国密SSL协议之Apache集成 – 作者:gmsslcn

1 背景

Apache httpd自身支持标准的SSL协议,但并不支持国密SSL协议。本文描述了Apache httpd配置的国密SSL协议(单向)的完整过程,仅供学习和参考之用。

特点:Apache httpd无需改动源码、支持任意版本。

2 环境

服务器OS是CentOS7.7的64位版本,IP位192.168.0.96,客户端OS是WindowsXP。

CentOS7.7需安装development tools 开发环境,如未安装,后续编译过程需安装必要开发包(已注明)。

Apache httpd是httpd-2.4.46.tar.gz 。

浏览器是360安全浏览器(支持国密)。

3 安装方法一:源码编译

GMSSL.cn提供一个OpenSSL的国密版库,可与Apache httpd编译,生成的Apache httpd即支持国密SSL协议。

  • 准备gmssl_openssl

下载页面https://www.gmssl.cn/gmssl/index.jsp?go=nginxdown

下载其中的gmssl_openssl_1.1_bx.tar.gz

拷贝到/root/目录

解压

tar xzfm gmssl_openssl_1.1_bxx.tar.gz -C /usr/local

  • 准备Apache httpd

安装必要开发包:

yum install pcre-devel

yum install expat-devel

编译apr:

下载https://mirror.bit.edu.cn/apache//apr/apr-1.7.0.tar.gz

tar zxfm apr-1.7.0.tar.gz

cd apr-1.7.0

./configure –prefix=/usr/local/apr/apr

make install

编译apr-util:

下载https://mirrors.bfsu.edu.cn/apache//apr/apr-util-1.6.1.tar.gz

tar zxfm apr-util-1.6.1.tar.gz

cd apr-util-1.6.1

./configure –prefix=/usr/local/apr/util –with-apr=/usr/local/apr/apr

make install

下载展开Apache httpd:

下载https://mirrors.tuna.tsinghua.edu.cn/apache//httpd/httpd-2.4.46.tar.gz

tar zxfm httpd-2.4.46.tar.gz

cd httpd-2.4.46

  • 编译

安装必要开发包:

yum install -y bison bison-devel

yum install -y flex flex-devel

配置:

./configure –prefix=/usr/local/httpd –enable-so –enable-ssl –enable-cgi –enable-rewrite –enable-modules=most –enable-mpms-shared=all –with-mpm=prefork –with-zlib –with-apr=/usr/local/apr/apr –with-apr-util=/usr/local/apr/util –with-ssl=/usr/local/gmssl LDFLAGS=-lm

修改ssl为静态链接:/

vi build/config_vars.mk

找到ab_LIBS = -L/usr/local/gmssl/lib -lssl -lcrypto -lrt -lcrypt -lpthread -ldl

去掉

-L/usr/local/gmssl/lib -lssl -lcrypto

增加

/usr/local/gmssl/lib/libssl.a /usr/local/gmssl/lib/libcrypto.a

make install

/usr/local/httpd为生成的国密版Apache httpd目录

4 安装方法二:直接安装

GMSSL.cn已经提供了一个按方法一编译好的国密版httpd,可以直接下载安装使用。

下载页面https://www.gmssl.cn/gmssl/index.jsp?go=apachedown

拷贝到/root/目录

解压

tar zxfm gmssl_httpd_2.4.46_b6.tar.gz-C /usr/local

则/usr/local/http为国密版Apache httpd目录

5 国密双证书

  • 生成国密双证书

访问https://www.gmssl.cn/gmssl/index.jsp?go=ca,可生成免费的测试国密双证书。

提交后保存sm2.demo1.gmssl.cn.zip

传到服务器/root/下解压

unzip sm2.demo1.gmssl.cn.zip -d /root/sm2.demo1/

5 Apache httpd部署国密SSL

  • 开启SSL

vi /usr/local/httpd/conf/httpd.conf

取掉注释

LoadModule ssl_module modules/mod_ssl.so

取消注释

Include conf/extra/httpd-ssl.conf

2)配置

vi /usr/local/httpd/conf/extra/httpd-ssl.conf

注释掉所有带SSLSessionCache的配置行

配置算法

SSLCipherSuite ECC-SM4-SM3:ECDHE-SM4-SM3

注释掉默认证书和key

#SSLCertificateFile “/usr/local/httpd/conf/server.crt”

#SSLCertificateKeyFile “/usr/local/httpd/conf/server.key”

配置国密双证书/私钥

SSLCertificateFile”/root/sm2.demo1/sm2.demo1.gmssl.cn.sig.crt.pem”

SSLCertificateKeyFile”/root/sm2.demo1/sm2.demo1.gmssl.cn.sig.key.pem”

SSLCertificateFile “/root/sm2.demo1/sm2.demo1.gmssl.cn.enc.crt.pem”

SSLCertificateKeyFile “/root/sm2.demo1/sm2.demo1.gmssl.cn.enc.key.pe

3)测试启动

测试

/usr/local/httpd/bin/httpd -t

OpenSSL(GM version) by www.gmssl.cn. Test Only!!!

OpenSSL(GM version) by www.gmssl.cn. Test Only!!!

AH00558: httpd: Could not reliably determine the server’s fully qualified domain name, using fe80::7747:d82a:32df:f84c%ens33. Set the ‘ServerName’ directive globally to suppress this message

Syntax OK

启动

/usr/local/httpd/bin/httpd -k start

OpenSSL(GM version) by www.gmssl.cn. Test Only!!!

OpenSSL(GM version) by www.gmssl.cn. Test Only!!!

AH00558: httpd: Could not reliably determine the server’s fully qualified domain name, using fe80::7747:d82a:32df:f84c%ens33. Set the ‘ServerName’ directive globally to suppress this message

OpenSSL(GM version) by www.gmssl.cn. Test Only!!!

注:Test Only等信息是国密版OpenSSL输出的提示信息,不影响测试和使用。

6 访问验证

1)下载360安全浏览器

https://se.360.cn

2)开启国密SSL支持

2)启用极速模式

访问https://192.168.0.96,出现错误页面,开启极速模式

3)访问国密SSL成功

6 小结

通过使用国密SSL组件,使得Apache httpd自身不做任何编译修改,即可比较简单的支持国密SSL协议,满足等保等政策合规,确实是一个简单可操作的方法。www.gmssl.cn提供了全部免费的测试组件,并且支持双向国密SSL,支持国密SSL/标准 SSL自适应,也支持Tomcat和Nginx,值得推荐和试用。

来源:freebuf.com 2020-08-19 13:16:33 by: gmsslcn

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论