原文出自：http://www.joyios.com/?p=47

引言

使用HTTP（超文字傳輸）協議訪問網際網路上的資料是沒有經過加密的。也就是說，任何人都可以通過適當的工具攔截或者監聽到在網路上傳輸的資料流。但是有時候，我們需要在網路上傳輸一些安全性或者私祕性的資料，譬如：包含信用卡及商品資訊的電子訂單。這個時候，如果仍然使用HTTP協議，勢必會面臨非常大的風險！相信沒有人能接受自己的信用卡號在網際網路上裸奔。

HTTPS（超文字傳輸安全）協議無疑可以有效的解決這一問題。所謂HTTPS，其實就是HTTP和SSL/TLS的組合，用以提供加密通訊及對網路伺服器的身份鑑定。HTTPS的主要思想是在不安全的網路上建立一安全通道，防止黑客的竊聽和攻擊。

SSL（安全套接層）可以用來對Web伺服器和客戶端之間的資料流進行加密。

SSL利用非對稱密碼技術進行資料加密。加密過程中使用到兩個祕鑰：一個公鑰和一個與之對應的私鑰。使用公鑰加密的資料，只能用與之對應的私鑰解密；而使用私鑰加密的資料，也只能用與之對應的公鑰解密。因此，如果在網路上傳輸的訊息或資料流是被伺服器的私鑰加密的，則只能使用與其對應的公鑰解密，從而可以保證客戶端與與伺服器之間的資料安全。

數字證書（Certificate）

在HTTPS的傳輸過程中，有一個非常關鍵的角色——數字證書，那什麼是數字證書？又有什麼作用呢？

所謂數字證書，是一種用於電腦的身份識別機制。由數字證書頒發機構（CA）對使用私鑰建立的簽名請求檔案做的簽名（蓋章），表示CA結構對證書持有者的認可。數字證書擁有以下幾個優點：

1. 使用數字證書能夠提高使用者的可信度
2. 數字證書中的公鑰，能夠與服務端的私鑰配對使用，實現資料傳輸過程中的加密和解密
3. 在證認使用者身份期間，使用者的敏感個人資料並不會被傳輸至證書持有者的網路系統上

X.509證書包含三個檔案：key，csr，crt。

• key是伺服器上的私鑰檔案，用於對傳送給客戶端資料的加密，以及對從客戶端接收到資料的解密
• csr是證書籤名請求檔案，用於提交給證書頒發機構（CA）對證書籤名
• crt是由證書頒發機構（CA）簽名後的證書，或者是開發者自簽名的證書，包含證書持有人的資訊，持有人的公鑰，以及簽署者的簽名等資訊

備註：在密碼學中，X.509是一個標準，規範了公開祕鑰認證、證書吊銷列表、授權憑證、憑證路徑驗證演算法等。

建立自簽名證書的步驟

注意：以下步驟僅用於配置內部使用或測試需要的SSL證書。

第1步：生成私鑰

使用openssl工具生成一個RSA私鑰

說明：生成rsa私鑰，des3演算法，2048位強度，server.key是祕鑰檔名。

注意：生成私鑰，需要提供一個至少4位的密碼。

第2步：生成CSR（證書籤名請求）

生成私鑰之後，便可以建立csr檔案了。

此時可以有兩種選擇。理想情況下，可以將證書傳送給證書頒發機構（CA），CA驗證過請求者的身份之後，會出具簽名證書（很貴）。另外，如果只是內部或者測試需求，也可以使用OpenSSL實現自簽名，具體操作如下：

說明：需要依次輸入國家，地區，城市，組織，組織單位，Common Name和Email。其中Common Name，可以寫自己的名字或者域名，如果要支援https，Common Name應該與域名保持一致，否則會引起瀏覽器警告。

第3步：刪除私鑰中的密碼

在第1步建立私鑰的過程中，由於必須要指定一個密碼。而這個密碼會帶來一個副作用，那就是在每次Apache啟動Web伺服器時，都會要求輸入密碼，這顯然非常不方便。要刪除私鑰中的密碼，操作如下：

第4步：生成自簽名證書

如果你不想花錢讓CA簽名，或者只是測試SSL的具體實現。那麼，現在便可以著手生成一個自簽名的證書了。

需要注意的是，在使用自簽名的臨時證書時，瀏覽器會提示證書的頒發機構是未知的。

說明：crt上有證書持有人的資訊，持有人的公鑰，以及簽署者的簽名等資訊。當用戶安裝了證書之後，便意味著信任了這份證書，同時擁有了其中的公鑰。證書上會說明用途，例如伺服器認證，客戶端認證，或者簽署其他證書。當系統收到一份新的證書的時候，證書會說明，是由誰簽署的。如果這個簽署者確實可以簽署其他證書，並且收到證書上的簽名和簽署者的公鑰可以對上的時候，系統就自動信任新的證書。

第5步：安裝私鑰和證書

將私鑰和證書檔案複製到Apache的配置目錄下即可，在Mac 10.10系統中，複製到/etc/apache2/目錄中即可。