Apache 服务器国密 SSL 证书安装部署

操作场景

本文档指导您如何在 Apache 服务器中安装国密标准 SSL 证书。

说明：

• 国密标准 SSL 证书目前仅支持 Linux 环境下 Apache 服务器。

• 本文档以证书名称 www.huweissl.com 为例。

• 目前仅提供 apache-2.4.39 国密版，若您需要采用其余版本，请您 联系我们。

• 当前服务器的操作系统为 CentOS 7，由于操作系统的版本不同，详细操作步骤略有区别。

安装 SSL 证书前，请您在 Apache 服务器上开启 “443” 端口，避免证书安装后无法启用 HTTPS。

• 已准备远程文件拷贝软件，例如 WinSCP（建议从官方网站获取最新版本）。

• 已准备远程登录工具，例如 PuTTY 或者 Xshell（建议从官方网站获取最新版本）。

• 已购买国密标准（SM2）SSL 证书。

• 安装 SSL 证书前需准备的数据如下：

操作步骤

环境配置

说明：

• 国密标准 SSL 证书安装在 Apache 服务器上，Apache 服务器需具备相关环境支持模块。下文将指导您编译配置支持国密标准 SSL 证书的 Apache 服务器。

• 下述步骤中的目录皆是测试环境的目录，具体路径请根据您的实际环境与需求进行确定。

1. 远程登录 Apache 服务器。例如，使用 “PuTTY” 工具 登录。

2. 安装编译工具：如果您的系统是全新的，请先在服务器上安装 C++ 开发环境，为编译提供环境支持。您可以使用如下命令进行安装。

3.  

yum install -y gcc

yum install -y gcc-c++

1.  

2. 下载并编译安装 apr（以 apr 1.7.0 版本为例），您可以通过在服务器上输入以下命令，下载 apr 至服务器并编译安装，由于操作系统的版本不同，详细操作步骤略有区别。

3.  

#切换至 /usr/local/ 目录下cd /usr/local/ #下载 apr 1.7.0wget -c http://mirror.bit.edu.cn/apache/apr/apr-1.7.0.tar.gz#解压已下载的 apr 1.7.0 压缩包tar -zvxf apr-1.7.0.tar.gz#进入解压后的 apr 1.7.0 文件夹并指定编译目录路径。cd apr-1.7.0/./configure --prefix=/usr/local/apr#编译安装 aprmake && make install

1.  

2. 下载并编译安装 apr-util（推荐使用 apr-util-1.5 版本，以 apr-util-1.5 版本为例）。

3.  

#切换至 /usr/local/ 目录下cd /usr/local/ #下载 apr-util-1.5.4

wget -c http://archive.apache.org/dist/apr/apr-util-1.5.4.tar.gz#解压已下载的 apr-util-1.5.4 压缩包

tar -zvxf apr-util-1.5.4.tar.gz #进入解压后的 apr-util-1.5.4 文件夹并指定编译目录路径。cd /usr/local/apr-util-1.5.4/

./configure --prefix=/usr/local/apr-util --with-apr=/usr/local/apr#编译安装 apr-util

make && make install

1.  

   说明：

2.  

执行 make 命令时如果出现 #include <expat.h> ^ compilation terminated. 报错信息，请输入命令 yum install -y expat-devel 安装依赖库。

1.  

2. 安装 pcre。您可以通过以下两种方式进行安装。

• 推荐使用 yum 进行安装。

•  

yum install -y pcre-devel

•  

• 编译安装。

•  

#切换至 /usr/local/ 目录下cd /usr/local/ #下载 pcre-8.43wget -c https://ftp.pcre.org/pub/pcre/pcre-8.43.tar.gz#解压已下载的 pcre-8.43 压缩包tar -zvxf pcre-8.43.tar.gz#进入解压后的pcre-8.43文件夹并指定编译目录路径。cd pcre-8.43/./configure --prefix=/usr/local/pcre #编译安装 pcremake && make install

1. Apache 服务器安装：上述三个文件编译安装完成后，请下载 Apache 国密版和国密模块至 /usr/local 目录下进行编译安装。

   注意：

2.  

3.  

• 国密模块文件名 wotrus_ssl.tar.gz 在解压与安装中请勿修改，否则可能会导致安装错误。

• 如果在安装 Apache 的过程中找不到 pcre、apr-util 或 apr 等相关文件，请将 /pcre/bin、/apr-util/bin 或 /apr/bin 等文件加入系统路径。

#下载 Apache 国密版

wget -c https://www.wotrus.com/download/apache-2.4.39_gm.tar.gz#下载国密模块

wget -c https://www.wotrus.com/download/wotrus_ssl.tar.gz#解压已下载的 wotrus_ssl 压缩包

tar -zvxf wotrus_ssl.tar.gz #解压已下载的 pache-2.4.39_gm 压缩包

tar -zvxf apache-2.4.39_gm.tar.gz #进入解压后的pcre-8.43文件夹并指定编译目录路径。cd httpd-2.4.39_gm/

./configure --prefix=/usr/local/httpd --enable-so --enable-ssl --enable-cgi --enable-rewrite --enable-modules=most --enable-mpms-shared=all --with-mpm=prefork --with-zlib --with-apr=/usr/local/apr --with-apr-util=/usr/local/apr-util --with-ssl=/usr/local/wotrus_ssl2.0 #编译安装 Apache

make && make install

国密标准证书安装

1. 已在 护卫SSL 证书会员中心管理控制台 中下载并解压缩 www.huweissl.com 证书文件包到本地目录。
   解压缩后，可获得相关类型的证书文件。 其中包含 Apache 文件夹和 CSR 文件：

• 文件夹名称：Apache

• 文件夹内容：

• 1_root_sign_bundle.crt 证书文件

• 2_root_encrypt_bundle.crt 证书文件

• 3_www.huweissl.com_sign.crt 证书文件

• 4_www.huweissl.com_encrypt.crt 证书文件

• 5_www.huweissl.com.key 私钥文件

• CSR 文件内容：

• www.huweissl.com_sign.csr 文件

• www.huweissl.com_encrypt.csr 文件

  说明：

CSR 文件是申请证书时由您上传或系统在线生成的，提供给 CA 机构。安装时可忽略该文件。

1. 使用 “WinSCP”（即本地与远程计算机间的复制文件工具）登录 Apache 服务器。

2. 进入 /usr/local/httpd/conf 目录，新建 cert 目录，将已获取到的 1_root_sign_bundle.crt 证书文件、2_root_encrypt_bundle.crt 证书文件、3_www.huweissl.com_sign.crt 证书文件、

   SSL证书

   域验证 组织验证 扩展验证 单域 多域 通配符 科摩多 SECTIGO

   法律

   法律声明及隐私权政策 服务条款

   公司

   关于护卫SSL 客户案例 诚征英才 联系我们

   通过 support@huweissl.com 联系我们

   

   Copyright © 厦门湃瑞珅网络科技有限公司  版权所有  闽ICP备2021010547号-1  公安备案： 35020602001916号