後面根據實際情況寫了我自己配的操作！

本文章在LINUX9+apache2.0.52,tomcat5.5.6,j2se1.5,openssl0.97上實驗通證
本文的目的是為了交流，如有出錯的地方，請指教
轉載請註明出處，並保持文章的完整性
現在開始安裝

首先在安裝之前要明白一些基本概念

1、SSL所使用的證書可以是自己建的生成的，也可以通過一個商業性CA如Verisign 或 Thawte簽署證書。


2、證書的概念：首先要有一個根證書，然後用根證書來簽發伺服器證書和客戶證書，一般理解：伺服器證書和客戶證書是平級關係。在SSL必須安裝根證書和伺服器證書來認證。

因此：在此環境中，至少必須有三個證書：即根證書，伺服器證書，客戶端證書
在生成證書之前，一般會有一個私鑰，同時用私鑰生成證書請求，再利用證書伺服器的根證來簽發證書。

3、簽發證書的問題：我最近找了很多關於openssl的資料，基本上只生成了根證書和私鑰及伺服器證書請求，並沒有真正的實現簽證。我這裡參考了一些資料，用openssl自帶的一個CA.sh來簽證書，而不是用MOD_ssl裡的sign.sh來籤。

用openssl語法來生成證書，有很多條件限定，如目錄，key的位置等，比較麻煩，我實驗了好幾天，最後放棄了。有興趣的可以參考一下openssl手冊。


步驟一：安裝openssl和apache

#rpm –e –-nodeps openssl 

 
3、解壓：

#tar xzvf openssl-0.9.7e.tar.gz

4、進入openssl目錄，並安裝，用--prefix指定openssl安裝目錄

#cd openssl-0.9.7e

#./config --prefix=/usr/local/openssl

#make

#make test

#make install 

5、安裝apache
至www.apache.org/dist下載apache最新版httpd-2.0.52.tar.gz
解壓後進入apache目錄，根據需要安裝需要的模組，我這裡裝了ssl,rewrite,動態模式安裝

#tar zxvf httpd-2.0.52.tar.gz

#cd httpd-2.0.52

#./configure  --prefix=PREFIX   --enable-ssl   --enable-rewrite  --enable-so   --with-ssl=/usr/local/openssl

#make

#make install

步驟二：簽證
安裝openssl後，在openssl下有一個CA.sh檔案，就是利用此檔案來簽證，
來籤三張證書，然後利用這三張證書來布SSL伺服器。

1、在/usr/local/apache/conf下，建立一個ssl.crt目錄，將CA.sh檔案copy至/usr/local/apache/conf/ssl.crt/目錄

[[email protected] ssl]# cp /usr/local/openssl/ssl/misc/CA.sh /usr/local/apache/conf/ssl.crt/CA.sh

2、執行CA.sh -newca，他會找你要CA需要的一個CA自己的私有金鑰密碼檔案。如果沒有這個檔案？按回車會自動建立，輸入密碼來保護這個密碼檔案。之後會要你的一個公司資訊來做CA.crt檔案。最後在當前目錄下多了一個./demoCA這樣的目錄../demoCA/private/cakey.pem就是CA的key檔案啦，./demoCA/cacert.pem就是CA的crt檔案了

[[email protected] ssl.crt]# ./CA.sh -newca

要求輸入如下資訊：
引用：Country Name (2 letter code) [GB]:CN
State or Province Name (full name) [Berkshire]:FUJIAN
Locality Name (eg, city) [Newbury]:FUZHOU
Organization Name (eg, company) [My Company Ltd]:FJJM
Organizational Unit Name (eg, section) []:FD
Common Name (eg, your name or your server's hostname) []:WIN
Email Address []:[email protected]

這樣就建好了一個CA伺服器，有了一個根證書的私鑰cakey.pem及一張根證書cacert.pem,現在就可以cacert.pem來給簽證了

3、簽署伺服器證書
生成伺服器私鑰：

[[email protected] ssl.crt]# openssl genrsa -des3 -out server.key 1024

生成伺服器證書請求

[[email protected] ssl.crt]# openssl req -new -key server.key -out server.csr

會要求輸入資訊

Country Name (2 letter code) [GB]:CN

State or Province Name (full name) [Berkshire]:FUJIAN

Locality Name (eg, city) [Newbury]:FUZHOU

Organization Name (eg, company) [My Company Ltd]:FJJM

Organizational Unit Name (eg, section) []:FD

Common Name (eg, your name or your server's hostname) []:WIN

Email Address []:[email protected]

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:WIN

An optional company name []:WING

最後把server.crt檔案mv成newreq.pem,然後用CA.sh來簽證就可以了

[[email protected] ssl.crt]# mv server.csr newreq.pem

[[email protected] ssl.crt]# ./CA.sh -sign

這樣就生成了server的證書newcert.pem
把newcert.pem改名成server.crt

[[email protected] ssl.crt]# mv newcert.pem server.crt

4、處理客戶端：
生成客戶私鑰：

[[email protected] ssl.crt]# openssl genrsa -des3 -out client.key 1024

請求

[[email protected] ssl.crt]# openssl req -new -key client.key -out client.csr

簽證：

[[email protected] ssl.crt]# openssl ca -in client.csr -out client.crt

把證書格式轉換成pkcs12格式

[[email protected] ssl.crt]# openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

5、這時就有了三張證書和三個私鑰，一個是demoCA下的根證書,ssl.crt下的伺服器證書和客戶證書。及demoCA/private下的根key,ssl.crt下的伺服器key和客戶key,在conf下的ssl.conf下指定證書的位置和伺服器key的位置.

我是在conf下建立一個ssl.crt目錄，並將所有的key和證書放到這裡

#cp demoCA/cacert.pem cacert.pem

同時複製一份證書，更名為ca.crt

#cp cacert.pem ca.crt

=============================================以下幾步我的與原文章作者不太樣，這是原作者的：
步驟三、編輯ssl.conf

#cd /usr/local/apache/conf

編輯ssl.conf

指定伺服器證書位置

SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt

指定伺服器證書key位置

SSLCertificateKeyFile /usr/local/apache/conf/ssl.crt/server.key

證書目錄

SSLCACertificatePath /usr/local/apache/conf/ssl.crt

根證書位置

SSLCACertificateFile /usr/local/apache/conf/ssl.crt/cacert.pem

開啟客戶端SSL請求

SSLVerifyClient require

SSLVerifyDepth  1

啟動ssl

/usr/local/apache/bin/apachectl startssl

會要求輸入server.key的密碼
啟動，這樣一個預設的SSL伺服器及http伺服器就啟動了，

步驟四、安裝和使用證書
把剛才生成的證書：根證書ca.crt和客戶證書client.pfx下到客戶端，並安裝，
ca.crt安裝到信任的機構，client.pfx直接在windows安裝或安裝到個人證書位置，然後用IP訪問HTTP和https伺服器。

=================================以下是我實際操作的

開啟/usr/local/apache/conf/httpd.conf

加上：

Include conf/extra/httpd-ssl.conf

或把這行的前面的註釋去掉

儲存，

再開啟/usr/local/apache/conf/extra/httpd-ssl.conf

留下以下幾行，其它的全部註釋或刪除

Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
SSLPassPhraseDialog  builtin
SSLSessionCache        "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout  300
SSLMutex  "file:/usr/local/apache/logs/ssl_mutex"

當然如果把SSL的慮擬主機放在這個檔案裡那就把下面的放到這個檔案也行，

開啟/usr/local/aapche/conf/extra/httpd-vhost.conv

把需要啟用SSL的慮擬主機配置如下：

<VirtualHost *:443>
    ServerAdmin [email protected]
    DocumentRoot "/var/www"
    ServerName www.server.com:443
    ErrorLog "/var/logs/www-error_log"
    TransferLog "/var/logs/www-access_log"
    SSLEngine on
    SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

    SSLCertificateFile "/usr/local/apache/conf/ssl.crt/server.crt"
    SSLCertificateKeyFile "/usr/local/apache/conf/ssl.crt/server.key"

    <FilesMatch "/.(cgi|shtml|phtml|php)$">
        SSLOptions +StdEnvVars
    </FilesMatch>
    BrowserMatch ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
    CustomLog "/var/logs/www-ssl_request_log" "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x /"%r/" %b"

</VirtualHost>

這樣重啟apache訪問網站時用https://www.server.com就可以了，但會提示證書不受信任，呵呵，因為是個人制作的證書，不是所謂的權威機構弄的，所以不受信任，可以手動加為受信任就可以了