apache+mysql+php+ssl服务器之完全安装攻略（二）

你在Netscape中将看见启用了下列选项。这就告诉你一个安全的连接已经建立起来了。

PHP和MySQL能一起工作吗？？

现在，我们可以确定php能与MySQL一起工作，通过创建一个简单的脚本，对“test2”数据库做一些插入和数据删除操作。只是一个简单的脚本以测试它是否工作了。在另一篇文章中我们将讨论PHP脚本连接一个 MySQL数据库。还记得我们已经创建立了数据库和一张表。我们可以现在完成它，但是我选择不。我想要再检查一次root有权限创建立数据库和表，然而，PHP提供了对MySQL的提供，因此我能很容易地编写代码以创建一个测试数据库和若干条记录。

记得我们以前创建了书籍数据库。如果你跳过了以前的内容，这部分将不工作。我们创建了有一个“books”表的test2数据库，并且为一本书插入了一条记录。

这个脚本基本上浏览该表并列出所有字段名，它的确很简单。

< ?
$dbuser = 'root';
$dbhost = 'localhost';
$dbpass = 'password';
$dbname = 'test2';
$dbtble = 'books';
$mysql_link = mysql_connect($dbhost,$dbuser,$dbpass);
$column = mysql_list_fields($dbname,$dbtble,$mysql_link);
for($i=0; $i< mysql_num_fields($column); $i++ )
{
print mysql_field_name($column,$i ).'< br> ';
}
?>
一个更复杂的例子将向你演示PHP某些绝妙的功能。

< html>
< head>
< title> Example 2 -- more details< /title>
< /head>
< body bgcolor='white'>
< ?
$dbuser = 'root';
$dbhost = 'localhost';
$dbpass = 'password';
$dbname = 'test2';
$dbtable = 'books';
//------ DATABASE CONNECTION --------//
$mysql_link = mysql_connect($dbhost,$dbuser, $dbpass);
$column = mysql_list_fields($dbname,$dbtable,$mysql_link);
$sql = 'SELECT * FROM $dbtable';
$result = mysql_db_query($dbname,$sql);
?>
< table bgcolor='black'>
< tr> < td>
< table>
< /td> < /tr>
< /table>
< /body>
< /html>

注意，我们竟能在同一文件中同时有HTML和PHP命令。这就是PHP脚本的奇妙之处。

虚拟主机的设置

现在是设置Apache处理一些虚拟主机的时间了。由于Apache提供的灵活性，虚拟主机可很简单地做到。首先你需要一个DNS服务器把虚拟主机的域名指向web服务器的IP地址。在DNS使用一个CNAME记录把 your_virtual_domain.com指向服务器的IP。其次你需要修改Apache的配置文件httpd.conf以增加新的虚拟域名。记住，这只是一个很基本的例子，你有勇气读一下Apache的指令。

让我们看一个 httpd.conf 的例子。

httpd.conf 片断

#--------------------------------------------------------#
# VIRTUAL HOST SECTION NON-SSL
#--------------------------------------------------------#
# VirtualHost directive allows you to specify another virtual
# domain on your server. Most Apache options can be specified
# within this section.

# Mail to this address on errors
ServerAdmin [email protected]

# Where documents are kept in the virtual domain
# this is an absolute path. So you may want to put
# in a location where the owner can get to it.
DocumentRoot /home/vhosts/domain1.com/www/

# Since we will use PHP to create basically
# all our file we put a directive to the Index file.
DirectoryIndex index.php

# Name of the server
ServerName www.domain1.com

# Log files Relative to ServerRoot option
ErrorLog logs/domain1.com-error_log
TransferLog logs/domain1.com-access_log
RefererLog logs/domain1.com-referer_log
AgentLog logs/domain1.com-agent_log

# Use CGI scripts in this domain. In the next case you
# can see that it does not have CGI scripts. Please
# read up on the security issues relating to CGI-scripting.
ScriptAlias /cgi-bin/ /var/www/cgi-bin/domain1.com/
AddHandler cgi-script .cgi
AddHandler cgi-script .pl

# This is another domain. Note that you could host
# multiple domains this way...

# Mail to this address on errors
ServerAdmin [email protected]

# Where documents are kept in the virtual domain
DocumentRoot /virtual/domain2.com/www/html

# Name of the server
ServerName www.domain2.com

# Log files Relative to ServerRoot option
ErrorLog logs/domain2.com-error_log
TransferLog logs/domain2.com-access_log
RefererLog logs/domain2.com-referer_log
AgentLog logs/domain2.com-agent_log

# No CGI's for this host

# End: virtual host section

使用上述例子在你的服务器上创建你自己的虚拟主机。如果你想从Apache网站上阅读每一条指令，它的网址是：http://www.apache.org。

SSL虚拟主机

创建SSL虚拟主机类似非SSL。除了你需要指定另外的指令，还有，你需要增加一个DNS记录并且修改 httpd.conf。这里有一个例子。

#--------------------------------------------#
# SSL Virtual Host Context
#--------------------------------------------#

# General setup for the virtual host
DocumentRoot /usr/local/apache/htdocs
ServerAdmin [email protected]
ServerName www.securedomain1.com
ErrorLoglogs/domain1.com-error_log
TransferLog logs/domain1.com-transfer_log

# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on

# Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate. If
# the certificate is encrypted, then you will be prompted for a
# pass phrase. Note that a kill -HUP will prompt again. A test
# certificate can be generated with `make certificate' under
# built time. Keep in mind that if you've both a RSA and a DSA
# certificate you can configure both in parallel (to also allow
# the use of DSA ciphers, etc.)
# Note that I keep my certificate files located in a central
# location. You could change this if you are an ISP, or ASP.

SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt

# Server Private Key:
# If the key is not combined with the certificate, use this
# directive to point at the key file. Keep in mind that if
# you've both a RSA and a DSA private key you can configure
# both in parallel (to also allow the use of DSA ciphers, etc.)

SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key

# Per-Server Logging:
# The home of a custom SSL log file. Use this when you want a
# compact non-error SSL logfile on a virtual host basis.
CustomLog /usr/local/apache/logs/ssl_request_log

'%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x '%r' %b'

记住你有很多指令可以指定。我们将在另一篇有关配置Apache的文章中讨论，本文只是一个入门性指南。

生成证书

这是如何生成证书的按部就班的描述。

为你的Apache服务器创建一个RSA私用密钥(被Triple-DES加密并且进行PEM格式化)：

# openssl genrsa -des3 -out server.key 1024

请在安全的地方备份这个server.key文件。记住你输入的通行短语(pass phrase)！你可以通过下面的命令看到这个RSA私用密钥的细节。

# openssl rsa -noout -text -in server.key

而且你可以为这个RSA私用密钥创建一个加密的PEM版本（不推荐），通过下列命令：

# openssl rsa -in server.key -out server.key.unsecure

用服务器RSA私用密钥生成一个证书签署请求（CSR-Certificate Signing Request）（输出将是PEM格式的）：

# openssl req -new -key server.key -out server.csr

当OpenSSL提示你“CommonName”时，确保你输入了服务器的FQDN('Fully Qualified Domain Name') ，即，当你为一个以后用https://www.foo.dom/访问的网站生成一个CSR时，这里输入'www.foo.dom'。你可借助下列命令查看该CSR的细节：

# openssl req -noout -text -in server.csr

将CSR发到一个CA

现在你必须发送该CSR到一个CA以便签署，然后的结果才是可以用于Apache的一个真正的证书。

有两种选择：

第一种，你可以通过一个商业性CA如Verisign 或 Thawte签署证书。那么你通常要将CSR贴入一个web表格，支付签署费用并等待签署的证书，然后你可以把它存在一个server.crt文件中。关于商业性CA的更多信息，请参见下列链接：

Verisign - http://digitalid.verisign.com/server/apacheNotice.htm
Thawte Consulting - http://www.thawte.com/certs/server/request.html
CertiSign Certificadora Digital Ltda. - http://www.certisign.com.br
IKS GmbH - http://www.iks-jena.de/produkte/ca /
Uptime Commerce Ltd. - http://www.uptimecommerce.com
BelSign NV/SA - http://www.belsign.be

你自己的CA

第二种，你可以利用自己的CA并由该CA签署CSR。你可以创建自己的认证中心来签署证书。最简单的方法是利用OpenSSL提供的CA.sh或 CA.pl脚本。比较复杂而且是手工的方法是：

为你的CA创建一个RSA私用密钥（ 被Triple-DES加密并且进行PEM格式化的）：

# openssl genrsa -des3 -out ca.key 1024

请在安全的地方备份这个ca.key文件。记住你输入的通行短语(pass phrase)！你可以通过下面的命令看到这个RSA私用密钥的细节。

# openssl rsa -noout -text -in ca.key

而且你可以为这个RSA私用密钥创建一个加密的PEM版本（不推荐），通过下列命令：

# openssl rsa -in ca.key -out ca.key.unsecure

利用CA的RSA密钥创建一个自签署的CA证书（X509结构）（输出将是PEN格式的）：

# openssl req -new -x509 -days 365 -key ca.key -out ca.crt

你可以通过下列命令查看该证书的细节：

# openssl x509 -noout -text -in ca.crt

准备一个签署所需的脚本，因为'openssl ca'命令有一些奇怪的要求而且缺省的OpenSSL配置不允许简单地直接使用'openssl ca'命令，所以一个名为sign.sh的脚本随mod_ssl分发一道发布（子目录pkg.contrib/）。 使用该脚本进行签署。

现在你可以使这个CA签署服务器的CSR，以便创建用于Apache服务器内部的真正的SSL证书（假定你手头已经有一个server.csr）：

# ./sign.sh server.csr

它签署服务器的CSR并且结果在一个server.crt文件中。

现在你有两个文件：server.ket和server.crt。在你的Apache的httpd.conf文件中，如下使用它们：

SSLCertificateFile /path/to/this/server.crt
SSLCertificateKeyFile /path/to/this/server.key

server.csr不再需要了。