本章提供了有关启用了 mod_ssl 安全模块来使用 OpenSSL 库和工具包
HTML 格式
![](/icons/23953de.gif)
Apache 计划
![](/icons/23953de.gif)
Apache User's Guide 介绍说明指南
![](/icons/23953dou2.gif)
该指南还可在 http://httpd.apache.org/docs-2.0/ 中找到
![](/icons/23953dou2.gif)
OpenSSH 软件Software包The OpenSSH 软件Software包提供了
![](/icons/23953yi.gif)
组用来在远程机器上登录和执行命令
![](/icons/23953de.gif)
OpenSSH网络连接工具集合
![](/icons/23953dou2.gif)
OpenSSH 工具加密所有交通(包括口令)
![](/icons/23953dou.gif)
因此你可以避免被窃听
![](/icons/23953dou.gif)
防范截取连接和其它对你
![](/icons/23953de.gif)
机器和远程机器间通信
![](/icons/23953de.gif)
攻击
![](/icons/23953dou2.gif)
openssh 软件Software包包括 OpenSSH 客户
![](/icons/23953chengxu.gif)
和 服务器都需要
![](/icons/23953de.gif)
核心文件
![](/icons/23953dou2.gif)
openssh 软件Software包还包括 scp
![](/icons/23953dou.gif)
它是 rcp (用来在机器间复制文件)和ftp(用来在机器间传输文件)
![](/icons/23953de.gif)
安全替换
![](/icons/23953dou2.gif)
openssh-askpass 软件Software包支持对话框窗口
![](/icons/23953de.gif)
显示
![](/icons/23953dou2.gif)
该窗口在使用 OpenSSH 代理时提示你输入口令
![](/icons/23953dou2.gif)
openssh-askpass-gnome 软件Software包可以在 OpenSSH
![](/icons/23953chengxu.gif)
提示你输入口令时和 GNOME 桌面环境
![](/icons/23953yi.gif)
起使用来显示图形化对话窗口
![](/icons/23953dou2.gif)
如果你运行
![](/icons/23953de.gif)
是 GNOME
![](/icons/23953dou.gif)
并使用 OpenSSH 工具
![](/icons/23953dou.gif)
你应该安装该软件Software包
![](/icons/23953dou2.gif)
openssh-server 软件Software包包括 sshd 安全 shell 守护进程和相关文件
![](/icons/23953dou2.gif)
安全 shell 守护进程是 OpenSSH 套件
![](/icons/23953de.gif)
服务器
![](/icons/23953yi.gif)
方
![](/icons/23953dou.gif)
如果你 想允许 SSH 客户连接到你
![](/icons/23953de.gif)
主机
![](/icons/23953dou.gif)
你必须在主机上安装该软件Software包
![](/icons/23953dou2.gif)
openssh-clients 软件Software包包含进行加密 SSH 服务器连接所需
![](/icons/23953de.gif)
客户
![](/icons/23953chengxu.gif)
![](/icons/23953dou.gif)
其中包括: ssh ( rsh
![](/icons/23953de.gif)
安全替换); sftp ( ftp
![](/icons/23953de.gif)
安全替换
![](/icons/23953dou.gif)
用来在机器间传输文件); slogin (用于远程登录
![](/icons/23953de.gif)
rlogin 和通过Telnet协议和另
![](/icons/23953yi.gif)
主机通信
![](/icons/23953de.gif)
telnet
![](/icons/23953de.gif)
安全替换)
![](/icons/23953dou2.gif)
有关 OpenSSH
![](/icons/23953de.gif)
详细信息
![](/icons/23953dou.gif)
请参阅第15章、
![](/icons/23953smhl.gif)
Red Hat Linux 参考指南
![](/icons/23953smhr.gif)
、以及 OpenSSH
![](/icons/23953de.gif)
网站WebSite: http://www.openssh.com
![](/icons/23953dou2.gif)
openssl-developenssl-devel 软件Software包包含编译带有各类加密算式和协议支持
![](/icons/23953de.gif)
应用
![](/icons/23953chengxu.gif)
所需
![](/icons/23953de.gif)
静态库和包含文件
![](/icons/23953dou2.gif)
你只有在开发包括 SSL 支持
![](/icons/23953de.gif)
应用
![](/icons/23953chengxu.gif)
时
![](/icons/23953dou.gif)
才需要安装该软件Software包 — 仅使用 SSL 不必安装该软件Software包
![](/icons/23953dou2.gif)
stunnelstunnel 软件Software包提供了 Stunnel SSL 会绕
![](/icons/23953chengxu.gif)
![](/icons/23953dou2.gif)
Stunnel 支持 TCP 连接
![](/icons/23953de.gif)
SSL 加密
![](/icons/23953dou.gif)
因此它可以为无 SSL
![](/icons/23953de.gif)
守护进程和协议(如 POP、IMAP 和 LDAP)提供加密
![](/icons/23953dou.gif)
却不需对守护进程
![](/icons/23953de.gif)
编码做任何修改
![](/icons/23953dou2.gif)
表 20-1 显示了安全服务器软件Software包
![](/icons/23953de.gif)
摘要
![](/icons/23953dou.gif)
并向你表明每个软件Software包对安全万维网服务安装是否必不可少
![](/icons/23953dou2.gif)
软件Software包名称 是否可选可不选? httpd 否 mod_ssl 否 openssl 否 httpd-devel 是 httpd-manual 是 openssh 是 openssh-askpass 是 openssh-askpass-gnome 是 openssh-clients 是 openssh-server 是 openssl-devel 是 stunnel 是
表 20-1.安全软件Software包
20.3. 证书和安全概述
你
![](/icons/23953de.gif)
安全服务器使用安全套接字层(SSL)和(多数情况下)来自证书权威(CA)
![](/icons/23953de.gif)
数码证书
![](/icons/23953de.gif)
组合来提供安全性
![](/icons/23953dou2.gif)
SSL 处理浏览器和你
![](/icons/23953de.gif)
安全服务器间
![](/icons/23953de.gif)
加密通讯和互相验证
![](/icons/23953dou2.gif)
CA 认可
![](/icons/23953de.gif)
数码证书为你
![](/icons/23953de.gif)
安全服务器提供验证(CA 以它
![](/icons/23953de.gif)
名誉担保对你
![](/icons/23953de.gif)
机构组织身份
![](/icons/23953de.gif)
认证)
![](/icons/23953dou2.gif)
当你
![](/icons/23953de.gif)
浏览器使用 SSL 加密通讯时
![](/icons/23953dou.gif)
你会看到导航栏上
![](/icons/23953de.gif)
划
![](/icons/23953yi.gif)
资源定位(URL)
![](/icons/23953de.gif)
开头有
![](/icons/23953yi.gif)
个“http://”前缀
![](/icons/23953dou2.gif)
加密依赖于钥匙
![](/icons/23953de.gif)
使用(你可以把它们当做数据格式
![](/icons/23953de.gif)
秘密编码和解码钥匙)
![](/icons/23953dou2.gif)
传统
![](/icons/23953de.gif)
或对称
![](/icons/23953de.gif)
加密术中
![](/icons/23953dou.gif)
事务
![](/icons/23953de.gif)
两端都使用同
![](/icons/23953yi.gif)
把钥匙
![](/icons/23953dou.gif)
它们可以用这把钥匙来破译彼此
![](/icons/23953de.gif)
传输
![](/icons/23953dou2.gif)
在公共或非对称加密术中
![](/icons/23953dou.gif)
有两把钥匙并存:公钥和密钥
![](/icons/23953dou2.gif)
某人或某机构把他们
![](/icons/23953de.gif)
密钥保密
![](/icons/23953dou.gif)
只公布他们
![](/icons/23953de.gif)
公钥;使用密钥编码
![](/icons/23953de.gif)
数据只能用公钥才能解码
![](/icons/23953dou2.gif)
要设置你
![](/icons/23953de.gif)
安全服务器
![](/icons/23953dou.gif)
你将会使用公共加密术来创建公钥和密钥对
![](/icons/23953dou2.gif)
在多数情况下
![](/icons/23953dou.gif)
你会向某 CA 发送证书请求(包括你
![](/icons/23953de.gif)
公钥)、你
![](/icons/23953de.gif)
公司身份
![](/icons/23953de.gif)
证据、以及付款
![](/icons/23953dou2.gif)
CA 将会校验你
![](/icons/23953de.gif)
证书请求和身份
![](/icons/23953dou.gif)
然后把你
![](/icons/23953de.gif)
安全万维网证书寄回给你
![](/icons/23953dou2.gif)
安全服务器使用证书来向万维网浏览器标明身份
![](/icons/23953dou2.gif)
你可以生成你自己
![](/icons/23953de.gif)
证书(叫做“自签”证书)
![](/icons/23953dou.gif)
或者你可以从证书权威中获取证书
![](/icons/23953dou2.gif)
来自有声望
![](/icons/23953de.gif)
CA
![](/icons/23953de.gif)
证书会担保和某
![](/icons/23953yi.gif)
特定公司或机构相连
![](/icons/23953de.gif)
网站WebSite
![](/icons/23953de.gif)
身份
![](/icons/23953dou2.gif)
另外
![](/icons/23953dou.gif)
你也可以创建你自己
![](/icons/23953de.gif)
自签证书
![](/icons/23953dou2.gif)
然而请注意
![](/icons/23953dou.gif)
自签证书不应该被用在多数生产环境中
![](/icons/23953dou2.gif)
自签证书不会被用户
![](/icons/23953de.gif)
浏览器自动接受 — 浏览器将会征询用户是否要接受该证书并创建安全连接
![](/icons/23953dou2.gif)
请参阅 第 20.5 节 来获取有关自签和 CA 签名
![](/icons/23953de.gif)
证书区别
![](/icons/23953de.gif)
详细信息
![](/icons/23953dou2.gif)
在你有了自签
![](/icons/23953de.gif)
证书或来自 CA
![](/icons/23953de.gif)
证书后
![](/icons/23953dou.gif)
你需要把它安装在你
![](/icons/23953de.gif)
安全服务器上
![](/icons/23953dou2.gif)
20.4. 使用已存钥匙和证书
如果你已有现存
![](/icons/23953de.gif)
钥匙和证书(例如
![](/icons/23953dou.gif)
如果你要安装安全服务器来替换另
![](/icons/23953yi.gif)
家公司
![](/icons/23953de.gif)
安全服务器产品)
![](/icons/23953dou.gif)
你可能将能够在安全服务器中使用你现存
![](/icons/23953de.gif)
钥匙和证书
![](/icons/23953dou2.gif)
在下面这两种情况下
![](/icons/23953dou.gif)
你将无法使用现存
![](/icons/23953de.gif)
钥匙和证书:
- 如果你改变了你
IP 地址和域名 — 证书是向特定 IP 地址和域名对颁发![](/icons/23953de.gif)
如果你改变了域名或 IP 地址
你需要申请
份新证书![](/icons/23953dou2.gif)