Behind the Code

Apache的认证体系很不错，但是他并不是和操作系统天然结合的。如果想要让Apache使用操作系统的用户进行认证，可以使用 mod_auth_shadow 或者 mod_authnz_external 来进行。 我使用的是 mod_auth_shadow，因为简单嘛。 下载之后自己进行编译，会有两个有用的文件，mod_auth_shadow.so 和 validate 。 配置Apache，我使用的是Apache 2.2 加载module，LoadModule auth_shadow_module /path-to/mod_auth_shadow.so 配置 VirtualHost添加如下几行       AuthName what-ever-you-like       AuthShadow on       AuthType Basic       require valid-user 还可以使用 require user/grouprequire user user1 user2require group group1 group2 这样你就可以使用了。 注意， 其中的 validate 是进行真正认证的程序， mod_auth_shadow 是会通过 pipe 和 validate 进行交互的。 validate [...]

在前两篇文章中网络安全通讯（1）—-给你的Webserver启用SSL网络安全通讯（2）—-让别人相信你的服务器我们探讨了如何让你的客户相信你的服务器，这篇文章我们探讨一下你如何去相信你的客户。 在很多场景下，我们是需要关心客户的身份的，一个很安全的做法就是给你的客户发放一个签名的证书，让你的客户拿着证书来，这时候你验证了证书，你也就相信了你的客户。我们可以使用Apache提供的客户端验证（Client Certificate）功能。 生成客户端的私钥和CSR文件openssl genrsa -out client.key 1024openssl req -new -key client.key -out client.csr 用前面我们自己的CA签发客户的证书openssl x509 -req -days 360 -in client.csr -CA ca.crt -CAkey ca.key -CAserial ca.srl -out client.crt 此时客户端的证书已经制作完毕（和制作Server的一样），但是我们的浏览器需要pkcs12格式的文件，所以我们需要签一个pkcs12格式的文件openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12 -name your_certificate_client_name这里需要你的client的CSR文件设置的密码，还有your_certificate_client_name替换成你client的名字 打开Apache需要客户验证的设置SSLVerifyClient requireSSLVerifyDepth  1SSLCACertificateFile “/path_to/ca.crt” 重新启动apache，尝试一下访问，此时访问并不成功Firefox会包一个-12227的错误，IE干脆显示不出来，说明客户端验证没有通过 把生成的客户端pkcs12文件导入到浏览器，Firefox Tools->Options->Advanced->Encryption->View Certificates->Your Certificates->ImportIE Tools->Internet Options->Content->Certificates->Personal->Import 再次访问服务器，It works. 此时你的客户端（也就是浏览器）可以通过服务器的验证了。你也可以相信你的客户了。

上文（网络安全通讯（1）—-给你的Webserver启用SSL）我们讲解了我们如何能够保证我们的服务器和客户端之间的安全通讯。 但是有些时候，用户凭什么相信你呢，你总得想办法证明你的身份吧。该CA（Certificate Authority）出场了，CA是一个大家都相信的第三方，因为你的客户相信CA，而CA又说你（你的服务器）是可以被信任的，那么你的客户就会相信你。所以刚才那个自签名的证书可是不行，你需要ca用他的key给你签个名字，这样别人才相信不是。Q：我们不认识CA怎么办？A：去公认的CA申请啊！Q：难道就我们自己用也要申请？A：好吧，我们可以自己假装自己就是CA，只要大家相信你就好。 我们开始假装CA，创建自己的CA。    1. 建立CA私钥      openssl genrsa -out ca.key 1024   2. 建立自己的CRT文件      openssl req -new -x509 -key ca.key -out ca.crt -days 3600   3. 用自己的CA文件签署刚刚的服务器CSR，生成服务器证书      openssl x509 -req -days 360 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt      注意，这里的参数-CAcreateserial会建立一个serial文件ca.srl，用来记录ca的serial number，如果你已经有了这个文件，那么请使用-CAserial serial_file替换-CAcreateserial参数。   4. 使用新的server.key和server.crt文件，重启apache，再次访问。看一下你的浏览器说什么，是不是此时的Issuer已经是你自己的CA了？ 如果你是使用第三方的CA，你就需要把你的server.csr发给他们，然后他们会签一个证书发挥给你的。 此时我们的客户已经相信了你的服务器了。好了本本没电了，明天我们再讨论如何相信你的客户吧。

互联网很危险，你还是回火星吧。好吧，我们还有SSL，你可以等一下了。 先说一下这里面用到的库OpenSSL 0.9.8gApache Httpd 2.2 SSL是一个可以保证你的通讯安全的机制，采用公钥私钥的非对加密机制，具体机制我就不说了，网上一抓一大把。你可以使用openssl建立自己的密钥，并使用在Apache Webserver上，让你的服务器支持https。 建立你自己的服务器私钥，一个1024位的就够了openssl genrsa -des3 -out server.key 1024 生成CSR文件，Certificate Signing Requestopenssl req -new -key server.key -out server.csr 生成证书CRT文件，X509协议openssl x509 -req -in server.csr -signkey server.key -out server.crt注意，这是一个自签名的证书 修改你apache的ssl配置，SSLCertificateFile “/path-to/server.crt”SSLCertificateKeyFile “/path-to/server.key” 启动你的apache，使用https访问试试看，是不是要你确认是否允许证书通过 这时候，你的服务器已经支持SSL了，刚才浏览器问你是否通过你服务器提供的证书是表示客户端（浏览器）信任了你的服务器，这里也就是服务器认证。你们之间的通讯已经是加密的了。