为了这个任务所需的工具是：

Apache－一个网站服务器
Mod_SSL－一个安全套接字层(SSL)的模块
OpenSSL－开放源代码工具箱(mod_ssl所需）
RSARef－仅对美国用户
MySQL－一个数据库服务器
PHP－一种脚本语言
“条条大路通罗马”……因此这只是很多能达到我们要求的配置之一。我选择这样的配置，是因为它是最简单和最快的一种。选择Mod_SSL/OpenSSL的原因是因为我有它的先前经验，是最快配置和最容易安装的一种。为了彼此方便地与Apache集成，我选择了PHP和MySQL。记住，Perl能做到你想要做任何工作，然而，PHP对任何想学习它地程序员来说简单并且容易。
希望你将在结束这个简单的指南后能成功地完成下列目标。
安装并设置MySQL数据库服务器
o知道怎样检查MySQL服务器的状态
o知道怎样使用命令行客户程序存取MySQL服务器
o知道怎样从web存取你的DB服务器
安装并设置具备SSL的Apache网站服务器
o配置一个简单的虚拟网站
o知道怎样停止并启动服务器
o知道怎样做一些基本的主机托管配置
安装并配置服务器端脚本的PHP4.0超文本预处理器
o知道怎样编写简单的php代码
o知道怎样使用php连接一个DB
o创建一个启用PHP地简单网站与一个数据库沟通
创造一些样本证书用于ApacheSSL
o知道怎样产生一个CSR文件
o知道怎样加密一个键码
o知道怎样签署你自己的证书
本文将覆盖大量的信息。本指南作为一个入门性地的指南，让你步入电子商务、网站脚本和安全套接字层(SSL)的世界，目的是帮助你建立由存储在数据库中的动态信息驱动的安全网站。
本文绝非是一个详细全面的文档，它当然将有一些错误(希望最小)，在你阅读它时请记住这一点。然而，它将激起你的热情并运行前面提到的产品，希望让你更好理解这些东西是怎样工作的。不需要以前的编程知识，但假定你有点计算机知识背景。我的目标是编写这个文档以便任何新手能理解我正在谈论的东西。如果我达到了，那么我做了一件好事。如果你轻而易举地建立了电子商务站点，比我做的更出色:-)给我一些解释。

假设
本文假设你已经把下列软件安装在你的系统上了。

Perl(最好是ver5+)
gzip或gunzip
gcc和GNUmake
如果你没有安装好这些，你将需要采取必要的步骤在解释本文的任何过程前把他们安装好。
你也需要对UNIX命令、HTML、和SQL的一个基本了解。你应该有怎样管理你的Linux机器的一个基本了解。你也需要一个完全正常的Linux机器，你将在它上面安装软件。当然你将需要在前面列出的必要的软件包以编译源代码，并且最后，保证你还没有在Linux机器中预装了MySQL、Apache、或PHP。

工作原理
理解在幕后发生了什么是有帮助的。这里是一个过分简化的工作原理，下图和随后的解释目前不是完全正确的，只是它的一个要点概述：
情况是：我们有一个从一个数据库取出一些数据的网页。JohnDoe从他的浏览器请求该页，请求被发送给web服务器，接着调用一个PHP脚本。PHP脚本由PHP预处理器解释并从数据库中取出数据，然后结果由余下的PHP脚本加工并转化成HTML，做后的HTML被发回用户的浏览器。

让我们一步一步地看：
JohnDoe从他的浏览器中点击一个链接；他的浏览器发送对的请求。
Apache得到对test.php的请求，它知道.php文件应由PHP预处理器(mod_php)处理，因此它通知PHP处理它。它知道这些，是因为我们在Apache的配置中指定它。
test.php是包含命令的一个PHP脚本。这些命令之一是打开一个到一个数据库的连接并抓取数据。PHP处理到数据库的连接，并且解释SQL调用从DB中提取数据。
服务器服务器得到从PHP解释器来的连接请求，并且处理这个请求。请求可能是类似于一个简单的选择语句，或数据库表创建等。
数据库然后将应答和结果回送到PHP解释器。
Apache回送该结果到JohnDoe的浏览器，作为对他请求的应答。JohnDoe现在看见一个包含从一个数据库来的一些信息的网页。
如果这是一个对的请求，整个过程与上述类似，除了每个请求和应答在两端被加密和解密，即，浏览器连接Apache，获得它的加密键码，加密请求并发送它。
服务器看到请求，解密并且认证它。它处理文件，加密并且发送它。然后浏览器用服务器的键码解密它。记住既然连接被加密，就是用不同的端口用。端口80用在在非安全连接上，而端口443用在安全连接时。
再说一次，它不是100%的正确，但是它足够快地让你知道幕后发生的事情的非常简单的概述。
既然我们对我们正在试图达到的目标有了一个很基本的了解，让我们继续安装软件吧。
准备

Apache(Web服务器)-http://
下载所有(tar文件)源代码到一个临时目录下。保证你把他们放在有很多空间的地方……你应该以root身份下载他们以避免权限问题。
我们的计划

我们的计划是首先安装MySQL服务器并保证它工作，然后我们将安装PHP和Mod_SSL，最后我们将安装Apache网站服务器。在我们安装了Apache以后，我们可以测试PHP和Mod_SSL支持是否起作用了。
MySQL源代码安装(UNIX)
你必须用来执行安装MySQL源代码分发的基本命令是(自一个没解开“tar”文件)：
通过使用su成为root用户。
$su
直接进入你有tar文件的目录。（使用一个临时目录。这里使用/tmp/download/）
#cd/tmp/download/
使用下列命令提取文件。
#gunzip-d-cmysql-3.22.xx.tar.gz|tarxvf-
改变到新目录，它在提取期间创建。
#cdmysql-3.22.xx
现在你可以开始“配置”MySQL服务器。你可以用configure指定很多选项，使用configure--help查看所有的选项。我已经选择--prefix指定到安装地点的直接路径。configure将检查你的编译器和一些其他东西。如果你有任何错误，你可以检查config.cache文件查看错误。
#configure--prefix=/usr/local/mysq
在你完成了配置以后，你可以执行下列命令make真正的二进制代码。
#make
现在你已准备好安装所有的二进制代码。运行下列命令在你用configure--prefix选项指定的目录下安装二进制代码。
#makeinstall
在你安装好二进制代码后，现在是创建用于定义权限的mysql表的时候了。
#scripts/mysql_install_db
#cd/usr/local/mysql/bin
#./safe_mysqld&
#./mysqladmin-urootpassword"new-password"
注意：/usr/local/mysql是我选择安装MySQL服务器的目录。你可以通过改变目录选择另外的地方。
你可以通过运行一些简单的测试来验证服务器正在工作以确保MySQL正在运行。输出应该类似于下面所示的：BINDIR=/usr/local/mysql/bin。BINDIR依赖于你在上面的前缀选择的目录。
#BINDIR/mysqlshow-p
+---------------+
|Databases|
+---------------+
|mysql|
+---------------+
一旦你安装好MySQL，它将自动地创建2个数据库。一个mysql表，它控制在实际的服务器中用户、主机和数据库权限；另一个是一个test数据库，我们能使用test数据库。然而，我们想给你一个快速而简单的MySQL可用的一些命令行选项的概述。这也将保证root被设置了对DB服务器的全部存取权限，即：root有创建数据库、数据库表等的许可，因此我们将创建一个test2数据库，在以后我们用它进行我们的测试。在你通过命令行进入MySQL前，你将被提示root用户的新口令。记住你以前改变了它。
#mysql-uroot-p
mysql>showdatabases;
+----------------+
|Database|
+----------------+
|mysql|
|test|
+----------------+
mysql>createdatabasetest2;
QueryOK,1rowaffected(0.00sec)
现在选择新的数据库使用，并创建一个名为tst_tbl的新表,有下列2个字段。字段1是是一个id字段，允许你知道记录的id。实质上为了简化这只是的一个行号。第二个字段是你一个name字段，存储书名信息。这些字段的格式是：字段1(id)是一个长度为3的整数(int)，而字段2(name)是一个长度为50的字符(char)字段。为搜索和索引数据，我们指定id为键码。
mysql>usetest2;
Databasechanged
mysql>CREATETABLEbooks(idint(3)notnull
->auto_increment,namechar(50)notnull,
->unique(id),primarykey(id));
QueryOK,0rowsaffected(0.00sec)
现在我们用下列命令验证一切正确无误。
mysql>showtables
+---------------------+
|Tablesintest2|
+---------------------+
|books|
+---------------------+
1rowinset(0.00sec)
mysql>describebooks;
+-------+-------------+------+------+----------+------------------------+
|Field|Type|Null|Key|Default|Extra|
+-------+-------------+------+------+----------+------------------------+
|id|int(3)||PRI|0|auto_increment|
|name|char(50)|||||
+-------+-------------+------+------+----------+------------------------+
2rowsinset(0.00sec)

注意到describe命令基本上“描述”了表的布局。相当不错吧！
好，该试一些确实有用的SQL命令，插入并从数据库中选择数据，现在把几个记录加到新表中。记住这些是简单的书名记录，但是一旦你获得了SQL足够的经验，你可以为一些大的电子商务站点创建确实复杂的数据库。让我们创建2本假想的书的2条记录。第一条记录是我在将来某天写的一本书的名字-“PHP4Newbies”，另一本是一个很有用的Linux书，“RedHatLinux6Server”，由MohammedJ.Kabir所著。
mysql>INSERTINTObooks(name)values("PHP4Newbies");
QueryOK,1rowaffected(0.00sec)
mysql>INSERTINTObooks(name)values("RedHatLinux6Server");
QueryOK,1rowaffected(0.00sec)
现在我们可以检查新纪录，发出一条“选择所有”命令
mysql>SELECT*frombooks;
+----+----------------------------------+
|id|name|
+----+----------------------------------+
|1|PHPforNewbies|
|2|RedHatLinux6Server|
+----+----------------------------------+
2rowsinset(0.00sec)
很好，MySQL服务器完全起作用了。我们可以继续加入，但是此时没什么意义。注意到当你向数据库中插入记录时，你怎样不必指定id号，这是因为你创建了启用auto_increment选项的id字段。
让我演示一下如何做一个快速删除。这只是让你知道，记住，你可在MySQL的网站上找到所需的有关mysql命令和服务器的所有信息。
mysql>deletefrombookswhereid=1;
QueryOK,1rowaffected(0.00sec)
mysql>select*frombooks;
+----+-----------------------------------+
|id|name|
+----+-----------------------------------+
|2|RedHatLinux6Server|
+----+-----------------------------------+
1rowinset(0.00sec)
好了，退出MySQL，继续安装。你可在完成所有安装并且一切工作正常后玩MySQL也不迟。
PHP安装(UNIX)

现在安装PHP语言。你下载了最新的beta版，但是你可能必须下载非beta版本。记住beta版本需要GNUmake。
你仍然假定是root，如果不是，su回到root。
PHP要求你已经预先配置好的Apache，以便它能知道所需的东西在哪儿。在以后你安装Apache服务器时，你将会回到这里。改变到你有源代码的目录。
#cd/tmp/DOWNLOAD
#gunzip-capache_1.3.x.tar.gz|tarxf-
#cdapache_1.3.x
#./configure
#cd..
好的，现在你可以开始PHP的安装。提取源代码文件并进入其目录。如果你下载了版本3，在数字和命令上有一个改变，不大的改变。
#gunzip-cphp-4.0.x.tar.gz|tarxf-
#cdphp-4.0.x
如果你正在编译代码，configure将永远是你的朋友。:-)因此，configure有很多选项。使用configure--help确定你想要增加哪些。我只是需要MySQL和LDAP，并且当然Apache。
#./configure--with-mysql=/usr/local/mysql\
--with-xml\
--with-apache=../apache_1.3.x\
--enable-track-vars\
--with-ldap
make并安装二进制代码。
#make
#makeinstall
拷贝ini文件到lib目录。
#cpphp.ini-dist/usr/local/lib/php.ini
你可以编辑PHP文件来设置PHP选项，如你可以通过在你的php.ini文件中插入下列行，增加php的max_execution_time。
max_execution_time=60;
注意：php3用户将使用php3.ini，而php4用户将使用php.ini文件。
Apache与Mod_SSL

该配置并安装mod_ssl和Apache了。对此，你将需要有rsaref-2.0文件。在上搜索“rsaref20.tar.Z”。如果你不喜欢Lycos，你可以选择其他搜索引擎来搜索文件。当然只有你在美国才需要这个文件。（管它呢，你也可从别处下载，首先在查找“rsaref20.tar.Z”，好多啊！。）
　
创建rasref目录，你将在该目录提取文件。注意。这假定你下载了一个临时目录，而你就在此目录。
#mkdirrsaref-2.0
#cdrsaref-2.0
#gzip-d-c../rsaref20.tar.Z|tarxvf-
现在配置并构造OpenSSL库。
#cdrsaref-2.0
#cp-rpinstall/unixlocal
#cdlocal
#make
#mvrsaref.alibrsaref.a
#cd../..
安装OpenSSL。记住，你将用它来创建临时证书和CSR文件。--prefix选项指定主安装目录。
#cdopenssl-0.9.x
#./config-prefix=/usr/local/ssl\
-L`pwd`/../rsaref-2.0/local/rsaref-fPIC
现在make、测试并安装它。
#make
#maketest
#makeinstall
#cd..
我们将配置MOD_SSL模块，然后用Apache配置指定它为一个可装载的模块。
#cdmod_ssl-2.5.x-1.3.x
#./configure\
--with-apache=../apache_1.3.x\
#cd..
现在我们可以把更多的Apache模块加到Apache源代码树中。可选的--enable-shared=ssl选项使得mod_ssl构造成为一个DSO“libssl.so”。关于在Apache支持DSO的更多信息，阅读Apache源代码树中的INSTALL和htdocs/manual/dso.html文档。我强烈建议ISP和软件包装维护者为了最灵活地使用mod_ssl而使用DSO工具，但是注意，DSO不是在所有平台上的Apache都支持。
#cdapache_1.3.x
#SSL_BASE=../openssl-0.9.x\
RSA_BASE=../rsaref-2.0/local\
./configure\--enable-module=ssl\
--activate-module=src/modules/php4/libphp4.a\
--enable-module=php4--prefix=/usr/local/apache\
--enable-shared=ssl
[...你可加入更多的选项...]
生成Apache，然后生成证书，并安装...
#make
如果你已正确地完成，你将得到类似于以下的信息：
+-----------------------------------------------------------------------+
|BeforeyouinstallthepackageyounowshouldpreparetheSSL|
|certificatesystembyrunningthe"makecertificate"command.|
|Fordifferentsituationsthefollowingvariantsareprovided:|

|%makecertificateTYPE=dummy(dummyself-signedSnakeOilcert)|
|%makecertificateTYPE=test(testcertsignedbySnakeOilCA)|
|%makecertificateTYPE=custom(customcertsignedbyownCA)|
|%makecertificateTYPE=existing(existingcert)|
|CRT=/path/to/your.crt[KEY=/path/to/your.key]|

|UseTYPE=dummywhenyou"reavendorpackagemaintainer,|
|theTYPE=testwhenyou"reanadminbutwanttodotestsonly,|
|theTYPE=customwhenyou"reanadminwillingtorunarealserver|
|andTYPE=existingwhenyou"reanadminwhoupgradesaserver.|
|(ThedefaultisTYPE=test)|

|AdditionallyaddALGO=RSA(default)orALGO=DSAtoselect|
|thesignaturealgorithmusedforthegeneratedcertificate.|

|Use"makecertificateVIEW=1"todisplaythegenerateddata.|

|ThanksforusingApache&mod_ssl.RalfS.Engelschall|

||
+-----------------------------------------------------------------------+

现在你可以创建一个定制的证书。该选项将提示输入你的地址、公司、和其他一些东西。关于证书，请参阅本文的结尾。
#makecertificateTYPE=custom
现在安装Apache...
#makeinstall
如果一切正常，你应该看到类似于以下的信息：

+----------------------------------------------------------------------------------+
|Younowhavesuccessfullybuiltandinstalledthe|
|Apache1.3HTTPserver.ToverifythatApacheactually|
|workscorrectlyyounowshouldfirstcheckthe|
|(initiallycreatedorpreserved)configurationfiles|

|/usr/local/apache/conf/httpd.conf|
|andthenyoushouldbeabletoimmediatelyfireup|
|Apachethefirsttimebyrunning:|

|/usr/local/apache/bin/apachectlstart|
|OrwhenyouwanttorunitwithSSLenableduse:|

|/usr/local/apache/bin/apachectlstartssl|
|ThanksforusingApache.TheApacheGroup|

+----------------------------------------------------------------------------------+

现在验证Apache和PHP是否正在工作。然而，我们需要编辑srm.conf和httpd.conf保证我们把PHP类型加到了配置中。查看httpd.conf并去掉下列行的注释。如果你精确地遵循了本文的指令，你的httpd.conf文件将位于/usr/local/apache/conf目录。文件有一行针对php4的addtype加了注释，现在就去掉注释。httpd.conf文件--片断
>
>#AndforPHP4.x,use:
>#
--->AddTypeapplication/x-httpd-php.php
--->AddTypeapplication/x-httpd-php-source.phps
>
>

现在我们准备启动Apache服务器看它是否在工作。首先我们将启动不支持SSL的服务器看它是否启动了。我们将检查对PHP的支持，然后我们将停止服务器并且启动启用了SSL支持的服务器并检查我们是否一切正常。configtest将检查所有配置是否正确设置。
#cd/usr/local/apache/bin
#./apachectlconfigtest
SyntaxOK
#./apachectlstart
./apachectlstart:httpdstarted

测试我们的工作
Apache正在工作吗？
如果它工作正常，当你用Netscape连接服务器时，你将看见一幅类似于这幅屏幕捕获的屏幕。这是基本上是Apache缺省安装的页面。

注意：你可以用域名或机器实际的IP地址与服务器连接。检查这两种情形，确保一切工作正常。

PHP支持正在工作吗？？
现在将测试PHP支持……创建一个文件(名为：test.php)，它有下列信息。文件需要位于文档根路径下，它应该缺省设置为/usr/local/apache/htdocs。注意这依赖于我们以前选择的前缀，然而，这可在httpd.conf中改变。设置多个将在另一篇文章加少，请留意，因为它将涉及安装Apache和它的指令的一些很基本的选项。
test.php文件
phpinfo();
?>

它将显示有关服务器、php和环境的信息。下面是输出页面的顶部的屏幕抓取。

很酷吧，PHP起作用了。
SSL选择正在工作吗？？
好了，现在我们准备测试SSL了。首先停止服务器，并以启用SSL的选项重启它。
#/usr/local/apache/bin/apachectlstop
#/usr/local/apache/bin/apachectlstartssl
测试它是否工作：通过用一个Netscape与服务器连接并且选择https协议，即：或，也可以再试一下你的服务器的ip地址，即：和。
如果它起作用了，服务器将把证书发送到浏览器以建立一个安全连接。这将让浏览器提示你接受自己签署的证书。，如果它是来自VeriSign或Thawte的一张证书，那么浏览器将不提示你，因为证书来自一个可信的证书授权机构(CA)。在我们的情况中，我们创建并签署我们自己的证书……我们不想马上买一个。首先，我们想要保证我们能使一切正常。
你在Netscape中将看见启用了下列选项。这就告诉你一个安全的连接已经建立起来了。

PHP和MySQL能一起工作吗？？
现在，我们可以确定php能与MySQL一起工作，通过创建一个简单的脚本，对“test2”数据库做一些插入和数据删除操作。只是一个简单的脚本以测试它是否工作了。在另一篇文章中我们将讨论PHP脚本连接一个MySQL数据库。还记得我们已经创建立了数据库和一张表。我们可以现在完成它，但是我选择不。我想要再检查一次root有权限创建立数据库和表，然而，PHP提供了对MySQL的提供，因此我能很容易地编写代码以创建一个测试数据库和若干条记录。
记得我们以前创建了书籍数据库。如果你跳过了以前的内容，这部分将不工作。我们创建了有一个“books”表的test2数据库，并且为一本书插入了一条记录。
这个脚本基本上浏览该表并列出所有字段名，它的确很简单。
$dbuser="root";
$dbhost="localhost";
$dbpass="password";
$dbname="test2";
$dbtble="books";
$mysql_link=mysql_connect($dbhost,$dbuser,$dbpass);
$column=mysql_list_fields($dbname,$dbtble,$mysql_link);
for($i=0;$i<mysql_num_fields($column);$i++)
{
printmysql_field_name($column,$i)."
";
}
?>
一个更复杂的例子将向你演示PHP某些绝妙的功能。



$dbuser="root";
$dbhost="localhost";
$dbpass="password";
$dbname="test2";
$dbtable="books";
//------DATABASECONNECTION--------//
$mysql_link=mysql_connect($dbhost,$dbuser,$dbpass);
$column=mysql_list_fields($dbname,$dbtable,$mysql_link);
$sql="SELECT*FROM$dbtable";
$result=mysql_db_query($dbname,$sql);
?>

while($value=mysql_fetch_array($result))
{
print"";
//Thisloopgoesthroughthecolumsandprints
//eachvalue
for($i=0;$i<mysql_num_fields($column);$i++)
{
print"$value[$i]";
}
print"
";
}
mysql_free_result($result);
mysql_close();
?>




注意，我们竟能在同一文件中同时有HTML和PHP命令。这就是PHP脚本的奇妙之处。
的设置

现在是设置Apache处理一些的时间了。由于Apache提供的灵活性，可很简单地做到。首先你需要一个DNS服务器把的域名指向web服务器的IP地址。在DNS使用一个CNAME记录把your_virtual_domain.com指向服务器的IP。其次你需要修改Apache的配置文件httpd.conf以增加新的虚拟域名。记住，这只是一个很基本的例子，你有勇气读一下Apache的指令。
让我们看一个httpd.conf的例子。
httpd.conf片断
#--------------------------------------------------------#
#VIRTUALHOSTSECTIONNON-SSL
#--------------------------------------------------------#
#VirtualHostdirectiveallowsyoutospecifyanothervirtual
#domainonyourserver.MostApacheoptionscanbespecified
#withinthissection.

#Mailtothisaddressonerrors
ServerAdmin
#Wheredocumentsarekeptinthevirtualdomain
#thisisanabsolutepath.Soyoumaywanttoput
#inalocationwheretheownercangettoit.
DocumentRoot/home/vhosts/domain1.com/www/
#SincewewillusePHPtocreatebasically
#allourfileweputadirectivetotheIndexfile.
DirectoryIndexindex.php
#Nameoftheserver
ServerName
#LogfilesRelativetoServerRootoption
ErrorLoglogs/domain1.com-error_log
TransferLoglogs/domain1.com-access_log
RefererLoglogs/domain1.com-referer_log
AgentLoglogs/domain1.com-agent_log
#UseCGIscriptsinthisdomain.Inthenextcaseyou
#canseethatitdoesnothaveCGIscripts.Please
#readuponthesecurityissuesrelatingtoCGI-scripting.
ScriptAlias/cgi-bin//var/www/cgi-bin/domain1.com/
AddHandlercgi-script.cgi
AddHandlercgi-script.pl

#Thisisanotherdomain.Notethatyoucouldhost
#multipledomainsthisway...

#Mailtothisaddressonerrors
ServerAdmin
#Wheredocumentsarekeptinthevirtualdomain
DocumentRoot/virtual/domain2.com/www/html
#Nameoftheserver
ServerName
#LogfilesRelativetoServerRootoption
ErrorLoglogs/domain2.com-error_log
TransferLoglogs/domain2.com-access_log
RefererLoglogs/domain2.com-referer_log
AgentLoglogs/domain2.com-agent_log
#NoCGI"sforthishost
#End:virtualhostsection

使用上述例子在你的服务器上创建你自己的。如果你想从Apache网站上阅读每一条指令，它的网址是：。
　
SSL

创建SSL类似非SSL。除了你需要指定另外的指令，还有，你需要增加一个DNS记录并且修改httpd.conf。这里有一个例子。
#--------------------------------------------#
#SSLVirtualHostContext
#--------------------------------------------#


#Generalsetupforthevirtualhost
DocumentRoot/usr/local/apache/htdocs
ServerAdmin
ServerName
ErrorLoglogs/domain1.com-error_log
TransferLoglogs/domain1.com-transfer_log
#SSLEngineSwitch:
#Enable/DisableSSLforthisvirtualhost.
SSLEngineon
#ServerCertificate:
#PointSSLCertificateFileataPEMencodedcertificate.If
#thecertificateisencrypted,thenyouwillbepromptedfora
#passphrase.Notethatakill-HUPwillpromptagain.Atest
#certificatecanbegeneratedwith`makecertificate"under
#builttime.Keepinmindthatifyou"vebothaRSAandaDSA
#certificateyoucanconfigurebothinparallel(toalsoallow
#theuseofDSAciphers,etc.)
#NotethatIkeepmycertificatefileslocatedinacentral
#location.YoucouldchangethisifyouareanISP,orASP.
SSLCertificateFile/usr/local/apache/conf/ssl.crt/server.crt
#ServerPrivateKey:
#Ifthekeyisnotcombinedwiththecertificate,usethis
#directivetopointatthekeyfile.Keepinmindthatif
#you"vebothaRSAandaDSAprivatekeyyoucanconfigure
#bothinparallel(toalsoallowtheuseofDSAciphers,etc.)
SSLCertificateKeyFile/usr/local/apache/conf/ssl.key/server.key

#Per-ServerLogging:
#ThehomeofacustomSSLlogfile.Usethiswhenyouwanta
#compactnon-errorSSLlogfileonavirtualhostbasis.
CustomLog/usr/local/apache/logs/ssl_request_log\
"%t%h%{SSL_PROTOCOL}x%{SSL_CIPHER}x\"%r\"%b"


记住你有很多指令可以指定。我们将在另一篇有关配置Apache的文章中讨论，本文只是一个入门性指南。
生成证书
这是如何生成证书的按部就班的描述。
为你的Apache服务器创建一个RSA私用密钥(被Triple-DES加密并且进行PEM格式化)：
#opensslgenrsa-des3-outserver.key1024
请在安全的地方备份这个server.key文件。记住你输入的通行短语(passphrase)！你可以通过下面的命令看到这个RSA私用密钥的细节。
#opensslrsa-noout-text-inserver.key
而且你可以为这个RSA私用密钥创建一个加密的PEM版本（不推荐），通过下列命令：
#opensslrsa-inserver.key-outserver.key.unsecure
用服务器RSA私用密钥生成一个证书签署请求（CSR-CertificateSigningRequest）（输出将是PEM格式的）：
#opensslreq-new-keyserver.key-outserver.csr
当OpenSSL提示你“CommonName”时，确保你输入了服务器的FQDN("FullyQualifiedDomainName")，即，当你为一个以后用访问的网站生成一个CSR时，这里输入""。你可借助下列命令查看该CSR的细节：
#opensslreq-noout-text-inserver.csr
将CSR发到一个CA
现在你必须发送该CSR到一个CA以便签署，然后的结果才是可以用于Apache的一个真正的证书。
有两种选择：
第一种，你可以通过一个商业性CA如Verisign或Thawte签署证书。那么你通常要将CSR贴入一个web表格，支付签署费用并等待签署的证书，然后你可以把它存在一个server.crt文件中。关于商业性CA的更多信息，请参见下列链接：
Verisign-
ThawteConsulting-
CertiSignCertificadoraDigitalLtda.-
IKSGmbH-
UptimeCommerceLtd.-
BelSignNV/SA-

你自己的CA
第二种，你可以利用自己的CA并由该CA签署CSR。你可以创建自己的认证中心来签署证书。最简单的方法是利用OpenSSL提供的CA.sh或CA.pl脚本。比较复杂而且是手工的方法是：
为你的CA创建一个RSA私用密钥（被Triple-DES加密并且进行PEM格式化的）：
#opensslgenrsa-des3-outca.key1024
请在安全的地方备份这个ca.key文件。记住你输入的通行短语(passphrase)！你可以通过下面的命令看到这个RSA私用密钥的细节。
#opensslrsa-noout-text-inca.key
而且你可以为这个RSA私用密钥创建一个加密的PEM版本（不推荐），通过下列命令：
#opensslrsa-inca.key-outca.key.unsecure
利用CA的RSA密钥创建一个自签署的CA证书（X509结构）（输出将是PEN格式的）：
#opensslreq-new-x509-days365-keyca.key-outca.crt
你可以通过下列命令查看该证书的细节：
#opensslx509-noout-text-inca.crt
准备一个签署所需的脚本，因为"opensslca"命令有一些奇怪的要求而且缺省的OpenSSL配置不允许简单地直接使用"opensslca"命令，所以一个名为sign.sh的脚本随mod_ssl分发一道发布（子目录pkg.contrib/）。使用该脚本进行签署。
现在你可以使这个CA签署服务器的CSR，以便创建用于Apache服务器内部的真正的SSL证书（假定你手头已经有一个server.csr）：
#./sign.shserver.csr
它签署服务器的CSR并且结果在一个server.crt文件中。
现在你有两个文件：server.ket和server.crt。在你的Apache的httpd.conf文件中，如下使用它们：
SSLCertificateFile/path/to/this/server.crt
SSLCertificateKeyFile/path/to/this/server.key
server.csr不再需要了。