雖然在安裝MOD_SSL時(shí)已經(jīng)使用 make certificate 命令建立了服務(wù)器的證書簽名，但是有時(shí)你可能需要改變它。當(dāng)然有很多自動的腳本可以實(shí)現(xiàn)它，但是最可靠的方法是手工簽署證書。首先我假定你已經(jīng)安裝好了openssl和MOD_SSL，如果你的openssl安裝時(shí)的prefix設(shè)置為/usr/local/openssl，那么把/usr/local/openssl/bin加入執(zhí)行文件查找路徑。還需要MOD_SSL源代碼中的一個(gè)腳本，它在MOD_SSL的源代碼目錄樹下的pkg.contrib目錄中，文件名為 sign.sh。 將它拷貝到 /usr/local/openssl/bin 中。

先建立一個(gè) CA 的證書，首先為CA 創(chuàng)建一個(gè) RSA 私用密鑰，

系統(tǒng)提示輸入 PEM pass phrase，也就是密碼，輸入后牢記它。 生成 ca.key 文件，將文件屬性改為400，并放在安全的地方。

你可以用下列命令查看它的內(nèi)容，

利用 CA 的 RSA 密鑰創(chuàng)建一個(gè)自簽署的 CA 證書（X.509結(jié)構(gòu)）

然后需要輸入下列信息：

生成 ca.crt 文件，將文件屬性改為400，并放在安全的地方。

你可以用下列命令查看它的內(nèi)容，

下面要創(chuàng)建服務(wù)器證書簽署請求，
首先為你的 Apache 創(chuàng)建一個(gè) RSA 私用密鑰：

這里也要設(shè)定pass phrase。
生成 server.key 文件，將文件屬性改為400，并放在安全的地方。

你可以用下列命令查看它的內(nèi)容，

用 server.key 生成證書簽署請求 CSR.

這里也要輸入一些信息，和[S-4]中的內(nèi)容類似。
至于 extra attributes 不用輸入。

你可以查看 CSR 的細(xì)節(jié)

下面可以簽署證書了，需要用到腳本 sign.sh

就可以得到server.crt。
將文件屬性改為400，并放在安全的地方。

刪除CSR

最后apache設(shè)置
如果你的apache編譯參數(shù)prefix為/usr/local/apache，
那么拷貝server.crt 和 server.key到 /usr/local/apache/conf
修改httpd.conf
將下面的參數(shù)改為：

可以 apachectl startssl 試一下了