Linux Apache 的 HTTPS 配置
Linux Apache 的 HTTPS 配置
我以前在 Windows 上配置过Apache的 SSL/HTTPS 双向认证,即对 Web 服务器与浏览器同时进行认证,而建立的 HTTPS 安全连接。最近,我在 Linux 下也配置了下Apache的 HTTPS,并将配置过程和遇到的问题记录了一下。
配置环境
?Web 服务器系统:VMware Workstation 6.0.2,Debian Linux 5.0.2,kernel=2.6.26-2-686
?Web 服务器:Apache 2.2.9-10
?Web 浏览器系统:Windows XP Professional
?Web 浏览器:Firefox 3.0.11
Linux Apache的基本配置
现在 Linux 下较新的Apache配置,要比 Windows 下的配置方便、灵活的多。比如,我的 Debian 5 下的Apache2 包安装后,就将Apache的配置文件放在:/etc/apache2目录下,并按照 Linux 下经典的:xxx-available,xxx-enabled,xxx.d目录来组织配置文件,看到这里有没有想到 Emacs 的配置文件组织方式呢?(*^_^*)。玩 Linux 的人看到这里,大多都能猜地出 Linux Apache是怎么组织的。下面简单列举一下Apache配置文件的组织结构:
?apache2.conf:Apache的入口配置文件,包含其它配置文件的主控文件?conf.d/:包含一些零碎的配置,一般不和具体的 mod 相关,是全局性质的,比如:字符集 charset、安全选项 security。
?ports.conf:设置Apache的监听端口,默认时,HTTP 为 80,HTTPS 为443。
?envvars:导出一些环境变量,比如:
?export APACHE_RUN_USER=www-data
?export APACHE_RUN_GROUP=www-data
?export APACHE_PID_FILE=/var/run/apache2.pid
?httpd.conf:额外的用户设置的配置,默认里面内容为空。Windows 下的Apache喜欢用这个名字作为主控配置文件,但在 Linux 下,作用不大。
?mods-available/:包含Apache中所有可用 mod 的加载和设置配置,加载配置一般用 xxx.load 表示,设置配置一般用 xxx.conf 表示,比如:mod_ssl 的加载配置为:ssl.load,设置配置为:ssl.conf ?mods-enabled/:实际启动的 mod 的加载和设置配置,是到
mods-available/ 中配置文件的符号链接。
?sites-available/:Web 站点的配置,可以是全局的,或虚拟主机作用域的。默认有两个附带的配置文件:default、default-ssl,其中 default 为一般的 HTTP 服务的虚拟主机配置,而 default-ssl 就是 HTTPS 服务的虚拟主机配置。这两个配置文件可以直接使用,配置内容只需做适当的
调整即可。
?sites-enabled/:实际启动的 Web 站点配置,是到 sites-available/ 中配置文件的符号链接。默认时,只有一个000-default链接指向
sites-available/default,说明默认的Apache配置,只启动 HTTP 服
务,而不启动 HTTPS 服务。
另外,列举一下配置 HTTPS 时,Apache的相关文件路径:
?Apache日志文件:在:/var/log/apache2目录中保存。错误日志为:error.log,HTTP 访问日志为:access.log,HTTPS 访问日志为:
ssl_access.log。
?Apache的启动:可以使用Apache在:/etc/init.d/中安装的 Run Level 脚本:apache2,来启动/停止Apache服务。和大多数 Run Level 脚本一样,使用参数start启动服务,使用参数stop停止服务,如下:?# /etc/init.d/apache2 start
?Starting web server: apache2apache2: Could not reliably determine the server's fully qualified domain name, using 192.168.2.108 for ServerName
?
?# /etc/init.d/apache2 stop
?Stopping web server: apache2apache2: Could not reliably determine the server's fully qualified domain name, using 192.168.2.108 for ServerName
? ... waiting .
?Web 文件目录:使用 sites-available 中,配置文件 default 和default-ssl 的DocumentRoot选项,默认指定的 Web 文件目录:
/var/www/。
/var/www 目录下默认只有一个 Web 文件:index.html,我就用它作为
HTTPS 配置的测试页面,并更改了下它的内容:
Hello World! --zy
证书、密钥和测试场景
有 2 台主机系统:
?一个 Linux 安装Apache服务器,主机名:zy-13
?另一个为 Windows,使用 Firefox 作为浏览器,主机名:zy-1。使用Firefox 作为浏览器,是因为 HTTPS 基于的 SSL 最早是由 Netscape 提出的,并且 Netscape 一直在发展 SSL 技术(参考:Mozilla SSL/TLS),而 Mozilla 是 Netscape 的开源社区,所以我想 Mozilla 的 Firefox
应该比其它浏览器对 SSL 支持地更完善(其实这是借口,我只是喜欢用
Firefox 而已)。
有3套证书,用openssl工具生成,作用如下:
?zy-root.cer:用作CA证书,PEM格式,对其它两个证书进行签发,它自己是自签的。
?zy-13.cer:用作Web服务器证书,PEM格式。它的密钥文件为:zy-13.key,用DES3加密保护。
注意:
服务器证书zy-13.cer中的通用名属性,即CN:Common Name字段,应该和服务器的主机名一致,我都设定为:zy-13,否则,浏览器会报错:ssl_error_bad_cert_domain,如下:
这个要求的作用是显然的,目的是防止其它人冒用服务器证书,比如:当服务器证书zy-13.cer,和服务器密钥zy-13.key,同时落入攻击者手中,并且zy-13.key不使用密码保护时,这种冒充攻击就可能奏效。
在实际工作中,CN名应该设定为服务器主机的全域名(FQDN:Fully Qualified Domain Name)。
我在测试中,用IP地址访问HTTPS服务时,浏览器也会出现该错误,这可能是因为主机名和IP地址的映射不是由DNS系统完成的,而是由
Windows LAN完成的。
另外,对于这种“无效的安全证书”错误,Firefox有一种“迁就的”用户放过的方法:通过服务器证书的散列码(指纹)和其它属性信息,人工验证证书的有效性,如果最后你确定信任这个证书,可以在Firefox中加入一条“安全例外”。“安全例外”型证书是Firefox对待证书认证的一种灵活方式,但使用这种方式后安全性交由Firefox用户自己负责,而依靠授权证书链的认证策略也荡然无存了,这也不是HTTPS认证的正常使用方式。
安全例外可以在Firefox的报错页面上点击“或者,您可以添加一个例外”
来增加,例外的证书被放置在“证书管理器”中的“服务器”类别中,在
那里也可以点击“添加例外”增加例外证书。
zy-1.cer:用作浏览器中使用的Web客户端证书,PEM格式。它的密钥文件为:zy-1.key,用DES3加密保护。将zy-1.cer与zy-1.key合成为
PKCS#12格式的文件:zy-1.p12,并设定导出密码(Export Password)
保护zy-1.p12文件。
注意:
这个导出密码就是在浏览器中导入PKCS#12文件时,提示输入的密码,而
原来的密钥文件zy-1.key的DES3保护密码是没有用的。
HTTPS服务器端认证配置
Apache中对服务器端的HTTPS认证配置、使用过程如下:
1.启用Apache默认附带的HTTPS服务配置文件:
sites-available/default-ssl,只需在目录:sites-enabled中建立一
个指向它的符号链接即可:
2.#cd sites-enabled
3.#ln -s -T ../sites-available/default-ssl 001-default-ssl
4.在:sites-available/default-ssl中设置HTTPS服务器端认证的选项。
首先,启动SSL传输层引擎SSLEngine,如下:
5.# SSL Engine Switch:
6.# Enable/Disable SSL for this virtual host.
7.SSLEngine on
8.使用SSLCertificateFile和SSLCertificateKeyFile选项,设置服务器
证书zy-13.cer和服务器密钥zy-13.key。
9.# A self-signed (snakeoil) certificate can be created by
installing
10.# the ssl-cert package. See
11.# /usr/share/doc/apache2.2-common/README.Debian.gz for more
info.
12.# If both key and certificate are stored in the same file, only
the
13.# SSLCertificateFile directive is needed.
14.SSLCertificateFile /root/common/key/zy-13.cer
15.SSLCertificateKeyFile /root/common/key/zy-13.key
设置完后,服务器端认证大致就配置完成了,不要忘记重启Apache服务
器。如果服务器密钥文件zy-13.key使用密码加密保护,则在启动Apache
时会提示用户输入密码,以解密zy-13.key获得明文的密钥信息,如下:
# /etc/init.d/apache2 start
Starting web server: apache2apache2: Could not reliably determine the server's fully qualified domain name, using 192.168.2.108 for ServerName
Apache/2.2.9 mod_ssl/2.2.9 (Pass Phrase Dialog)
Some of your private key files are encrypted for security reasons.
In order to read them you have to provide the pass phrases.
Server zy-13:443 (RSA)
Enter pass phrase:(这里输入密码,无击键反馈回显)
OK: Pass Phrase Dialog successful.
.
16.现在可以使用Firefox测试一下效果。用Firefox连接服务器端,地址中
的服务器端主机名应该写为服务器证书zy-13中CN字段记录的值,不要使用IP地址来连接服务器,否则Firefox会报
ssl_error_bad_cert_domain错误。因此,连接地址为:
https://zy-13/index.html。
一开始连接这个地址时,Firefox会报错:sec_error_unknown_issuer,如下:
说明服务器证书的签发者不被Firefox信任,这是当然的,因为服务器证书zy-13.cer是我自己用另外一个证书zy-root.cer签的,zy-root.cer 是我认为的CA证书,但Firefox并不认为它是,Firefox会预置一些CA 证书,但通常它们都是由大的安全公司、机构生成的证书,比如:VeriSign、Thawte,所以需要手工导入自己的CA证书zy-root.cer到Firefox的证书管理器中。导入在这里操作:选项→高级→加密→查看证书→证书机构→导入。
17.再次测试Firefox连接服务器端,这次就可以连接成功,Firefox取回并
显示index.html页面。
在通过HTTPS验证的连接中,Firefox会在状态栏显示此图标:,
双击此图标会弹出“页面信息”对话框,选择它的“安全”一栏就可以查看HTTPS连接的细节和相关的证书信息:
点击“安全”中的“查看证书”可以查看当前服务器证书zy-13.cer的信息:
注意上面显示的证书的组织名:zy-home,这是证书中的:O(Organization Name)字段设置的,在Firefox中这个名字也被认为是验证者的名字。
如果想查看服务器证书zy-13.cer的更多内容,可以换到证书查看器的“细节”选项卡,这里显示证书结构(即证书链),和证书字段,如下:
HTTPS客户端认证配置
Apache中对客户端(浏览器)的HTTPS认证配置,是建立在已完成的服务器端认证配置基础之上,也在HTTPS服务配置文件:sites-available/default-ssl 中设置。客户端的认证配置、使用过程如下:
1.设置SSLVerifyClient和SSLVerifyDepth,如下:
2.# Client Authentication (Type):
3.# Client certificate verification type and depth. Types are
4.# none, optional, require and optional_no_ca. Depth is a
5.# number which specifies how deeply to verify the certificate
6.# issuer chain before deciding the certificate is not valid.
7.SSLVerifyClient require
8.SSLVerifyDepth 10
设置完后,使用Firefox测试一下,Firefox会报:
ssl_error_handshake_failure_alert错误,如下:
再看看Apache的错误日志error.log,其中记录到:
[Sun Oct 11 00:13:34 2009] [warn] Init: Oops, you want to request client authentication, but no CAs are known for verification!?
[Hint: SSLCACertificate*]
说明Apache中需要设置CA证书信息,此证书的作用就是:在服务器端,对客户端证书进行验签。上述的:SSLCACertificate*,指代两个选项:SSLCACertificatePath、SSLCACertificateFile,这两个选项都可以用来设置CA证书。
9.使用SSLCACertificatePath、SSLCACertificateFile选项设置CA证书。
将用于签名客户端证书zy-1.cer的CA证书zy-root.cer,拷贝到Apache2所装系统的某个目录下,比如拷贝到:/root/common/key/zy-root.cer,然后用SSLCACertificateFile设置该CA证书路径,如下:
# Certificate Authority (CA):
# Set the CA certificate verification path where to find CA # certificates for client authentication or alternatively one # huge file containing all of them (file must be PEM encoded) # Note: Inside SSLCACertificatePath you need hash symlinks # to point to the certificate files. Use the provided # Makefile to update the hash symlinks after changes.
# SSLCACertificatePath /etc/ssl/certs/
SSLCACertificateFile /root/common/key/zy-root.cer
当使用SSLCACertificatePath选项,指定一个存储多个CA证书的目录时,要求这个目录中的CA证书必需是一个指向实际证书文件的符号链接,并且符号链接的名字应该是通过openssl工具对证书文件进行散列后的散列码,据说在mod_ssl中提供了一个Makefile来做这件事情,不过我始终没找到在Apache2安装包中还有什么SSL的Makefile,倒是在
ssl-cert包中找到了一个叫:make-ssl-cert 的bash脚本,其中有几句:
cd /etc/ssl/certs/
ln -sf ssl-cert-snakeoil.pem $(openssl x509 -hash -noout -in ssl-cert-snakeoil.pem)
我感觉这就是用openssl产生证书散列码,并建立符号链接的过程,于是我仿照这个命令建立了自己的CA证书zy-root.cer的符号链接,但是测试后发现不行:Firefox一直处在连接中状态,似乎是Apache无法找到合适的CA证书来验证客户端证书的有效性(/etc/ssl/certs 下的证书符号链接很多),所以我干脆就用SSLCACertificateFile来设置CA证书了,注意:用SSLCACertificateFile设置的CA证书必需是BASE64编码的PEM 格式的证书。
关于SSLCACertificatePath,有兴趣的人可以参考:Apache2 mod_ssl 文档中“SSLCACertificatePath 指令”一节,虽然它说地的内容很少,(-_-^)。
CA证书设置完成后,再用Firefox测试,仍然是错误:
ssl_error_handshake_failure_alert。不要紧张,这是因为在浏览器中没有候选的客户端证书导致的,可以在Firefox的:选项→高级→加密→查看证书→您的证书,中导入PKCS#12格式的证书文件,因为PKCS#12证书中含有私钥部分,所以在导入时会提示输入保护密码。
另外,在 Firefox 的:选项→高级→加密,中有两种Firefox提供客户端证书给服务器的策略方式,可以在“当某个服务器请求我的个人证书:”
选项下进行设置,分别是:“自动选择一个”和“每次均询问”,默认为:每次均询问。
10.看似一切均设置妥当,再用Firefox测试。如果设置“每次均询问”的方
式提供客户端证书,则此时会弹出“使用确认请求”对话框,让用户选择一个已导入的客户端证书,证书以证书序号标识,并显示了证书的一些属性信息,如下图:
确认客户端证书后,Firefox继续连接建立过程,但却报出错误:
ssl_error_bad_cert_alert,如下:
而Apache的错误日志error.log中记录:
[Fri Jan 01 00:05:28 2010] [error] Certificate Verification: Error (9): certificate is not yet valid
我在网上查了半天也没找到问题的原因,又改了其它几个Apache配置选项还是不行,仍然出同样的错误。提示说错误证书,究竟是什么造成的呢?
最后我直接搜Apache日志中的错误描述:certificate is not yet valid,在OpenSSL官方网站的:openssl工具的verify命令文档中找到了点线索,摘录如下:
9 X509_V_ERR_CERT_NOT_YET_VALID: certificate is not yet
valid
the certificate is not yet valid: the notBefore date is after the current time.
证书中的Not Before时间和系统时间?难道是造成“错误证书”的原因是这个,我用:date '+%Y-%m-%d %T'查了下Apache的系统时间,果然不对劲:我的Linux的系统时间,竟然比CA证书和客户端证书的Not Before时间还早,于是我终于想起来了:我用的VMware中Guest OS的Debian Linux系统,是我以前做的,拷贝到新的宿主机上后就没改过Linux 的系统时间,(-_-^)。知道这一点后,赶紧用:date -s yyyy-mm-dd,把Linux系统时间改成正确的时间,至少要在证书的Not Before与Not After 两个时间之间。证书的有效时间信息可以用此命令显示:openssl x509 -noout -text -in file.cer。
设置完系统时间后,重启Apache服务,再用Firefox测试,确认客户端证书后,Firefox终于完成与服务器的HTTPS连接,显示网页内容。至此,Apache的HTTPS客户端认证配置完成。