1 背景
Apachehttpd自身支持标准的SSL协议,但并不支持国密SSL协议。本文描述了Apache httpd配置的国密SSL协议(单向)的完整过程,仅供学习和参考之用。
特点:Apache httpd无需改动源码、支持任意版本。
2 环境
服务器OS是CentOS7.7的64位版本,IP位192.168.0.96,客户端OS是WindowsXP。
CentOS7.7需安装development tools 开发环境,如未安装,后续编译过程需安装必要开发包(已注明)。
Apachehttpd是httpd-2.4.46.tar.gz 。
浏览器是360安全浏览器(支持国密)。
3 安装方法一:源码编译
GMSSL.cn提供一个OpenSSL的国密版库,可与Apache
httpd编译,生成的Apache httpd即支持国密SSL协议。
[if !supportLists]1)[endif]准备gmssl_openssl
下载页面https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown
下载其中的gmssl_openssl_1.1_bx.tar.gz
拷贝到/root/目录
解压
tar xzfm gmssl_openssl_1.1_bxx.tar.gz -C /usr/local
则/usr/local/gmssl为国密版openssl目录
[if !supportLists]2)[endif]准备Apache httpd
安装必要开发包:
yuminstall pcre-devel
yuminstall expat-devel
编译apr:
下载https://mirror.bit.edu.cn/apache//apr/apr-1.7.0.tar.gz
tarzxfm apr-1.7.0.tar.gz
cdapr-1.7.0
./configure--prefix=/usr/local/apr/apr
make install
编译apr-util:
下载https://mirrors.bfsu.edu.cn/apache//apr/apr-util-1.6.1.tar.gz
tarzxfm apr-util-1.6.1.tar.gz
cdapr-util-1.6.1
./configure--prefix=/usr/local/apr/util --with-apr=/usr/local/apr/apr
make install
下载展开Apache httpd:
下载https://mirrors.tuna.tsinghua.edu.cn/apache//httpd/httpd-2.4.46.tar.gz
tarzxfm httpd-2.4.46.tar.gz
cdhttpd-2.4.46
[if !supportLists]3)[endif]编译
安装必要开发包:
yuminstall -y bison bison-devel
yuminstall -y flex flex-devel
配置:
./configure--prefix=/usr/local/httpd --enable-so --enable-ssl --enable-cgi--enable-rewrite --enable-modules=most --enable-mpms-shared=all--with-mpm=prefork --with-zlib --with-apr=/usr/local/apr/apr--with-apr-util=/usr/local/apr/util --with-ssl=/usr/local/gmssl LDFLAGS=-lm
修改ssl为静态链接:/
vi build/config_vars.mk
找到ab_LIBS =-L/usr/local/gmssl/lib -lssl -lcrypto -lrt -lcrypt -lpthread -ldl
去掉
-L/usr/local/gmssl/lib-lssl -lcrypto
增加
/usr/local/gmssl/lib/libssl.a/usr/local/gmssl/lib/libcrypto.a
makeinstall
则/usr/local/httpd为生成的国密版Apache httpd目录
4 安装方法二:直接安装
GMSSL.cn已经提供了一个按方法一编译好的国密版httpd,可以直接下载安装使用。
下载页面https://www.gmssl.cn/gmssl/index.jsp?go=apachedown
下载其中的gmssl_httpd_2.4.46_b6.tar.gz
拷贝到/root/目录
解压
tarzxfmgmssl_httpd_2.4.46_b6.tar.gz -C /usr/local
则/usr/local/http为国密版Apache httpd目录
5 国密双证书
[if !supportLists]1)[endif]生成国密双证书
访问https://www.gmssl.cn/gmssl/index.jsp?go=ca,可生成免费的测试国密双证书。
提交后保存sm2.demo1.gmssl.cn.zip
传到服务器/root/下解压
unzip sm2.demo1.gmssl.cn.zip -d /root/sm2.demo1/
5 Apache httpd部署国密SSL
[if !supportLists]1) [endif]开启SSL
vi /usr/local/httpd/conf/httpd.conf
取掉注释
LoadModule ssl_module modules/mod_ssl.so
取消注释
Include conf/extra/httpd-ssl.conf
2)配置
vi /usr/local/httpd/conf/extra/httpd-ssl.conf
注释掉所有带SSLSessionCache的配置行
配置算法
SSLCipherSuite HIGH:ECC-SM4-SM3:ECDHE-SM4-SM3
注释掉默认证书和key
#SSLCertificateFile "/usr/local/httpd/conf/server.crt"
#SSLCertificateKeyFile"/usr/local/httpd/conf/server.key"
配置国密双证书/私钥
SSLCertificateFile"/root/sm2.demo1/sm2.demo1.gmssl.cn.sig.crt.pem"
SSLCertificateKeyFile"/root/sm2.demo1/sm2.demo1.gmssl.cn.sig.key.pem"
SSLCertificateFile"/root/sm2.demo1/sm2.demo1.gmssl.cn.enc.crt.pem"
SSLCertificateKeyFile"/root/sm2.demo1/sm2.demo1.gmssl.cn.enc.key.pe
3)测试启动
测试
/usr/local/httpd/bin/httpd -t
OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!
OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!
AH00558: httpd: Could notreliably determine the server's fully qualified domain name, usingfe80::7747:d82a:32df:f84c%ens33. Set the 'ServerName' directive globally tosuppress this message
Syntax OK
启动
/usr/local/httpd/bin/httpd -k start
OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!
OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!
AH00558: httpd: Could notreliably determine the server's fully qualified domain name, usingfe80::7747:d82a:32df:f84c%ens33. Set the 'ServerName' directive globally tosuppress this message
OpenSSL(GM version) bywww.gmssl.cn. Test Only!!!
注:Test Only等信息是国密版OpenSSL输出的提示信息,不影响测试和使用。
6 访问验证
1)下载360安全浏览器
https://se.360.cn
2)开启国密SSL支持
2)启用极速模式
访问https://192.168.0.96,出现错误页面,开启极速模式
3)访问国密SSL成功
6 小结
通过使用国密SSL组件,使得Apache httpd自身不做任何编译修改,即可比较简单的支持国密SSL协议,满足等保等政策合规,确实是一个简单可操作的方法。www.gmssl.cn提供了全部免费的测试组件,并且支持双向国密SSL,支持国密SSL/标准 SSL自适应,也支持Tomcat和Nginx,值得推荐和试用。