php开启openssl的方法

windows下开启方法:

1: 首先检查php.ini中;extension=php_openssl.dll是否存在, 如果存在的话去掉前面的注释符‘;’, 如果不存在这行,那么添加extension=php_openssl.dll。

2: 讲php文件夹下的: php_openssl.dll, ssleay32.dll, libeay32.dll 3个文件拷贝到 WINDOWS\system32\  文件夹下。

3: 重启apache或者iis

至此,openssl功能就开启了。

Linux下开启方法:

我使用的是锦尚数据的云主机,PHP版本:5.2.14

下面方案就以我的主机为例讲解为PHP添加openssl模块支持。

网上一些答案说要重新编译PHP,添加configure参数,增加openssl的支持。这里讲一个不需要重新编译的方法。

如果服务器上存在PHP安装包文件最好,如果已经删除,去下载和phpinfo页面显示版本一样的PHP安装文件,我这里是 php-5.2.14.tar.gz

推荐去搜狐镜像下载,网易镜像没有找到。地址为: http://mirrors.sohu.com/php/

用ssh工具连接到主机。

# 下载到/var/www/php5目录下

cd /var/www/php5

wget http://mirrors.sohu.com/php/php-5.2.14.tar.gz

# 解压

tar zxvf php-5.2.14.tar.gz

# 进入PHP的openssl扩展模块目录

cd php-5.2.14/ext/openssl/

/var/www/php5/bin/phpize # 这里为你自己的phpize路径,如果找不到,使用whereis phpize查找

# 执行后,发现错误 无法找到config.m4 ,config0.m4就是config.m4。直接重命名

mv config0.m4 config.m4

/var/www/php5/bin/phpize

./configure –with-openssl –with-php-config=/var/www/php5/bin/php-config

make

make install

# 安装完成后,会返回一个.so文件(openssl.so)的目录。在此目录下把openssl.so 文件拷贝到你在php.ini 中指定的 extension_dir 下(在php.ini文件中查找:extension_dir =),我这里的目录是 var/www/php5/lib/php/extensions

# 编辑php.ini文件,在文件最后添加

extension=openssl.so

# 重启Apache即可

/usr/local/apache2/bin/apachectl restart

好了,现在就成功添加openssl支持。

SHA2-512

PKI的操作过程中采用了多种加密算法,位数与加密是有关的。
对于算法来说,位数越大,需要的计算时间就越长,需要的存储空间就越大,所以在设置位数时,不是说位数越长越好,只要适合应用就可以了。
现在的网上银行及支付宝的数字证书中使用的是RSA 1024位,SHA1 160位,MD5被大量的使用在银行的系统中,他们也知道有RSA 4096和 SHA2-512位的算法,之所以不用这么高位数的算法,那是因为现在RSA 1024位和SHA1 160位完全可以满足当前的网络安全应用,在做加密或解密运算时速度快,产生的数据容量小,不是很占用网络的带宽,如果采用高位数的加密算法,是更安全的,但弊端就显示出来了,当用户在进行网上支付时,需要等待的时间会更长了。
虽然MD5和 SHA1算法已经被山东大学的王小云教授给破解了,但不代表现在全世界都不可以再用这两种算法了,也许过几年就会推出MD6了,SHA1将在近几年被逐渐的停止使用,而使用SHA2。

apache mod_gnutls实现一个独立IP安装多个SSL证书

在前篇《nginx 同一个IP上配置多个HTTPS主机》说到了nginx下,多HTTPS虚拟主机的配置。那么在apache的环境下该如何配置呢?利用的原理的都是同一个,也就是SNI。基于域名的虚拟主机,即共享同一个IP地址和端口的HTTPS虚拟主机。

SNI—服务器名称指示,是一个TLS的扩展,它使得启用SSL的基于域名的虚拟主机的配置成为可能。打破了每个HTTPS的虚拟主机需要一个IP地址的要求。因此,成本大大降低,因为所有的HTTPS虚拟主机可以共享相同的IP地址和端口,使HTTPS Web服务的更简单。

在apache环境下,需要使用mod_gnutls来实现同一个IP上配置多个HTTPS主机。下面来看看实现过程:

mod_gnutls的网址参见:https://mod.gnutls.org

1. 安装mod_gnutls

# yum install httpd-devel gnutls-devel # wget http://www.outoforder.cc/downloads/mod_gnutls/mod_gnutls-0.2.0.tar.bz2 # tar -xjvf mod_gnutls-0.2.0.tar.bz2 # cd mod_gnutls-0.2.0 # ./configure --prefix=/usr # make

如果要安装高版本的gnutls的话,需要先安装相对应的依赖包libnettle gmplib。下载地址:http://www.gnutls.org/download.html ftp://ftp.gnutls.org/gcrypt/gnutls

2. apache加载mod_gnutls模块

# cp mod_gnutls-0.2.0/src/.libs/libmod_gnutls.so /usr/lib/httpd/modules/mod_gnutls.so # cp mod_gnutls-0.2.0/data/{dh,rsa}file /etc/httpd/conf/

mod_gnutls模块依赖dhfile和rsafile文件.

3. 配置httpd.conf

Listen 10.1.1.22:443 LoadModule gnutls_module modules/mod_gnutls.so AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl GnuTLSCache dbm "/var/cache/mod_gnutls_cache" GnuTLSCacheTimeout 300 NameVirtualHost 10.1.1.22:443

创建回话缓存目录

# mkdir -m 0700 /var/cache/mod_gnutls_cache # chown nobody.nobody /var/cache/mod_gnutls_cache

4. 配置虚拟主机

<VirtualHost 10.1.1.22:443> ServerName www.chinassl.net:443 GnuTLSEnable on GnuTLSCertificateFile ./ssl/www.chinassl.net.public.cer GnuTLSKeyFile ./ssl/www.chinassl.net.private.key DocumentRoot "/data/wwwroot/www.chinassl.net/webroot" </VirtualHost> <VirtualHost 10.1.1.22:443> ServerName www.yahuhost.com:443 GnuTLSEnable on GnuTLSCertificateFile ./ssl/www.yahuhost.com.public.cer GnuTLSKeyFile ./ssl/www.yahuhost.com.private.key DocumentRoot "/data/wwwroot/www.yahuhost.com/webroot" </VirtualHost>

这样访问每个虚拟主机都正常。

参考文档:http://www.g-loaded.eu/2007/08/10/ssl-enabled-name-based-apache-virtual-hosts-with-mod_gnutls/

原文链接:http://www.ttlsa.com/apache/multi-https-virtual-host-apache-mod_gnutls/

nginx 同一个IP上为多个域名配置安装SSL证书

最近公司域名更变,同时,又要新旧域名同时运行。 那么,对于https的域名在同一个IP上如何同时存在多个虚拟主机呢?遂,查看了下nginx手册,有这么一段内容,如下:

如果在同一个IP上配置多个HTTPS主机,会出现一个很普遍的问题:

server { listen 443; server_name www.abc.com; ssl on; ssl_certificate www.abc.com.crt; ... } server { listen 443; server_name www.123.com; ssl on; ssl_certificate www.123.com.crt; ... }

使用上面的配置,不论浏览器请求哪个主机,都只会收到默认主机www.abc.com的证书。这是由SSL协议本身的行为引起的——先建立SSL连接,再发送HTTP请求,所以nginx建立SSL连接时不知道所请求主机的名字,因此,它只会返回默认主机的证书。

最古老的也是最稳定的解决方法就是每个HTTPS主机使用不同的IP地址:

server { listen 192.168.1.1:443; server_name www.abc.com; ssl on; ssl_certificate www.abc.com.crt; ... } server { listen 192.168.1.2:443; server_name www.123.com; ssl on; ssl_certificate www.123.com.crt; ... }

那么,在同一个IP上,如何配置多个HTTPS主机呢?

nginx支持TLS协议的SNI扩展(Server Name Indication,简单地说这个扩展使得在同一个IP上可以以不同的证书serv不同的域名)。不过,SNI扩展还必须有客户端的支持,另外本地的OpenSSL必须支持它。

如果启用了SSL支持,nginx便会自动识别OpenSSL并启用SNI。是否启用SNI支持,是在编译时由当时的 ssl.h 决定的(SSL_CTRL_SET_TLSEXT_HOSTNAME),如果编译时使用的OpenSSL库支持SNI,则目标系统的OpenSSL库只要支持它就可以正常使用SNI了。

nginx在默认情况下是TLS SNI support disabled。

启用方法:

需要重新编译nginx并启用TLS。步骤如下:

# wget http://www.openssl.org/source/openssl-1.0.1e.tar.gz # tar zxvf openssl-1.0.1e.tar.gz # ./configure --prefix=/usr/local/nginx --with-http_ssl_module \ --with-openssl=./openssl-1.0.1e \ --with-openssl-opt="enable-tlsext" # make # make install

查看是否启用:

# /usr/local/nginx/sbin/nginx -V TLS SNI support enabled

这样就可以在 同一个IP上配置多个HTTPS主机了。

实例如下:

server { listen 443; server_name www.chinassl.net; index index.html index.htm index.php; root /data/wwwroot/www.chinassl.net/webroot; ssl on; ssl_certificate "/usr/local/nginx/conf/ssl/www.chinassl.net.public.cer"; ssl_certificate_key "/usr/local/nginx/conf/ssl/www.chinassl.net.private.key"; ...... } server { listen 443; server_name www.chinassl.net; index index.html index.htm index.php; root /data/wwwroot/www.chinassl.net/webroot; ssl on; ssl_certificate "/usr/local/nginx/conf/ssl/www.chinassl.net.public.cer"; ssl_certificate_key "/usr/local/nginx/conf/ssl/www.chinassl.net.private.key"; ...... }

这样访问每个虚拟主机都正常。

原文链接: http://www.ttlsa.com/html/4288.html

SNI实现一个IP安装多个SSL证书

一. 介绍
早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。

但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域名都可以认证,但如果你还有一个yourdomain.net的域名,那就不行了。

在HTTP协议中,请求的域名作为主机头(Host)放在HTTP Header中,所以服务器端知道应该把请求引向哪个域名,但是早期的SSL做不到这一点,因为在SSL握手的过程中,根本不会有Host的信息,所以服务器端通常返回的是配置中的第一个可用证书。因而一些较老的环境,可能会产生多域名分别配好了证书,但返回的始终是同一个。

既然问题的原因是在SSL握手时缺少主机头信息,那么补上就是了。

SNI(Server Name Indication)定义在RFC 4366,是一项用于改善SSL/TLS的技术,在SSLv3/TLSv1中被启用。它允许客户端在发起SSL握手请求时(具体说来,是客户端发出SSL 请求中的ClientHello阶段),就提交请求的Host信息,使得服务器能够切换到正确的域并返回相应的证书。

要使用SNI,需要客户端和服务器端同时满足条件,幸好对于现代浏览器来说,大部分都支持SSLv3/TLSv1,所以都可以享受SNI带来的便利。

二. nginx / apache 服务器端实现
nginx和apache服务端支持SNI参见:
《nginx 同一个IP上配置多个HTTPS主机》
《apache mod_gnutls实现多HTTPS虚拟主机》

三. 支持SNI的浏览器、服务器、库
Internet Explorer 7 or later, on Windows Vista or higher. Does not work on Windows XP, even Internet Explorer 8.
Mozilla Firefox 2.0 or later
Opera 8.0 or later (the TLS 1.1 protocol must be enabled)
Opera Mobile at least version 10.1 beta on Android[citation needed]
Google Chrome (Vista or higher. XP on Chrome 6 or newer. OS X 10.5.7 or higher on Chrome 5.0.342.1 or newer)
Safari 2.1 or later (Mac OS X 10.5.6 or higher and Windows Vista or higher)
Konqueror/KDE 4.7 or later
MobileSafari in Apple iOS 4.0 or later
Android default browser on Honeycomb or newer
Windows Phone 7[citation needed]
MicroB on Maemo

四. 支持SNI的服务器
Apache 2.2.12 or later using mod_ssl(or alternatively with experimental mod_gnutls)
Cherokee if compiled with TLS support
Versions of lighttpd 1.4.x and 1.5.x with patch, or 1.4.24+ without patch
Nginx with an accompanying OpenSSL built with SNI support
LiteSpeed 4.1 or later
Pound 2.6 or later
Apache Tomcat on Java 7 or later
Microsoft Internet Information Server IIS 8

五. 支持SNI的库
Mozilla NSS 3.11.1 client-side only
OpenSSL
0.9.8f (released 11 Oct 2007) – not compiled in by default, can be compiled in with config option ‘–enable-tlsext’
0.9.8j (released 07 Jan 2009) through 1.0.0 (released 29 March 2010) – compiled in by default
GNU TLS
libcurl / cURL since 7.18.1 (released 30 Mar 2008) when compiled against an SSL/TLS toolkit with SNI support
Python 3.2 (ssl, urllib and httplib modules)
Qt 4.8
Oracle Java 7 JSSE
参考文档:http://blog.hesey.net/2012/02/sni-for-multi-domain-ssl-tls.html

http://serverfault.com/questions/109800/multiple-ssl-domains-on-the-same-ip-address-and-same-port