会显示安全锁标志,地址栏会变成绿色;而后者在浏览器访问时,浏览器显示安全锁标志,但地址栏不会变绿色。

本部署指南使用95105813.cn作为样例进行安装配置,实际部署过程请用户根据正式的域名进行配置。

如用户已经生成证书请求文件,请从第三点导入服务器证书开始阅读。

二、获取SSL证书文件

 1.获取服务器证书的根证书和CA证书

在您完成申请GDCA服务器证书的流程后,GDCA将会在返回给您的邮件中附上服务器证书以及根证书GDCA_TrustAUTH_R5_ROOT.cer和相应的CA证书。如果您申请的是睿信(OV) SSL证书(Organization Validation SSL Certificate),CA证书就是文件就是GDCA_TrustAUTH_R4_OV_SSL_CA.cer;如果您申请的是恒信企业EV SSL证书(Extended Validation SSL Certificate),CA证书就是文件就是GDCA_TrustAUTH_R4_EV_SSL_CA.cer,请确认所收到的证书文件是您需要的CA证书:(注意:所发至邮箱的文件是压缩文件,里面有3张证书,请确认所收到的证书文件是您需要的CA证书文件,证书私钥文件.key是在您提交csr文件时已经生成,请找到这个文件!)

 2.获取服务器证书私钥证书

请找到之前提交csr时生成的.key私钥文件,该文件为证书的私钥,后面配置要用到

三、安装服务器证书

打开apache安装目录下conf目录中的httpd.conf文件,如:

vi /usr/local/apache/conf/httpd.conf

找到以下两项去掉注释:
# LoadModule ssl_module modules/mod_ssl.so
#Include conf/extra/httpd-ssl.conf
保存退出。
a.打开Apache2.4/conf/extra/目录下的httpd-ssl.conf文件,将
”ServerName www.example.com:443”改成您的主机域名,
b.添加SSL协议支持语句,关闭不安全的协议和加密套件
SSLProtocol all -SSLv2 -SSLv3
c.修改加密套件如下:
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE

d.找到如下三个选项SSLCertificateFile、SSLCertificateKeyFile和SSLCertificateChainFile这三个配置项,将testweb.95105813.cn.crt和tetweb.95105813.cn.key 及证书链GDCA_TrustAUTH_R4_EV_SSL_CA.cer文件上传到该目录(这里是/usr/local/apache/conf

<VirtualHost *:443>
...
ServerName    www.domain.com:443          #网站域名
DocumentRoot  "/usr/local/apache/www"         #网站主目录
SSLEngine on
SSLProtocol  all -SSLv2 -SSLv3
SSLCipherSuite     ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE  
SSLCertificateFile    "/usr/local/apache/conf/sslcert/testweb.95105813.cn.crt"  #证书公钥
SSLCertificateKeyFile   "/usr/local/apache/conf/sslcert/testweb.95105813.cn.key"  #证书私钥
SSLCertificateChainFile  "/usr/local/apache/conf/sslcert/GDCA_TrustAUTH_R4_EV_SSL_CA.cer"  #中级证书
...
</VirtualHost>

保存退出,并重启Apache,通过https方式访问您的站点,测试站点证书的安装配置。

四、备份和恢复

在您完成服务器证书的安装与配置后,请务必要备份好您的服务器证书,避免证书遗失给您造成不便:

1.备份服务器证书

备份服务器证书私钥文件testweb.95105813.cn.key,服务器证书文件testweb.95105813.cn.crt,即可完成服务器证书的备份操作。

2.恢复服务器证书

参照步骤“三、安装服务器证书”即可完成恢复操作。

五、证书遗失处理

若您的证书文件损坏或者丢失且没有证书的备份文件,请联系GDCA(客服热线 95105813)办理遗失补办业务,重新签发服务器证书。