FreeBSD安全的连接方式SSL

在通常的连接方式下，通信以不加密的形式在网络上传播，有可能被非法窃听，尤其是用于认证的密码信息。为了避免这种安全漏洞，传输过程必须加密。

HTTP传输的加密协议是HTTPS，这是一种通过SSL(安全套接字层)进行HTTP传输的协议。它不仅通过公开密钥的算法对传输进行加密，保证传输的安全性，而且获得认证CA，保证客户连接的服务器不是伪造的。

使用公钥可以保证数据传输没有问题，但如果浏览器客户访问的网站是假冒的，也是一个严重的安全问题。这个问题不属于加密本身，而是要保证密钥本身的正确性。为了确保获得的其他站点的公钥是正确的，而不是伪造的，我们必须通过一个认证机制来认证站点的密钥。当然，即使没有经过认证，仍然可以保证信息传输的安全性，但是客户并不能确定接入的服务器没有被假冒。如果不是为了在电子商务中提供安全性要求高的服务，一般不需要这么严格的考虑。

虽然Apache server不支持SSL，但是Apache server有两个相关的计划，可以免费用来支持SSL。一个是Apache-SSL，集成了Apache服务器和SSL，另一个是Apache+mod_ssl，通过动态可加载模块mod_ssl支持SSL。后一种和前一种是有区别的，因为好用，所以应用更广泛。还有一些基于Apache并集成了SSL功能的商业Web服务器。然而，这些商业Web服务器主要在北美使用，SSL使用的公钥的算法是专利的，不能用于商业目的。其他国家可以免费使用SSL，不用考虑这个专利问题。

虽然mod_ssl和其他复杂的Apache模块通常会提供详细的编译和安装说明，但它们也会提供非常有用的脚本和Makefile来帮助用户安装。然而，向Web服务器添加一个模块并不是一件容易描述的任务。幸运的是，FreeBSD提供了Ports Collection，允许用户安装该模块，而不必涉及安装细节的每一步。

如果你不打算用Ports集合来安装mod_ssl，那么事情会稍微麻烦一点。你必须手动下载Apache的源代码和mod_ssl的代码，按照说明一步一步编译安装。

Apache+mod_ssl依赖于另一个软件:openssl，这是一个可以免费使用的ssl实现。首先你需要安装这个端口(由于专利的影响，这些软件无法做成可以直接安装的二进制包，所以你要使用Ports Collection来安装)。Openssl位于/usr/ports下的security子目录中。在下载其源程序之前，需要将环境变量USA_RESIDENT设置为NO，以避免专利纠纷。

# USA _ RESIDENT = NO出口美国_居民

# CD/usr/port/security/OpenSSL

# make进行安装

安装openssl后，可以安装Apache+mod_ssl。但是，为了完全正确地安装，有必要清除原始Apache服务器的其他版本，同时也要清除所有设置文件及其默认设置文件，以避免安装问题。* * *还要删除/usr/local/www目录(或重命名它),以便安装程序可以建立正确的初始文档目录。如果是没有安装Apache服务器的新系统，可以忽略这一步，直接安装Apache+mod_ssl。

删除旧文件后，可以进入相应的目录，开始安装编译过程。

# CD/usr/ports/www/Apache 13+mod _ SSL

# make进行安装

#进行认证=自定义

* * *制造商用于生成认证证书。由于此端口直接生成默认文件，如httpd.conf(如果安装期间不存在httpd.conf之类的文件)，因此可以直接启动新服务器，而无需设置它。如果在启动过程中由于设置文件不合适导致一些小问题，请参考前面标准Apache服务器的设置说明进行相应的修改。

#/usr/local/sbin/Apache CTL startssl

此时start参数只用于启动普通Apache的httpd守护进程，而不是它的SSL能力，而Apache的SSL能力可以通过startssl来启动。如果Apache的守护进程之前正在运行，您需要首先使用stop参数来停止服务器的运行。

然后，您可以启动netscape或其他支持SSL的浏览器。输入URL: https://SSL_server/查看服务器是否有对应的。https使用的默认端口是443。如果一切正常，服务器会返回mod_ssl的用户手册，解释ssl，它的技术和用法。