Apache是世界排名第一的Web服務(wù)器，世界上60%以上的Web服務(wù)器是使用的Apache。Apache是一個(gè)免費(fèi)的軟件，用戶可以免費(fèi)從Apache的官方網(wǎng)站下載。任何人都可以參加其組成部分的開發(fā)。Apache允許世界各地的人對(duì)其提供新特性。當(dāng)新代碼提交到Apache Group后，Apache Group對(duì)其具體內(nèi)容進(jìn)行審查并進(jìn)行測(cè)試和質(zhì)量檢查。如果他們滿意，該代碼就會(huì)被集成到Apache的主要發(fā)行版本中。

        但是，Apache服務(wù)器與客戶端的通信是明文方式，很多通過HTTP協(xié)議傳送數(shù)據(jù)的應(yīng)用將受到黑客的威脅，信息的安全性難以得到保障。因此，本文就將對(duì)在Linux中，使用SSL技術(shù)保護(hù)Apache服務(wù)器通信做詳細(xì)介紹。

        Apache的安裝和啟動(dòng)

        Apache的RPM軟件包既可以在Red Hat Linux 9安裝光盤中找到，也可以在Red Hat的FTP服務(wù)器上找到。同任何其他RPM軟件包安裝一樣，Apache的RPM軟件包的安裝也可以使用命令行形式的RPM工具安裝。用戶可以到www.redhat.com下載Apache的免費(fèi)RPM軟件包，其文件名為ant-apache-bsf-1.6.1-1jpp_3rh.noarch.rpm，執(zhí)行如下命令即可完成Apache的安裝：

        #rpm －Uvh ant-apache-bsf-1.6.1-1jpp_3rh.noarch.rpm

        ApacheRPM將把文件安裝在如下的目錄中：

        ●/etc/httpd/conf：這一目錄包含Apache的所有配置文件，包括access.conf、httpd.conf和srm.conf。

        ●/etc/rc.d/：位于這一目錄下的目錄樹包含系統(tǒng)的啟動(dòng)腳本。ApacheRPM在這里安裝了Web服務(wù)器的整套腳本，這些腳本可用來從命令行啟動(dòng)和停止服務(wù)器，并且也可在工作站關(guān)閉、啟動(dòng)或重新引導(dǎo)時(shí)自動(dòng)啟動(dòng)或停止服務(wù)器。

        ●/home/httpd: RPM在這一目錄安裝默認(rèn)的服務(wù)器圖標(biāo)、CGI腳本和HTML文件。如果想在其他地方保存Web內(nèi)容，通過在服務(wù)器的配置文件適當(dāng)?shù)牡胤竭M(jìn)行更改可以實(shí)現(xiàn)。

        ●/usr/doc和/usr/man: RPM包含手冊(cè)頁(yè)和readme文件，它們被放在這些目錄中。像大多數(shù)RPM軟件包一樣，readme文件以及其他相關(guān)的文檔放在/usr/doc下的一個(gè)以服務(wù)器軟件包的版本命名的目錄中。

        ●/usr/sbin：可執(zhí)行程序放在這一目錄中。包括服務(wù)器程序本身，還有各種工具，如用于創(chuàng)建驗(yàn)證口令文件的htpasswd程序。

        ●/var/log/http: 服務(wù)器日志文件存放于該目錄。在默認(rèn)情況下，有兩個(gè)日志文件:access_log和error_log，但是可以定義任意多個(gè)包含各種信息的自定義日志文件。

        Apache服務(wù)器的手動(dòng)啟動(dòng)很簡(jiǎn)單，假設(shè)Apache服務(wù)器安裝在/usr/sbin/目錄下，在Linux終端啟動(dòng)Apache的命令為：

        #.cd /usr/sbin

        #./httpd start

        重新啟動(dòng)Apache的命令為：

        #.cd /usr/sbin

        #./httpd restart

        停止Apache的命令為：

        #.cd /usr/sbin

        #./httpd stop

        SSL的原理

        通常的連接方式中，通信是以非加密的形式在網(wǎng)絡(luò)上傳播的，這就有可能被非法竊聽到，尤其是用于認(rèn)證的口令信息。為了避免這個(gè)安全漏洞，就必須對(duì)傳輸過程進(jìn)行加密。對(duì)HTTP傳輸進(jìn)行加密的協(xié)議為HTTPS，它是通過SSL進(jìn)行HTTP傳輸?shù)膮f(xié)議，不但通過公用密鑰的算法進(jìn)行加密保證傳輸?shù)陌踩�性，而且還可以通過獲得認(rèn)證證書CA，保證客戶連接的服務(wù)器沒有被假冒。

        SSL是一種國(guó)際標(biāo)準(zhǔn)的加密及身份認(rèn)證通信協(xié)議，用戶采用的瀏覽器就支持此協(xié)議。SSL（Secure Sockets Layer）最初是由美國(guó)Netscape公司研究出來的，后來成為了Internet網(wǎng)上安全通信與交易的標(biāo)準(zhǔn)。SSL協(xié)議使用通信雙方的客戶證書以及CA根證書，允許客戶/服務(wù)器應(yīng)用以一種不能被偷聽的方式通信，在通信雙方間建立起了一條安全的、可信任的通信通道。它具備以下基礎(chǔ)特征：信息保密性、信息完整性、相互鑒定。

   在SSL通信中，首先采用非對(duì)稱加密交換信息，使得服務(wù)器獲得瀏覽器端提供的對(duì)稱加密的密鑰，然后利用該密鑰進(jìn)行通信過程中信息的加密和解密。為了保證消息在傳遞過程中沒有被篡改，可以加密Hash編碼來確保信息的完整性。

        服務(wù)器數(shù)字證書主要頒發(fā)給Web站點(diǎn)或其他需要安全鑒別的服務(wù)器，證明服務(wù)器的身份信息，同樣客戶端數(shù)字證書用于證明客戶端的身份。

        使用公用密鑰的方式可以保證數(shù)據(jù)傳輸沒有問題，但如果瀏覽器客戶訪問的站點(diǎn)被假冒，這也是一個(gè)嚴(yán)重的安全問題。這個(gè)問題不屬于加密本身，而是要保證密鑰本身的正確性問題。要保證所獲得的其他站點(diǎn)公用密鑰為其正確的密鑰，而非假冒站點(diǎn)的密鑰，就必須通過一個(gè)認(rèn)證機(jī)制，能對(duì)站點(diǎn)的密鑰進(jìn)行認(rèn)證。當(dāng)然即使沒有經(jīng)過認(rèn)證，仍然可以保證信息傳輸安全，只是客戶不能確信訪問的服務(wù)器沒有被假冒。如果不是為了提供電子商務(wù)等方面對(duì)安全性要求很高的服務(wù)，一般不需要如此嚴(yán)格的考慮。

        下面給出使用SSL進(jìn)行通信的過程：

        ● 客戶端向服務(wù)器端發(fā)起對(duì)話，協(xié)商傳送加密算法。例如:對(duì)稱加密算法有DES、RC5，密鑰交換算法有RSA和DH，摘要算法有MD5和SHA。

        ● 服務(wù)器向客戶端發(fā)送服務(wù)器數(shù)字證書。比如：使用DES－RSA－MD5這對(duì)組合進(jìn)行通信。客戶端可以驗(yàn)證服務(wù)器的身份，決定是否需要建立通信。

        ● 客戶端向服務(wù)器傳送本次對(duì)話的密鑰。在檢查服務(wù)器的數(shù)字證書是否正確，通過CA機(jī)構(gòu)頒發(fā)的證書驗(yàn)證了服務(wù)器證書的真實(shí)有效性之后，客戶端生成利用服務(wù)器的公鑰加密的本次對(duì)話的密鑰發(fā)送給服務(wù)器。

        ● 服務(wù)器用自己的私鑰解密獲取本次通信的密鑰。

        ● 雙方的通信正式開始。

        在一般情況下，當(dāng)客戶端是保密信息的傳遞者時(shí)，不需要數(shù)字證書驗(yàn)證自己身份的真實(shí)性，如我們通常使用的網(wǎng)上銀行交易活動(dòng)，客戶需要將自己的隱秘信息如賬號(hào)和密碼發(fā)送給銀行，因此銀行的服務(wù)器需要安裝數(shù)字證書來表明自己身份的有效性，否則將會(huì)使得信息泄露。當(dāng)然，在某些安全性要求極高地B2B應(yīng)用，服務(wù)器端也需要對(duì)客戶端的身份進(jìn)行驗(yàn)證，這時(shí)客戶端也需要安裝數(shù)字證書以保證通信時(shí)服務(wù)器可以辨別出客戶端的身份，驗(yàn)證過程類似于服務(wù)器身份的驗(yàn)證過程。而在通常情況下，瀏覽器都會(huì)通過交互的方式來完成上述的通信過程。

        在Linux中使用Apache+SSL

        雖然Apache服務(wù)器不支持SSL，但Apache服務(wù)器有兩個(gè)可以自由使用的支持SSL的相關(guān)計(jì)劃：一個(gè)為Apache-SSL，它集成了Apache服務(wù)器和SSL；另一個(gè)為Apache+mod_ssl，它是通過可動(dòng)態(tài)加載的模塊mod_ssl來支持SSL的。其中后一個(gè)是由前一個(gè)分化出來的，并由于使用模塊，易用性很好，因此使用范圍更為廣泛。還有一些基于Apache并集成了SSL能力的商業(yè)Web服務(wù)器，然而使用這些商業(yè)Web服務(wù)器主要是北美，這是因?yàn)樵谀抢颯SL使用的公開密鑰的算法具備專利權(quán)，不能用于商業(yè)目的，其他的國(guó)家不必考慮這個(gè)專利問題，而可以自由使用SSL。

        Apache+mod_ssl依賴于另外一個(gè)軟件：openssl，它是一個(gè)可以自由使用的SSL實(shí)現(xiàn)，首先需要安裝這個(gè)Port。

        openssl-0.9.7a-2.i386.rpm下載地址為：ftp://rpmfind.net/linux/redhat/9/en/os/i386/RedHat/RPMS/openssl-0.9.7a-2.i386.rpm，也可以在Red Hat Linux 9或者Fedora Core 4等Linux發(fā)行版本的光盤中找到該RPM包。并且，在默認(rèn)條件下，執(zhí)行系統(tǒng)安裝將會(huì)安裝該軟件包。

        安裝命令如下：

        #rpm - ivh openssl- 0.9.7a-2.i386.rpm

        安裝好openssl之后，就可以安裝Apache+mod_ssl了。然而為了安裝完全正確，需要清除原先安裝的Apache服務(wù)器的其他版本，并且還要清除所有的設(shè)置文件及其缺省設(shè)置文件，以避免出現(xiàn)安裝問題。最好也刪除 /usr/local/www目錄（或更名），以便安裝程序能建立正確的初始文檔目錄。如果是一臺(tái)沒有安裝過Apache服務(wù)器的新系統(tǒng)，就可以忽略這個(gè)步驟，而直接安裝Apache+mod_ssl了。

        啟動(dòng)和關(guān)閉該服務(wù)器的命令如下所示:

        ●#apachectl start：?jiǎn)��?dòng)apache

        ●#apachectl startssl：?jiǎn)��?dòng)apache ssl。注意，此處若使用start參數(shù)，則僅僅啟動(dòng)普通Apache的httpd守護(hù)進(jìn)程，而不啟動(dòng)其SSL能力，只有startssl才能啟動(dòng)Apache的SSL能力。如果之前Apache的守護(hù)進(jìn)程正在運(yùn)行，便需要使用stop參數(shù)先停止服務(wù)器運(yùn)行。

        ●#apachectl stop：停止apache。

        ●#apachectl restart：重新啟動(dòng)apache。

        ●#apachectl status：顯示apache的狀態(tài)。

        ●#apachectl configtest：測(cè)試httpd.conf配置是否正確。

        啟動(dòng)apache ssl后，就可以啟動(dòng)Mozilla、IE或其他支持SSL的瀏覽器，輸入U(xiǎn)RL為：http://ssl_server/來查看服務(wù)器是否有響應(yīng)，https使用的缺省端口為443，如果一切正常，服務(wù)器將會(huì)返回給客戶端證書，由客戶端進(jìn)行驗(yàn)證并且判斷，是否接受該證書并進(jìn)行下一步的通信過程。

關(guān)鍵字：SSL  保護(hù) Apache 服務(wù)器