1.mod_ssl配置 

2.SSL/TLS加密

3.SSL/TLS兼容问题


1.mod_ssl配置

1.1.基本配置示例

  最少配置

LoadModule ssl_module modules/mod_ssl.so

Listen 443

    ServerName www.example.com
    SSLEngine on
    SSLCertificateFile /path/to/www.example.com.cert
    SSLCertificateKeyFile /path/to/www.example.com.key

  SSLEngine指令:

    语法:SSLEngine on|off|optional

    默认:off

    ssl/tls加密开关

  SSLCertificateFile指令:

    X.509证书文件

  SSLCertificateKeyFile指令:

    密钥文件


1.2.客户端强制使用证书

# 强制使用证书验证
SSLVerifyClient require
SSLVerifyDepth 1
SSLCACertificateFile conf/ssl.crt/ca.crt

# 强制验证某个URL
SSLVerifyClient none
SSLCACertificateFile conf/ssl.crt/ca.crt


    SSLVerifyClient require
    SSLVerifyDepth 1

  SSLVerifyClient指令

    客户端验证类型

    语法:SSLverifyClient none|optional|require|optional_no_ca

    注解:根本不需要客户端证书/客户端可能会提供有效证书/客户端必须提交有效证书/客户端提供证书

  SSLVerifyDepth指令

    客户端证书验证的最大深度

    默认:1

  SSLCACertificateFile指令

    指定客户端证书



2.SSL/TLS加密

  理解SSL需要了解加密算法、消息摘要算法、数字签名。




3.SSL/TLS兼容问题