当前位置: > Linux服务器 > Lighttpd >

lighttpd配置建立https双向认证

时间:2016-01-30 22:42来源:blog.csdn.net 作者:laoxiao1987
lighttpd配置建立https双向认证

0、lighttpd的配置

先说配置,再说其中的文件如何生成

server.name = "xxx.com"
ssl.engine = "enable"    
ssl.use-sslv2 = "disable"
ssl.pemfile = "/etc/lighttpd/newcert.pem"
ssl.verifyclient.activate = "enable"
ssl.verifyclient.depth = 1
ssl.ca-file = "/etc/lighttpd/rootca.pem"

1、准备工作

下载openssl包,提取其中CA.pl

wget http://www.openssl.org/source/openssl-0.9.8r.tar.gz

tar xvzf openssl-0.9.8r.tar.gz

2、建立CA

mkdir myca         #建立自己的CA

cd myca

cp ../openssl-0.9.8r/apps/CA.pl .

修改默认的证书生成配置

vi /etc/pki/tls/openssl.cnf  ,修改其中的countryName_default、stateOrProvinceName_default、0.organizationName_default等字段,省得每次生成新证书时重新输入

生成CA

./CA.pl -newca

拷贝根CA证书供lighttpd使用

cp demoCA/cacert.pem /etc/lighttpd/rootca.pem

3、生成服务端证书

./CA.pl -newreq-nodes  #生成节点的CSR

./CA.pl -sign      #签发

cp newcert.pem /etc/lighttpd/

cat newkey.pem >> /etc/lighttpd/newcert.pem   (证书和私钥同时放置于newcert.pem供lighttpd使用)

4、生成客户端证书

./CA.pl -newreq

./CA.pl -sign

签署后 newcert.pem和newkey.pem分别为客户端的证书和私钥。

5、生成能够导入IE和FireFox浏览器的客户端证书

cp demoCA/cacert.pem cacert.cert

openssl pkcs12 -export -clcerts -in ./newcert.pem -inkey ./newkey.pem -out  user.p12

生成的cacert.cert  和 user.p12 则可被浏览器导入

对于IE浏览器,通过"选项"-"内容"-"证书",先导入user.p12





ps:1)Organization Name时三个需要是相同的,如都是Veno2.com。(可以不一样)

         2) 在生成服务器证书的时候,Common Name需要是服务器的IP,或者访问的域名。(必须,不然访问时会报安全提示)
(责任编辑:IT)
------分隔线----------------------------