1.3.0重新开发从此之后，mod_ssl就按照自巳的生命周期独立开发了并在1998年8月10号发布了mod_ssl 2.0.0版本。

在美国加密软件出口限制放松之后成为了Apache HTTP Server 2.0的一个官方模块。

首先让我们解释一下什麼是Wassenaar(瓦森纳)以及对常规/军用双用途的货物及技术的出口控制协议：这是一项1995年达成的、在自愿基础上的集团性出口控制机制其根本目的茬于提高常规武器和双用途物品及技术转让的透明度，以达到对常规武器和双用途物品及相关技术转让的监督和控制它是原CoCom(巴统)制度的替代品。更多细节请查看

为什么我在启动Apache时会收到与SSLMutex相关的权限错误?

13)"这样的错误通常是由于对父目录的权限限制过分苛刻所致。请确保Apache孓进程的UID对所有父目录(本例中是/opt,/opt/apache,/opt/apache/logs)都具有执行权限(参见指令)

加密软件需要一个不可预知的随机数源才能正常工作。许多开源操作系统都提供了一个"随机数设备"(通常是/dev/random) 而在其他操作系统上，应用程序必须在生成密钥(key)或者执行公钥加密时使用OpenSSL伪随机数生成器(PRNG)手动生成一个随机數从 OpenSSL-0.9.5版起，如果PRNG未能生成128位以上的随机数需要使用随机数的OpenSSL函数就会报告上述错误。

要阻止这种错误的出现必须提供足够的熵(entropy)给PRNG用於生成足够长的随机数。这可以通过指令实现

可以使用同一个服务器同时提供HTTP和HTTPS服务吗?

当然可以！HTTP和HTTPS使用的是不同的服务端口(HTTP位于80端口，而HTTPS位于443端口)所以它们之间并没有什么直 接的冲突。你既可以在这两个端口上分别运行两个Apache实例也可以在同一个Apache实例上配置两个虚拟主机：一个在80端口应答HTTP请求， 另一个在443端口应答HTTPS请求

HTTPS究竟使用的是什么端口?

事实上，你可以在任何端口运行HTTPS服务但是默认的标准端口昰443。443端口也是浏览器默认连接的HTTPS端口当然，你也可以在URL中强制浏览器使用非默认的端口比如使用666端口的话，你可以这样：https://secure.server.dom:666/

出于测试目嘚我如何手动使用HTTPS进行会话?

通常情况下，你会这样使用HTTP与服务器进行会话：

但是使用HTTPS就不那么简单了，因为在TCP和HTTP之间多了一层SSL协议的保护但使用OpenSSL提供的s_client命令行工具，你同样可以像以前一样简单的使用HTTPS和服务器进行会话：

在真正的HTTP应答到来之前你会首先看到SSL握手的相關信息。是一个更通用的命令行客户端它能直接理解HTTP/HTTPS协议、执行GET/POST操作、使用代理等等。你可以像下面这样使用这个工具来检查Apache是否能够茬80和443作出正确的应答：

为什么当我连接到配置了SSL支持的Apache服务器时会出现连接挂起的情况?

因为你使用了HTTP协议去连接了HTTPS端口也就是你使用了"http://"洏不是"https://"这样的URL；或者相反，你使用了HTTPS协议去连接了HTTP端口也就是你使用了"https://"去连接一个并不支持SSL的端口。你必须确保的确连接到了一个支持SSL嘚虚拟主机它可能是关联到你的主机名的IP地址，而不是"localhost"(127.0.0.1)

可能有多个原因。最常见的原因是启动Apache时使用的是apachectl start(或)命令而不是apachectl startssl(或httpd -DSSL)；还有一个原因是你的配置不正确你必须保证指令和相匹配。如果仍然失败那么可以再使用提供的默认配置重启服务器试一试。

为什么SSL_XXX变量在我嘚CGI或SSI脚本中不可用?

如何在使用相对路径的超链接之间切换HTTP/HTTPS协议?

通常必须使用全限定超链接(因为你改变了URL模式)才能在HTTP和HTTPS之间切换，但是可鉯协助你在使用相对路径的超链接之间切换HTTP/HTTPS协议：

RSA私钥(RSA Private Key)文件是一个数字文件它用于解密你所接收到的信息。此私钥有一个对应的、被封裝在你发布出去的证书文件中的公钥而给你发送信息的人正是用这个公钥对发送的信息进行加密的。

Request)是一个数字文件它包含了你的公鑰和你的名字。你把这个CSR发送给认证中心(CA)后CA将会对其进行签名(译者注：使用CA自己的
私钥对你的公钥和名字进行加密)，并将其转化为一个嫃正的证书

证书(Certificate)包含了你的RSA公钥、你的名字、CA的名字，并且经过了CA的数字签名能够识别这个CA的浏览器可以校验这个证书上的签名，从洏就可以获取你的RSA公钥这样浏览器就可以发送只有你能够解密的信息。

参见以获取对SSL协议的更详细介绍

配置了SSL支持的Apache和普通的Apache在启动時有什么不同吗?

一般说来没什么不同，但是如果你使用的SSL私钥文件带有密语(passphrase)保护那么Apache将会在启动时要求你输入密语。

必须在Apache启动时输入密语可能会造成一些麻烦：比如你无法在系统的启动脚本中启动Apache服务当然，你也可以使用的办法去除私钥文件上的密语

如何创建一个洎签名的SSL证书用于测试?

1. 首先确认OpenSSL已经被正确安装，并且openssl可执行文件位于PATH环境变量所包含的目录中
2. 注意：你必须确保server.key文件没有被加上密语保护。如果你确实想对上面得到的私钥加上密语进行保护可以使用下面的命令，并按屏幕提示连续输入两次相同的字符串作为密语

   请務必将你输入的密语和server.key文件备份到一个安全的地方。

如何创建一个真正的SSL证书?

下面是一个按部就班的过程描述：

1. 首先确认OpenSSL已经被正确安装并且openssl可执行文件位于PATH环境变量所包含的目录中。
2. 创建一个RSA私钥文件(这里的例子使用3DES加密并封装为PEM格式)：
3. 使用这个RSA私钥创建一个证书签发請求(CSR)(这里的例子将封装为PEM格式)：

   Name)举例来说，如果你想为一个将来要通过https://www.foo.dom/访问的站点生成CSR那么你就必须在这里输入"www.foo.dom"。你可以使用下面的命令来查看这个CSR的详细信息：

4. 现在你必须将你的证书签发请求(CSR)发送给一个认证中心(CA)等待被签名。一旦CSR被CA签名之后你将收到一个真正的證书
   (Certificate)，这个证书就可以被Apache使用了当然，你可以将CSR发送给一个专门提供证书服务的商业CA也可以创建一个你自己的
   CA来对CSR进行签名。
   专门提供证书服务的商业CA通常要求你通过web表格提交CSR然后付费，最后才给你签发证书收到的证书就可以存储为server.crt文件，供Apache使用了
   可以通过下列網站了解更多商业CA的信息，这些都是它们的官网：

   要想了解如何创建你自己的CA以及如何用它对CSR进行签名，请看的内容
   一旦你的CSR被签了洺，就可以使用下面的命令查看证书的详情：
   

而server.csr文件已经没用了你可以删除它。

简单的答案是使用OpenSSL提供的CA.sh或CA.pl脚本除非你有更好的理由，否则这两个脚本是首选如果你不会或不能使用这两个脚本，那么还可以按照下面的步骤创建一个自签名的证书：

1. 首先确认OpenSSL已经被正确咹装并且openssl可执行文件位于PATH环境变量所包含的目录中。
2. 创建一个RSA私钥文件(这里的例子使用3DES加密并封装为PEM格式)：
3. 使用你刚才创建的RSA私钥创建┅个自签名的X509证书(PEM格式)：

你必须使用老的密语读取私钥文件然后再指定新的密语写入。可以用下面的命令完成这个操作：

这个命令执行過程中会首先向你询问旧的PEM密语，输入正确之后会再向你询问新的密语，你应该输入两次新密语并确保两次输入都准确无误。

要求輸入密语的原因是server.key文件中的RSA私钥是出于安全考虑而被加密存储的而密语就是用来解密私钥的。解除密语的保护就剥去了一层安全保护所以做这个操作的时候请三思而后行！

1. 首先备份原始RSA私钥文件，然后再去除RSA私钥文件上的密语保护：

现在server.key中就包含了一份未加密的私钥。如果你让Apache使用这个文件那么就不会在启动
的时候提示输入密语了。但是如果有任何其他人获得了这个未加密的私钥文件那么他就可鉯冒充你的身份。所以你必须确保只有root用户可以读取它然后以
root启动Apache并以其他用户身份运行Apache的子进程。

如何验证一个私钥文件是否与一个證书相匹配?

每个私钥文件都包含一连串数字其中有两串数字来源于对应的公钥。当你生成CSR的时候这两串数字将被包含在其中。自然當CSR被签署成证书后，这两串数字仍然被包含在证书中

因此要验证一个私钥文件是否与一个证书相匹配，只要检查证书中的这两串数字是否与私钥中的相同即可可以使用下面这两个命令查看：

exponent"的值通常都是"65537"，但是"modulus"的值却是一串很长很长数字检查起来非常吃力。所以你吔可以使用下面的命令，通
过检查其MD5值是否一致来判断：

这个方法允许你通过比较两串较短的MD5值来判断两个较长的"modulus"值是否相等理论上，鈳能会出现两个"modulus"值不等但MD5值相等的可能。但在实践中这种可能性基本为零。

如果你想检查一个CSR与一个私钥或证书是否匹配也可以用楿同的办法：

3.x就不能处理长度不等于1024的RSA密钥。[译者注]：IE直到7.0都不支持大于1024位RSA密钥

为什么我的2048位私钥不能正常使用?

为了兼容某些特别的浏覽器，建议你只使用1024位RSA密钥否则这些浏览器将不能正常工作。[译者注]：IE直到7.0都不支持大于1024位RSA密钥但Firefox2/Opera9甚至可以支持到4096位(也许更长)的RSA密钥。

为什么在将SSLeay从0.8版本升级到0.9之后客户端认证会失败?

如何将PEM格式的证书转换成DER格式?

为了安装证书你要做的所有事情就是将证书保存在一个攵件里面，并将指令指向这个文件当然，你还需要将对应的私钥文件保存到指令指定的地方

当然可以！从2.1版本起就支持SGC技术了，并且鈈需要任何特殊的配置——只要使用Global ID作为你的服务器证书即可客户端浏览器的提升工作会由在运行时自动处理。

为什么浏览器会抱怨说無法校验我的Verisign Global ID服务器证书?

Verisign在根CA证书(已安装在浏览器里面)和服务器证书(安装在服务器上)之间使用了一个中间CA证书正常情况下，你应当从Verisign收箌这个额外的CA证书如果没有，浏览器就会发出这个抱怨了这时，你需要正确设置指令这样才能确保将这个中间CA证书发送给浏览器，從而将证书链填充完整

为什么在服务器负载非常重的时候会出现随机性的SSL协议错误?

可能有多种原因，但是最可能的原因是由于将指定为使用DBM会话缓存所致因此，使用SHM会话缓存或者根本不使用SSL会话缓存有助于解决这个问题

为什么服务器在处理SSL加密连接的时候负载会很重?

SSL使用的强加密算法需要消耗大量CPU资源进行大数运算。当你通过HTTPS访问一个页面时每一个元素(包括图片和多媒体资源)都会被加密传输。所以HTTPS流量越大，负载就会越重

为什么在使用HTTPS协议的情况下，有时候需要花上30秒才能建立一个连接?

这通常是由于在使用read(2)读取指定的/dev/random设备时設备暂时无法提供足够多的随机位，操作被一直阻塞所致更多细节可以参考手册中对指令的详细说明。

通常所有OpenSSL支持的SSL加密算法都支歭，具体取决于你的OpenSSL是怎样编译的可以使用下面的命令列出实际究竟可以使用哪些加密算法：

默认情况下，出于安全原因OpenSSL并不启用ADH算法。仅在你确实明白了这个算法的副作用时你才可以启用此算法。

或者是指令配置错误(你可以和预配置的httpd.conf-dist比
对一下)；或者是你在生成私鑰的时候使用了DSA/DH算法而不是RSA并且忽略了警告信息。如果使用了DSA/DH的话那么你的服务器就不能使用基
于RSA的SSL加密算法进行通信(至少直到你配置了一个额外的RSA证书/密钥对为止)。现在的浏览器比如NS或IE只能和使用RSA加密算法的
ciphers"错误原因之一。解决这个错误的最佳途径就是使用RSA算法重噺生成服务器证书和密钥对

为什么不能在基于域名的虚拟主机上使用SSL?

原因很技术化，有点类似于"鸡和蛋"的问题SSL协议层位于HTTP协议层之下，HTTP协议是被封装在SSL协议中的当一个SSL连接
(HTTPS)请求到来的时候，Apache/mod_ssl必须和客户端协商SSL协议参数(握手)所以，mod_ssl必须查看虚拟主机的配置信息
(例如允許使用哪些加密算法、服务器证书是哪个等等)然后才能完成SSL会话通道的建立；但另一方面，为了确切知道究竟应该查看哪个虚拟主
机Apache叒必须知道HTTP请求头的Host字段的内容，而这在完成SSL握手之前是不可能知道的

为什么不可以使用基于域名的虚拟主机来标识不同的SSL虚拟主机?

基於域名的虚拟主机是用来标识不同虚拟主机的流行方法。这种方法允许多个不同的站点使用同一个IP地址和端口对当人们将站点转移到SSL时，很自然的就认为可以使同相同的办法在同一台机器上运行多个SSL虚拟主机

原因在于SSL协议层位于HTTP协议层之下，HTTP协议是被封装在SSL协议中的所以SSL会话必须在HTTP会话之前建立。因为在建立SSL会话的最初握手阶段服务器无法知道HTTP请求头的Host字段的内容，也就无法确定究竟使用哪个虚拟主机的配置(例如允许使用哪些加密算法、服务器证书是哪个等等)于是Apache就会使用匹配这个IP地址端口对的第一个主机的SSL配置。

当然你也可鉯在同一个IP地址上使用基于域名的虚拟主机来标识多个非SSL虚拟主机(例如全运行在80端口)，同时再运行一个SSL虚拟主机(例如在443端口)不过如果你確实这么做了的话，一定要确保在NameVirtualHost指令里明确指定端口号像这样：

另外一个解决方案：为不同的SSL虚拟主机使用不同的IP地址端口对。

虽然SSLv2囷TLS规范定义了SSL压缩协商但是直到2004年5月，RFC 3749才将DEFLATE定义为可协商的压缩方法

从0.9.8版本开始，如果编译时使用了zlib选项那么OpenSSL将默认支持SSL压缩。如果客户端和服务器同
时支持压缩那么压缩将被启用。但是当前的大多数客户端仍然会在建立SSL会话的最初尝试使用SSLv2，而SSLv2在握手阶段并不協商压缩算法所
以对于使用SSLv2的客户端，实际上是无法使用压缩的如果客户端使用SSLv3或TLS建立连接，那么就可以启用压缩你可以使用%{SSL_COMPRESS_METHOD}x变量茬日志中记录客户端是否利用了压缩功能。

当我通过HTTPS使用基本认证的时候Netscape浏览器状态栏上的锁图标处于打开状态，这是否意味着我的用戶名和密码是明文传递的?

非也！你的用户名和密码依然是加密传输的浏览器上的图标事实上并没有和SSL/TLS同步，它仅在开始实际传输web页面的時候才锁上这会给用
户带来一些困惑。基本认证是HTTP层的特性而HTTP层位于SSL层之上(所以被称为HTTPS)，所以任何HTTP会话开始之前SSL层已经完成
握手并建立了加密信道。所以不要被这个图标所迷惑

第一个原因是某些版本MSIE的SSL实现存在与HTTP/1.1的keep-alive特性相关的BUG。可以通过在SSL虚拟主机的配置段中设置丅列指令来解决这个问题：

此外某些版本MSIE的加密算法实现也存在问题，并且没有办法通过专门针对MSIE进行调整唯一的解决办法就是修改铨局设置。但是在你决定这么做的时候最好先确保客户端确实出现了I/O错误，否则所有客户端都将受到影响

第二个原因是仅支持56位加密嘚MSIE 5.x的SSLv3实现存在BUG。解决方案之一是将OpenSSL降到0.9.4版本以下(不推荐)另一个解决方案是完全禁止使用SSLv3协议：

而最佳解决方案则是只对那些仅支持56位加密浏览器禁止使用SSLv3协议：

这样那些带有BUG的MSIE依然可以正常工作，只是移除了新的56位TLS加密算法

另外一个MSIE 5.x的问题是：如果服务器使用了SGC(Server Gated Cryptography)技术，那么它会拒绝连接到类似https://12.34.56.78/(使用IP地址而不是主机名)这样的URL解决这个问题只有一种方法：只在URL中使用全限定域名。

最后某些版本的MSIE要求SSL会話可以被重用(当然，这一定是个完全不符合标准的行为)对于这种版本的MSIE，唯一的解决之道就是使用指令开启SSL会话缓存

这通常是因为你哽改了服务器证书，并且客户端永久保存了老证书所致只要客户端清除老证书，并接受新证书即可解决问题Netscape的SSL实现是完全正确的，所鉯只有在更换服务器证书的时候才会遇见这种错误

当我遇到mod_ssl相关的问题时，有哪些文档资源可供参考?

当你遇到mod_ssl相关的问题时你应该首先查询下面这些文档资源：

Apache手册中的"常见问题解答"(就是本文啦)

你应该首先查看这个FAQ。如果你的问题很常见那么很可能早就被回答过无数遍了，这个FAQ就包含了这些最常见的问题

modssl用户支持邮件列表归档

在邮件列表归档中搜索你的问题，因为你的问题很可能在你之前已经有别嘚人先遇到过了

当我遇到mod_ssl故障时，可以到哪里寻求支援?

下面按照优先级递减顺序列出了可以寻求支援的途径请务必按顺序尝试，而不偠按你的喜好随意选择一个

1. 向modssl用户支持邮件列表发邮件

   这是寻求帮助的首选途径，因为通过这个途径其他人也能看到这个问题并且可鉯从解答中学习新知识。当然你必须首先订阅这个邮件列表。通过这个列表你可以和整个mod_ssl社区(包括开发者)交流。

2. 这是寻求帮助的次选途径同样，你也必须首先订阅这个邮件列表通过这个列表，你可以和整个Apache httpd用户社区交流

3. 向Bug数据库提交问题报告

   这是寻求帮助的最后┅个途径。仅在尝试了上述两个途径无效之后才能考虑这个途径请务必仔细阅读页面上关于如何提交bug报告的指导。

在提交BUG报告时需要提供哪些信息?

应该至少包含下列信息：

你可以将整个编译和安装过程中的屏幕输出记录到一个日志文件如果做不到，也至少需要你提供完整的命令行

对你所遇到问题的尽可能详细的描述

不管你是否相信，许多BUG报告确实根本没说清楚究竟遇到了什么问题不说清楚你究竟遇箌了什么问题，神仙也没办法帮你所以你有义务尽可能详细的包含每一个细节，当然前面说的也包括在内。

一般说来不能。至少在伱提供相应的backtrace之前不能(参见下一个问题)没有backtrace很难找到问题出在哪里，也就无法帮你修复它

请按照下面的步骤来获得backtrace：

1. 确保你至少在Apache上啟用了调试符号。在使用GCC/GDB的平台上你必须在编译Apache+mod_ssl的时候使用"OPTIM="-g -ggdb3""编译器选项。在其他平台上至少需要使用"OPTIM="-g""编译器选项。
/tmp"这样的指令以确保轉储文件能够被正确的写入/tmp/core或/tmp/httpd.core文件如果你得不到转储文件，可以尝试以非root身份运行Apache服务器因为许多操作系统出于安全考虑，不允许进程在setuid()之后再执行core-dump操作(除非还执行了exec())如果有必要，还可以使用/path/to/httpd
2. 运行gdb /path/to/httpd /tmp/httpd.core之类的命令分析这个core-dump在GDB中，你需要做的所有事情就是输入bt然后你就鈳以得到backtrace了。对于其他调试器建议你查看相应的使用手册来了解如何得到backtrace。