Installations-SSL im Wamp-Server: Fehler in httpd-ssl.conf

So konfigurieren Sie WAMPServer für die Verwendung von HTTPS SSL

* Dies ist kein trivialer Prozess. Dieses Tutorial wird hoffentlich dazu führen, dass SSL für Sie funktioniert. Es ist jedoch VOLLSTÄNDIG IHNEN UNTERLIEGEN, es richtig zu konfigurieren, sobald es funktioniert.

Zusätzliche Lektüre für alle, die diese Straße befahren

Okay,

Ich habe dieses Tutorial auf der Erstellung einer Site mit dem Namen www.wamphelpers.dev basiert. Wenn Sie also diesen Namen sehen, ändern Sie ihn in den Site-Namen, den Sie sichern möchten.

Zunächst habe ich eine ungesicherte Site in\wamp\www\wamphelpers erstellt

hat einen virtuellen Host für diese Site in \wamp\bin\Apache\apache{version}\conf\extra\httpd-vhosts.conf hinzugefügt

<VirtualHost *:80>
    DocumentRoot "c:/wamp/www"
    ServerName localhost
    ServerAlias localhost
    <Directory  "c:/wamp/www">
        AllowOverride All
        Require local
    </Directory>
</VirtualHost>

<VirtualHost *:80>
    DocumentRoot "c:/wamp/www/wamphelpers"
    ServerName wamphelpers.dev
    ServerAlias www.wamphelpers.dev
    <Directory  "c:/wamp/www/wamphelpers">
        AllowOverride All
        Require local
    </Directory>
</VirtualHost>

Der Domänenname wurde zu C:\windows\system32\drivers\etc\hosts hinzugefügt

Einige Virenprüfer blockieren den Zugriff auf die HOSTS-Datei, daher müssen Sie Ihren Virenprüfer möglicherweise deaktivieren oder so konfigurieren, dass die Hosts-Datei vorübergehend nicht blockiert wird.

127.0.0.1 wamphelpers.dev www.wamphelpers.dev
::1       wamphelpers.dev www.wamphelpers.dev

Starten Sie nun den dnscache wie folgt über ein Befehlsfenster neu, das mit 'Als Administrator ausführen' gestartet wurde.

net stop dnscache
net start dnscache

Dann erstellte ich ein einfaches Skript in\wamp\www\wamphelpers\index.php

<?php
    echo 'Hello, this is the WAMPHELPERS.DEV site homepage';
?>

Um nun die neuen virtuellen Hosts zu aktivieren, die Sie definiert haben, bearbeiten Sie \wamp\bin\Apache\apache{version}\conf\httpd.conf Und suchen Sie diese Zeile

# Virtual hosts
#Include conf/extra/httpd-vhosts.conf

und entfernen Sie das Kommentarzeichen # wie folgt

# Virtual hosts
Include conf/extra/httpd-vhosts.conf

Speicher die Datei.

Starten Sie jetzt Apache neu und vergewissern Sie sich, dass Ihre einfache ungesicherte virtuell gehostete Site funktioniert , bevor Sie fortfahren .

Das openssl-Toolkit. Die openssl.exe, ssleay32.dll und libeay32.dll werden mit dem C:\wamp\bin\Apache\apachex.yz\ausgeliefert und befinden sich dort. bin folder Dies sollte alles sein, was Sie brauchen, um Ihr selbstsigniertes Zertifikat zu erstellen !!

JEDOCH: Diese funktionierten bei keiner der von mir installierten Apache-Versionen. Ich habe immer diese Fehlermeldung bekommen.

Wo sich die Ordnungszahl geändert hat, hängt vom Apache-Versionsordner ab, in dem ich mich befunden habe.

Wenn Sie diese Fehlermeldung erhalten, machen Sie sich keine Sorgen, dies ist das, was Sie tun müssen.

Installiere die neueste Version des OPENSSL TOOLKIT

Dies kann erhalten werden von hier

HINWEIS: Verwenden Sie die Version 1.1 noch nicht, das PHP= Team hat noch nicht kompiliert PHP mit diese neuen Verknüpfungen bleiben also bei den V1.0.? -Versionen, bis sie dies tun.

Wählen Sie die neueste Version von 'Win32 OpenSSLv xxx Light' oder 'Win64 OpenSSLv xxx Light', die zu Ihrer installierten Version von WAMPServer passt, da dies alles ist, was Sie benötigen.

Dadurch wird eine EXE-Datei heruntergeladen, mit der Sie dieses Toolkit installieren können.

Es wird die folgende Frage stellen, ich schlage vor, Sie beantworten sie so, damit Sie am Ende nicht etwas in C:\windows\system32 installieren. Immerhin handelt es sich um ein Toolkit, das häufig geändert wird. Es ist am besten, diese Dinge getrennt zu halten und sie nicht zum globalen System zu machen.

Sobald dies installiert ist (in den Ordner, den Sie bei der Installation angegeben haben), sollten Sie bereit sein, mit dem Generieren von Schlüsseln und Zertifikaten zu beginnen!

Generiere Schlüssel und Zertifikate.

SCHRITT 1: Erzeugen eines privaten RSA-Schlüssels

Zuerst müssen wir uns ein Zertifikat erstellen. Der normale (kostenpflichtige) Vorgang besteht darin, Ihr Zertifikat zu erstellen und es dann an eine Signaturstelle weiterzuleiten. Aus diesem Grund kostet es Geld, wie sie es aus Sorgfalt tun müssen, um zu überprüfen, ob Sie der sind, für den Sie sich ausgeben, und ob die Site, auf der Sie das Zertifikat verwenden, echt und legitim ist.

Das openssl-Toolkit wird verwendet, um einen privaten RSA-Schlüssel und eine CSR (Certificate Signing Request) zu generieren, die für unser Zertifikat verwendet werden. Der erste Schritt ist das Erstellen Ihres privaten RSA-Schlüssels. Dieser Schlüssel ist ein 1024-Bit-RSA-Schlüssel, der mit Triple-DES verschlüsselt und in einem PEM-Format gespeichert wird, sodass er als ASCII Text gelesen werden kann.

Öffnen Sie ein Befehlsfenster (DOS-Feld) mit [b] Als Administrator ausführen [/ b] Wechseln Sie in das Verzeichnis, in dem Sie das oben genannte OpenSSL Toolkit installiert haben. In meinem Fall ist dies

CD c:\apps\OpenSSL-Win32\bin

Erstellen Sie einen Ordner für die Ausgabe (um den Ordner "bin" aufgeräumt zu halten), den ich für die Website verwendet habe

md website

Geben Sie nun diesen Befehl ein:

openssl genrsa -out website\server.key 2048

Hierdurch sollte eine Datei im Websiteordner mit dem Namen server.key erstellt werden. Überprüfen Sie, ob ein Passphrasenschlüssel vorhanden ist.

Schritt 2: Generieren einer CSR (Certificate Signing Request)

Während der Erstellung des CSR werden Sie zur Eingabe mehrerer Informationen aufgefordert. Dies sind die X.509-Attribute des Zertifikats. Eine der Eingabeaufforderungen lautet "Common Name (z. B. Server-FQDN oder IHR Name) []:". Es ist wichtig, dass dieses Feld mit dem vollständig qualifizierten Domainnamen des Servers ausgefüllt wird, der durch SSL geschützt werden soll. Wenn die zu schützende Website also https://www.wamphelpers.dev, und geben Sie an dieser Eingabeaufforderung www.wampheplers.dev ein. Ich habe wamphelper.dev Verwendet, da mein ServerNameServerName wamphelpers.dev Ist.

Geben Sie für die Frage nichts ein: Ein Passwort für die Sicherheitsabfrage []: ] Drücken Sie einfach die Eingabetaste. Wenn Sie hier eine Passphrase eingeben, um Apache mit SSL zu starten, startet Apache nicht und gibt die folgende Fehlermeldung aus:

[error] Init: Der in Win32 integrierte SSLPassPhraseDialog wird nicht unterstützt

Wenn Sie eine Passphrase eingeben, fordert Apache Sie bei jedem Start zur Eingabe dieser Passphrase auf. Dies wird Ihr Leben natürlich nicht einfacher machen, aber in erster Linie unter Windows funktioniert es nicht und Apache stürzt ab, wenn es versucht, nach der Passphrase zu fragen, mit dem oben genannten Fehler.

Der Befehl zum Generieren der CSR lautet wie folgt:

openssl req -new -key website\server.key -out website\server.csr


Example question and answers:
Country Name (2 letter code) [AU]:GB
State or Province Name (full name) [Some-State]: Hampshire
Locality Name (eg, city) []: Portsmouth
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Wamp Helpers Ltd
Organizational Unit Name (eg, section) []: Information Technology
Common Name (e.g. server FQDN or YOUR name) []: wamphelpers.dev
Email Address []: [email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: ( leave blank just hit the enter key )
An optional company name []: ( leave blank just hit the enter key )

Schritt 3: Generieren eines selbstsignierten Zertifikats

Zu diesem Zeitpunkt müssen Sie ein selbstsigniertes Zertifikat generieren, da Sie entweder nicht vorhaben, Ihr Zertifikat von einer Zertifizierungsstelle signieren zu lassen, oder Ihre neue SSL-Implementierung testen möchten, während die Zertifizierungsstelle Ihr Zertifikat signiert.

PRE - WARNING Dieses Zertifikat generiert im Client - Browser einen Fehler, der darauf hinweist, dass die signierende Zertifizierungsstelle unbekannt und nicht vertrauenswürdig ist. Dies ist unvermeidlich, da wir das Zertifikat selbst signieren, aber das Web of Trust weiß natürlich nicht, wer wir sind. Siehe Beispiel weiter unten in diesem Dokument, wie Sie Ihrem Browser mitteilen, dass Sie diesem Zertifikat tatsächlich vertrauen

openssl x509 -req -days 365 -in website\server.csr -signkey website\server.key -out website\server.crt


Example output:
Loading 'screen' into random state - done
Signature ok
subject=/C=GB/ST=Hampshire/L=Portsmouth/O=WampHelpers Ltd/OU=Information Technology/CN=www.wamphelpers.dev/[email protected]
Getting Private key

Schritt 4: Installieren des privaten Schlüssels und des Zertifikats

Erstellen Sie diese beiden Verzeichnisse unter der von Ihnen verwendeten Apache-Version.

md c:\wamp\bin\Apache\apachex.y.z\conf\ssl.key
md c:\wamp\bin\Apache\apachex.y.z\conf\ssl.crt

Und kopieren Sie die Datei, die wir gerade erzeugt haben, so:

copy website\server.crt c:\wamp\bin\Apache\apachex.y.z\conf\ssl.crt
copy website\server.key c:\wamp\bin\Apache\apachex.y.z\conf\ssl.key

Schritt 5: Konfigurieren Sie Apache, um SSL zu aktivieren

Bearbeiten Sie httpd.conf. Überprüfen Sie, ob diese Zeile nicht kommentiert ist

LoadModule authn_socache_module modules/mod_authn_socache.so

LoadModule ssl_module modules/mod_ssl.so

LoadModule socache_shmcb_module modules/mod_socache_shmcb.so

Entfernen Sie auch den Kommentar '#' aus dieser Zeile

Include conf/extra/httpd-ssl.conf

Verschieben Sie dann diese Zeile nach diesem Block .... so

<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
</IfModule>

# Secure (SSL/TLS) connections
Include conf/extra/httpd-ssl.conf

Schritt 6: Konfigurieren Sie PHP, um SSL zu aktivieren

Bearbeite deine php.ini (benutze die Wampmanager-Menüs, damit du die richtige bearbeitest)

Entfernen Sie den Kommentar ';' von dieser Linie

extension=php_openssl.dll

Schritt 7: Konfigurieren Sie Ihre sicheren Sites Virtual Host

Ja, für alle, die Sie Virtual Host sagen, jetzt können Sie den Prozess nicht vermeiden.

Bearbeiten \wamp\bin\Apache\apachex.y.z\conf\extra\httpd-ssl.conf

Diese Datei wird von Apache veröffentlicht und enthält einen Standardspeicherort. Wir können den größten Teil dieser Datei unverändert lassen, aber wir müssen den virtuellen Host hier so konfigurieren, dass er mit unserem tatsächlichen Standort und einigen anderen Dingen übereinstimmt:

finde diese Zeilen

DocumentRoot "c:/Apache2/htdocs"
ServerName www.example.com:443
ServerAdmin [email protected]
ErrorLog "c:/Apache2/logs/error.log"
TransferLog "c:/Apache2/logs/access.log"

und ändere sie in

DocumentRoot "c:/wamp/www/wamphelpers"
ServerName wamphelpers.dev:443
ErrorLog "c:/wamp/logs/ssl_error.log"
TransferLog "c:/wamp/logs/ssl_access.log"

Finden

SSLCertificateFile "c:/Apache2/conf/server.crt"

und wechseln zu

SSLCertificateFile "c:/wamp/bin/Apache/apachex.y.x/conf/ssl.crt/server.crt"

Finden

SSLCertificateKeyFile "c:/Apache2/conf/server.key"

und wechseln zu

SSLCertificateKeyFile "c:/wamp/bin/Apache/apachex.y.x/conf/ssl.key/server.key"

Finden

<Directory "c:/Apache2/cgi-bin">
    SSLOptions +StdEnvVars
</Directory>

und wechseln zu

Apache 2.2 Syntax

<Directory "c:/wamp/www/wamphelpers">
    SSLOptions +StdEnvVars
    Options Indexes FollowSymLinks MultiViews
    AllowOverride All
    Order Deny,Allow
    Deny from all
    Allow from 127.0.0.1 localhost ::1
</Directory>

Apache 2.4 Syntax

<Directory "c:/wamp/www/wamphelpers">
    SSLOptions +StdEnvVars
    Options Indexes FollowSymLinks MultiViews
    AllowOverride All
    Require local
</Directory>

Finden

SSLSessionCache        "shmcb:c:/Apache2/logs/ssl_scache(512000)"
SSLSessionCacheTimeout  300

und ändere es auf

SSLSessionCache        "shmcb:c:/wamp/logs/ssl_scache(512000)"
SSLSessionCacheTimeout  300

Finden

CustomLog "c:/Apache24/logs/ssl_request.log" \
      "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

und wechseln zu

CustomLog "c:/wamp/logs/ssl_request.log" \
          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

Grundsätzlich sollten Sie die conf-Datei und jeden Befehl, der nicht auskommentiert ist, sondern einen Verweis auf eine Datei oder einen Ordner enthält, so ändern, dass er auf die WAMPServer-Ordnerstruktur und nicht auf 'C:/Apache2 ....' verweist.

Vergewissern Sie sich nun, dass alle von uns geänderten Dateien gespeichert sind, und starten Sie Apache über die wampmanager-Menüs neu.

Testen Sie zunächst, ob die ungeschützte Site noch funktioniert.

Versuchen Sie dann, Ihre neue geschützte Site zu verwenden, indem Sie 'https: //' vor dem Domain-Namen einfügen, d. H. https://www.wamphelpers.dev, Natürlich ohne einfache Anführungszeichen.

Wenn Apache nicht neu startet , haben Sie wahrscheinlich etwas falsch geschrieben. Teste die Configs wie folgt: -

Öffnen Sie ein Befehlsfenster

cd \wamp\bin\Apache\apachex.y.z\bin
httpd -t

Dadurch werden alle Konfigurationsdateien analysiert, und Sie erhalten einen Dateinamen und eine Zeilennummer, in der ein Fehler gefunden wurde.

Beheben Sie das Problem und versuchen Sie es erneut.

Der erste Zugriff auf Ihre Website generiert eine Nachrichtenseite wie diese. Dies ist mit FireFox, andere werden etwas anders sein, aber das Konzept ist das gleiche.

Dies ist darauf zurückzuführen, dass Ihr Zertifikat nicht von einer vertrauenswürdigen Stelle (DONT PANIC) signiert wurde.

Klicken Sie auf "Ich verstehe das Risiko". Daraufhin wird eine Schaltfläche mit der Aufschrift "Ausnahme hinzufügen" angezeigt. Klicken Sie auf die Schaltfläche Ausnahme hinzufügen, nachdem Sie überprüft haben, ob die Site-Details des Zertifikats tatsächlich von Ihnen stammen. Sie werden diese Meldung erst dann wieder sehen, wenn Sie sie deaktivieren die Ausnahmeliste.

BIG NOTE Ab Apache v2.2.12 und OpenSSL v0.9.8j ist es jetzt möglich, mehr als eine Site pro Apache-Instanz zu sichern. Dieses Tutorial behandelt diesen Vorgang nicht. Weitere Details finden Sie hier:

hier

nd hier

nd hier

Und wie oben bereits erwähnt, müssen Sie jetzt alle in der SSL-Konfiguration verfügbaren Optionen überprüfen und die Funktion nach Ihren Wünschen ausführen, anstatt die Standardeinstellung zu verwenden.