https服务器设置方法

一、Apache，一种开放源码的HTTP服务器，可以在大多数计算机操作系统中运行，由于其多平台和安全性被广泛使用，是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展，Perl/Python等解释器可被编译到服务器中。

apache https配置步骤

1、 确认是否安装ssl模块

是否有mod_ssl.so文件

2、 生成证书和密钥

linux下

步骤1：生成密钥

命令：openssl genrsa 1024 > server.key

说明：这是用128位rsa算法生成密钥，得到server.key文件

步骤2: 生成证书请求文件

命令：openssl req -new -key server.key > server.csr

说明：这是用步骤1的密钥生成证书请求文件server.csr, 这一步提很多问题，一一输入

步骤3: 生成证书

命令：openssl req -x509 -days 365 -key server.key -in server.csr > server.crt

说明：这是用步骤1,2的的密钥和证书请求生成证书server.crt，-days参数指明证书有效期，单位为天

window下

步骤1：生成密钥

命令：openssl genrsa 1024 > server.key

说明：这是用128位rsa算法生成密钥，得到server.key文件

步骤2: 生成证书请求文件

命令：openssl req -config D:\work_soft\Apache2.2\conf\openssl.cnf -new -key server.key > server.csr

说明：这是用步骤1的密钥生成证书请求文件server.csr, 这一步提很多问题，一一输入

步骤3: 生成证书

命令：openssl req -config D:\work_soft\Apache2.2\conf\openssl.cnf -x509 -days 365 -key server.key -in server.csr > server.crt

说明：这是用步骤1,2的的密钥和证书请求生成证书server.crt，-days参数指明证书有效期，单位为天

把得到的server.key和server.crt文件拷贝到apache的对应目录

3、 配置apache

l 修改httpd-ssl.conf文件

注意在此文件中配置证书和密钥

SSLCertificateFile /apache/conf/server.crt

SSLCertificateKeyFile /apache/conf/server.key

虚拟机设置

NameVirtualHost *:443

…………

l 修改httpd.conf文件

步骤1：打开ssl模块

LoadModule ssl_module /opt/taobao/install/httpd/modules/mod_ssl.so

步骤2：引入ssl配置文件

Include “/apache/conf/httpd-ssl.conf”

步骤3：如果你配置的虚拟机，注意一下端口的访问接受情况

NameVirtualHost *:80

…………

4、 重新启动apache

用https方式访问，查看是否生效

二、IIS 是Internet Information Server的缩写，它是微软公司主推的服务器，最新的版本是Windows2003里面包含的IIS 6.0，IIS与WindowNT Server完全集成在一起，因而用户能够利用Windows NT Server和NTFS（NT File System，NT的文件系统）内置的安全特性，建立强大，灵活而安全的Internet和Intranet站点。

配置文件夹或网站以使用 SSL/HTTPS

此过程假定您的站点已经具备了证书。

1. 以管理员身份登录到 Web 服务器计算机。

2. 单击开始，指向设置，然后单击控制面板。

3. 双击管理工具，然后双击 Internet 服务管理器。

4. 从左窗格中的不同服务站点的列表中选择网站。

5. 右键单击希望为其配置 SSL 通信的网站、文件夹或文件，然后单击属性。

6. 单击目录安全性选项卡。

7. 单击编辑。

8. 如果希望网站、文件夹或文件要求 SSL 通信，请单击需要安全通道 (SSL)。

9. 单击需要 128 位加密以配置 128 位（而不是 40 位）加密支持。

10. 要允许用户不必提供证书就可以连接，请单击忽略客户证书。

    或者，如果要让用户提供证书，请使用接受客户证书。

11. 要配置客户端映射，请单击启用客户证书映射，然后单击编辑将客户证书映射到用户。

    如果配置了此功能，可以将客户证书分别映射到 Active Directory 中的每个用户。可以使用此功能以根据用户访问网站时提供的证书自动识别用户。可以将用户一对一映射到证书（一个证书标识一个用户），或者将许多证书映射到一个用户（根据特定的规则，对照证书列表来匹配特定的用户。第一个有效的匹配项成为映射。）

12. 单击确定。

三、Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器，并在一个BSD-like 协议下发行。其特点是占有内存少，并发能力强，事实上nginx的并发能力确实在同类型的网页服务器中表现较好，中国大陆使用nginx网站用户日渐增长。

默认情况下ssl模块并未被安装，如果要使用该模块则需要在编译时指定–with-http_ssl_module参数，安装模块依赖于OpenSSL库和一些引用文件，通常这些文件并不在同一个软件包中。通常这个文件名类似libssl-dev。

生成证书

可以通过以下步骤生成一个简单的证书：

首先，进入你想创建证书和私钥的目录，例如：

1. $ cd /usr/local/nginx/conf

创建服务器私钥，命令会让你输入一个口令：

1. $ openssl genrsa -des3 -out server.key 1024

创建签名请求的证书（CSR）：

1. $ openssl req -new -key server.key -out server.csr

在加载SSL支持的Nginx并使用上述私钥时除去必须的口令：

1. $ cp server.key server.key.org

2. $ openssl rsa -in server.key.org -out server.key

配置nginx

最后标记证书使用上述私钥和CSR：

1. $ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

修改Nginx配置文件，让其包含新标记的证书和私钥：

1. server {

2. server_name YOUR_DOMAINNAME_HERE;

3. listen 443;

4. ssl on;

5. ssl_certificate /usr/local/nginx/conf/server.crt;

6. ssl_certificate_key /usr/local/nginx/conf/server.key;

7. }

重启nginx。

这样就可以通过以下方式访问：

https://YOUR_DOMAINNAME_HERE

另外还可以加入如下代码实现80端口重定向到443IT人乐园

1. server {

2. listen 80;

3. server_name ww.centos.bz;

4. rewrite ^(.*) https://$server_name$1 permanent;

5. }

配置结束上传以后用nginx -t 测试下配置无误 就reload一下nginx服务 检查443端口是否在监听

/usr/local/nginx/sbin/nginx -t

nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok

nginx: configuration file
       /usr/local/nginx/conf/nginx.conf test is successful (显示表示配置文件没有错误)

service nginx reload (重新加载nginx服务)

netstat -lan | grep 443 (查看443端口)

tcp 000.0.0.0:4430.0.0.0:* LISTEN (有看到这一行 就表示HTTPS已经在工作了)

四、Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持，最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现，Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定，而且免费，因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的Web 应用服务器。

1. 为服务器生成证书

   “运行”控制台，进入%JAVA_HOME%/bin目录，使用如下命令进入目录：

   cd “c:\Program Files\Java\jdk1.6.0_11\bin”

   使用keytool为Tomcat生成证书，假定目标机器的域名是“localhost”，keystore文件存放在“D:\home\tomcat.keystore”，口令为“password”，使用如下命令生成：

   keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500 (参数简要说明：“D:\home\tomcat.keystore”含义是将证书文件的保存路径，证书文件名称是tomcat.keystore ；“-validity 36500”含义是证书有效期，36500表示100年，默认值是90天 “tomcat”为自定义证书名称)。

   在命令行填写必要参数：

   A、输入keystore密码：此处需要输入大于6个字符的字符串。

   B、“您的名字与姓氏是什么？”这是必填项，并且必须是TOMCAT部署主机的域名或者IP[如：gbcom.com 或者 10.1.25.251]（就是你将来要在浏览器中输入的访问地址），否则浏览器会弹出警告窗口，提示用户证书与所在域不匹配。在本地做开发测试时，应填入“localhost”。

   C、你的组织单位名称是什么？”、“您的组织名称是什么？”、“您所在城市或区域名称是什么？”、“您所在的州或者省份名称是什么？”、“该单位的两字母国家代码是什么？”可以按照需要填写也可以不填写直接回车，在系统询问“正确吗？”时，对照输入信息，如果符合要求则使用键盘输入字母“y”，否则输入“n”重新填写上面的信息。

   D、输入的主密码，这项较为重要，会在tomcat配置文件中使用，建议输入与keystore的密码一致，设置其它密码也可以，完成上述输入后，直接回车则在你在第二步中定义的位置找到生成的文件。

2. 为客户端生成证书

   为浏览器生成证书，以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox，证书格式应该是PKCS12，因此，使用如下命令生成：

   keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12 （mykey为自定义）。

   对应的证书库存放在“D:\home\mykey.p12”，客户端的CN可以是任意值。双击mykey.p12文件，即可将证书导入至浏览器（客户端）。

3. 让服务器信任客户端证书

   由于是双向SSL认证，服务器必须要信任客户端证书，因此，必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入，必须先把客户端证书导出为一个单独的CER文件，使用如下命令：

   keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:\home\mykey.cer

   (mykey为自定义与客户端定义的mykey要一致，password是你设置的密码)。通过以上命令，客户端证书就被我们导出到“D:\home\mykey.cer”文件了。

   下一步，是将该文件导入到服务器的证书库，添加为一个信任证书使用命令如下：

   keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore

   通过list命令查看服务器的证书库，可以看到两个证书，一个是服务器证书，一个是受信任的客户端证书：

   keytool -list -keystore D:\home\tomcat.keystore (tomcat为你设置服务器端的证书名)。

4. 让客户端信任服务器证书

   由于是双向SSL认证，客户端也要验证服务器证书，因此，必须把服务器证书添加到浏览的“受信任的根证书颁发机构”。由于不能直接将keystore格式的证书库导入，必须先把服务器证书导出为一个单独的CER文件，使用如下命令：

   keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer (tomcat为你设置服务器端的证书名)。

   通过以上命令，服务器证书就被我们导出到“D:\home\tomcat.cer”文件了。双击tomcat.cer文件，按照提示安装证书，将证书填入到“受信任的根证书颁发机构”。

5. 配置Tomcat服务器

   打开Tomcat根目录下的/conf/server.xml，找到Connector port="8443"配置段，修改为如下：

   <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

   SSLEnabled="true" maxThreads="150" scheme="https"

   secure="true" clientAuth="true" sslProtocol="TLS"

   keystoreFile="D:\\home\\tomcat.keystore" keystorePass="123456"

   truststoreFile="D:\\home\\tomcat.keystore" truststorePass="123456" />

   （tomcat要与生成的服务端证书名一致）

   属性说明：

   clientAuth:设置是否双向验证，默认为false，设置为true代表双向验证

   keystoreFile:服务器证书文件路径

   keystorePass:服务器证书密码

   truststoreFile:用来验证客户端证书的根证书，此例中就是服务器证书

   truststorePass:根证书密码

测试

在浏览器中输入:https://localhost:8443/，会弹出选择客户端证书界面，点击“确定”，会进入tomcat主页，地址栏后会有“锁”图标，表示本次会话已经通过HTTPS双向验证，接下来的会话过程中所传输的信息都已经过SSL信息加密。