Apache+Tmcat实现SSL Web前置访问操作说明.docVIP

Apache+Tomcat 实现 SSL Wen前置访问操作说明 生成证书 生成证书需要用到两个文件，即： Apache 安装目录下： Bin\openssl.exe Conf\f 该文件可能无法看到后缀名，但可根据资源管理器中“类型”栏值为“快速拨号”来确定 复制 f 到 bin\ 下 启动 cmd，并切换路径到 Apache 安装目录下的 bin 目录 运行 openssl req -config f -new -out server.csr -keyout server.pem 输入一个不少于4个字符的证书保护口令，按回车键后，将再次输入确认口令： 再次输入确认口令后按回车键，如果两次输入的口令一致，则转到输入两个字符的 Country Name项： 输入中国国家代码 CN，按回车键： 上图中红色框内信息不需要输入，直接按回车键直到输入 Common Name 项。 Common Name即证书中的“颁发给”对象，这项的输入非常有讲究：最好使用经过 DNS 解析后的域名，同时考虑到避免多套应用系统需要安装多次证书的麻烦，可以采用 *. 通配符域名，如保利置业各OA系统的域名都以 . 结尾，则此处需输入 *.。 输入该项后，后面的几项都不需要输入，直接按回车键直到该命令运行完成。 运行 openssl rsa -in server.pem -out server.key 再次输入前一个命令中输入的证书保护口令并回车键。 运行 openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 4000 其中的“4000”表示该证书的有效天数为 4000 天。 拷贝证书文件到 conf 在 Apache 安装目录下 conf/ 中创建一个 ssl 文件夹用于存放证书文件 拷贝证书文件到 conf/ssl/ 下 证书生成工作完成后，所有的证书文件存放在 Apache 安装目录的 bin/ 下，证书文件主要包括如下几个文件： .rnd server.csr server.pem server.key server.crt 将以上文件全部剪切到 conf/ssl/ 下： 修改 Apache 配置 修改 httpd.conf 该文件在 Apache 安装目录的 conf/ 下。 加载 SSL 模块： LoadModule ssl_module modules/mod_ssl.so LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_ajp_module modules/mod_proxy_ajp.so LoadModule proxy_balancer_module modules/mod_proxy_balancer.so LoadModule proxy_http_module modules/mod_proxy_http.so LoadModule rewrite_module modules/mod_rewrite.so Include conf/extra/httpd-vhosts.conf 在 httpd.conf 中找到该行后，将其前面的注释符号 # 删除。 引入 SSL 配置文件： Include conf/extra/httpd-ssl.conf 在 httpd.conf 中找到该行后，将其前面的注释符号 # 删除。 修改 ServerName: 将 ServerName 中的域名或IP地址修改为与生成证书时输入的 Common Name 保持一致。 其中冒号（:）后的端口号因 httpd.conf 提供的是 http 服务，所以不需要修改为 SSL 端口号。 修改 ServerAdmin： ServerAdmin apacheadmin@ @后的域名必须与生成证书时输入的 Common Name 保持一致，但只需要取 Common Name 中第一个点号（.）后的内容。 修改 httpd-ssl.conf 该文件在 Apache 安装目录的 conf/extra/ 下。 修改侦听端口： Listen 443 SSL 的默认端口为 443, 如果不使用该默认端口，则在此处修改。 修改 ServerName: 将 ServerName 中的域名或IP地址修改为与生成证书时输入的 Common Name 保持一致。 其中端口号 443，可以根据实际情况修改，但必须与 Listen 中指定的端口号保持一致。 修改 ServerAdmin： Se