分类
安全播报

春节火车票预售提前 如何提防钓鱼网站

从明日日起,春运正式开始,各大航空公司也纷纷推出春运机票预订优惠活动,但节前也是各类网络诈骗的高发期。据相关数据显示,近期火车票、机票类钓鱼网站日均新增上百家,相比平时订票淡季多出五倍。

钓鱼网站通过套用网页模板的方式,伪装为“铁道部火车票官方售票处”或“航空公司、旅行社、机票代售点”等网站页面,并在醒目位置贴出400、800等预订电话,安全防范意识不足的用户很容易被骗。

此外,钓鱼网站还会利用春运火车票紧张、提前预订可享受折扣等信息,催促用户尽快向指定银行卡号付款。如果受骗用户付款后发现没有机票订单,骗子还会借400等电话以“账户冻结”、“卡单”为由对用户进行二次欺诈。

“凡是需要向个人银行卡号汇款买票的网站,无疑都是钓鱼网站。”安全专家建议网民购买火车票时选择12306.cn官方网站,对于网址可疑的票务销售网站,应该鉴定网站鉴定网站可信度、确认安全后再付款买票。

那如何鉴定网站的可信度呢?主要通过以下三方面:

1. 网站地址栏为绿色地址栏

2.网站地址栏开头为“https”;

3.网站地址栏右侧有小金锁标志。

可能很多朋友对以上三点标志都不是很了解,这些都是钓鱼网站无法仿冒的安全网站标志,是网站部署了服务器证书之后的安全标志。

分类
安全播报

春运将至,如何巧识钓鱼网站

1月7日起,春运火车票预售拉开序幕,网上购票火热。不过,旅客要多加小心,不要上钓鱼网站的当。昨日,重庆晚报记者从中国反钓鱼网站联盟获悉,截至2013年1月10日,联盟累计认定并处理了订票类钓鱼网站(假冒网站)903个,较上月环比增166%。其中,火车票、机票类钓鱼网站约占70%。

上月底,安全中心表示,截至2012年12月24日,互联网新增钓鱼网站39.27万家。近期,在百度上搜索“火车票网”,相关结果达1600多万个。并且,在搜索结果出来后,最靠前位置会出现一个提醒:“铁道部官方售票渠道仅限12306.cn网站和电话95105105。通过非官方渠道如400电话、个人手机或ATM转账购票,可能给您带来财产损失。请谨慎辨别!”

除了钓鱼网站,还需谨防网络抢票软件。它们披着马甲,大多数暗藏病毒危险。

如何识别钓鱼网站?

增信图标无链接

各网站一般在页脚都会添加一些增信图标,例如,网络110报警服务图标、经营性网站备案信息图标等。正规网站几乎所有图标都会添加链接,而钓鱼网站则一般不会添加链接,大多数钓鱼网站的增信图标全都是无链接的图片,无法点击打开。

网址粗糙

正规的网站,页面规范,信息齐全,具有大量原创内容。非正规网站一般采用模板、模块式的构架,通过直观体验可以容易分辨出来。

网站没备案号

看是否在工商行政机关进行经营性网站备案。网站ICP备案号与ICP证号,一般都会在网站显示。

电话号码较长

网站上看到400或95013开头比较长的电话号码,建议网友慎重拨打。

分类
知识中心

为apache配置ssl模块

apache 添加 mod_rewrite 模块

我使用的是httpd 2.0.55 注意配置httpd.conf 时 是 rewrite_module 而不是 mod_rewrite

1、Apache安装rewrite模块的时候需要DBM支持,否则无法编译。使用rpm -qa gdbm 查询,如果没有,需要先下载并安装gdbm:

下载地址:ftp://ftp.gnu.org/gnu/gdbm/

安装步骤:

./configure

make

make install

make install-compat (如果不执行此步,无法编译出ndbm.h头文件)

2、安装

#cd /root/src/httpd-2.0.55/modules/mappers

#/usr/local/apache/bin/apxs -c mod_rewrite.c

#gcc -shared -o mod_rewrite.so mod_rewrite.o -lgdbm

#/usr/local/apache/bin/apxs -i -A -n mod_rewrite mod_rewrite.so

/usr/local/apache/bin/ 是我正在使用的apahce的目录

3、配置httpd.conf

加入 LoadModule rewrite_module modules/mod_rewrite.so

注意是 rewrite_module 而不是 mod_rewrite

过程其实很容易理解:

1 在httpd的源文件里面找到 foo.c

2 运行程序编译出 foo.so

3 在httpd.conf添加进来

这里面要注意的两点:

1 foo.c是按功能放置在modules目录的,自己找到相应目录

2 loadModule命令默认是注释的,要去掉后还要改一下名称

下面是尝试expires功能的添加:

cd modules/metadata/

(expires属于metadata功能部分的)

/Data/apps/apache/bin/apxs -c mod_expires.c

gcc -shared -o mod_expires.so mod_expires.o -lgdbm

/Data/apps/apache/bin/apxs -i -A -n mod_expires mod_expires.so

编辑httpd.conf文件

LoadModule expires_module modules/mod_expires.so

然后测试一下:

引用

[root@localhost apache]# ./bin/apachectl -t

Syntax OK

[root@localhost apache]# ./bin/apachectl graceful

这个模块很实用,可以给你带来带宽的节省

比如如下配置:

<IfModule mod_expires.c>

ExpiresActive On

ExpiresDefault “access plus 6 hours”

ExpiresByType text/html “access plus 0 hours”

</IfModule>

启用expires,默认缓存6小时,但不缓存 text/html

也就是访问阿权的网页

http://www.aslibra.com/blog/read.php?132 不会缓存网页

http://www.aslibra.com/blog/up/1158240093.jpg 缓存图片和脚本等

意思就是这样了

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

文本页面(htm/css/js等)启用压缩后,一般可以压缩70%左右。即50K的文件,实际只需传输15K到客户端,由客户端解压显示。另外,实践证明,启用Gzip压缩后,不会对搜索引擎收录有影响。在Apache1.3时代,有一个mod_gzip的模块,但 Apache2.x系列已经内置了Deflate模块,因此,只需要安装Deflate模块即可,由于在编译apache时没有加这些参数,只能另外添加安装:

============================================================

一、mod_deflate.so安装过程:

1、进入源码包

[root@dns filters]# pwd

/home/redhat/httpd-2.2.15/modules/filters

2、安装deflate 并添加到httpd.conf中

[root@dns filters]# /usr/local/apache2/bin/apxs -i -c -a mod_deflate.c

apxs命令参数说明:

-i 此选项表示需要执行安装操作,以安装一个或多个动态共享对象到服务器的modules目录中。

-a 此选项自动增加一个LoadModule行到httpd.conf文件中,以激活此模块,或者,如果此行已经存在,则启用之。

-A 与 -a 选项类似,但是它增加的LoadModule命令有一个井号前缀(#),即此模块已经准备就绪但尚未启用。

-c 此选项表示需要执行编译操作。它首先会编译C源程序(.c)files为对应的目标代码文件(.o),然后连接这些目标代码和files中其余的目标代码文件(.o和.a),以生成动态共享对象dsofile 。如果没有指定 -o 选项,则此输出文件名由files中的第一个文件名推测得到,也就是默认为mod_name.so 。

 

3、查看安装目录中的modules文件夹和httpd.conf文件

[root@dns modules]# ls

httpd.exp libphp5.so mod_deflate.so

在第56 行出现

LoadModule deflate_module modules/mod_deflate.so

二、mod_headers.so安装过程:

1、mod_headers.c 在源码包的modeules/metadata目录下面

[root@dns metadata]# pwd

/home/redhat/httpd-2.2.15/modules/metadata

[root@dns metadata]# ls mod_headers.

mod_headers.c mod_headers.dsp mod_headers.exp mod_headers.lo mod_headers.o

2、安装deflate 并添加到httpd.conf中

[root@dns metadata]# /usr/local/apache2/bin/apxs -i -a -c mod_headers.c

[root@dns modules]# ls

httpd.exp libphp5.so mod_deflate.so mod_headers.so

在57行出有

LoadModule headers_module modules/mod_headers.so

如果是新安装apache,直接加上 –enable-headers –enable-deflate 即可

====================================================================

三、在httpd.conf中添加

<IfModule mod_deflate.c>

DeflateCompressionLevel 7

AddOutputFilterByType DEFLATE text/html text/plain text/xml application/x-httpd-php

AddOutputFilter DEFLATE js css

</IfModule>

这样的做法可以压缩一般网页中会用到的html、xml、php、css、js等格式文档输出,减少资料传输量,减少网络带宽被吃掉的情形。

DeflateCompressionLevel 指压缩程度的等级;从1到9 ,9是最高等级,据了解,这样做最高可以减少8成大小的传输量,最好也能节省一半;

DeflateCompressionLevel预设可以采用6 这个数值,以维持用处理器效能与网页

压缩品质的平衡

~~~~~~~~~~~~~

您不得不看 apache添加模块(不重新编译)

下面是使用apxs 工具给apache添加模块

添加的模块:

LoadModule proxy_module libexec/mod_proxy.so

LoadModule rewrite_module libexec/mod_rewrite.so

LoadModule headers_module libexec/mod_headers.so

添加方法:

1. 进入apache1.3.33 源文件modules目录

cd apache_1.3.33/src/modules/

2. 安装 proxy_module

> cd proxy

> /user/local/apache/bin/apxs -i -a -c *.c

3. 安装 rewrite_module

> cd standard

> /user/local/apache/bin/apxs -i -a -c mod_rewrite.c

4. 安装 headers_module

> cd standard

> /user/local/apache/bin/apxs -i -a -c mod_headers.c

但是,用这种方法添加的proxy不可用,提示错误:

/apache/httpd/bin/apachectl configtest

httpd: Syntax error on line 58 of /apache/httpd-2.2.3/conf/httpd.conf: Cannot load /apache/httpd-2.2.3/modules/mod_proxy.so into server: /apache/httpd-2.2.3/modules/mod_proxy.so: undefined symbol: proxy_lb_workers

所以,应该这样:

在Linux系统下,需要给已经运行的Apache增加mod_proxy模块,编译的时候应该这样:

apxs -c -i mod_proxy.c proxy_util.c

否则你可能会收到这样的错误信息

[root@server1 proxy]# /apache/httpd/bin/apachectl configtest

httpd: Syntax error on line 58 of /apache/httpd-2.2.3/conf/httpd.conf: Cannot load /apache/httpd-2.2.3/modules/mod_proxy.so into server: /apache/httpd-2.2.3/modules/mod_proxy.so: undefined symbol: proxy_lb_workers

如果你还加载了mod_proxy_ajp.so那应该

apxs -c -i mod_proxy_ajp.c ajp*.c

[root@server1 proxy]# /apache/httpd/bin/apachectl configtest

httpd: Syntax error on line 58 of /apache/httpd-2.2.3/conf/httpd.conf: Cannot load /apache/httpd-2.2.3/modules/mod_proxy_ajp.so into server: /apache/httpd-2.2.3/modules/mod_proxy_ajp.so: undefined symbol: ajp_msg_reset

这是为什么呢?请看

apxs – Apache 扩展工具

apxs 是一个为Apache HTTP服务器编译和安装扩展模块的工具,用于编译一个或多个源程序或目标代码文件为动态共享对象,使之可以用由mod_so 提供的LoadModule 指令在运行时加载到Apache服务器中。

因此,要使用这个扩展机制,你的平台必须支持DSO特性,而且Apache httpd 必须内建了mod_so 模块。apxs 工具能自动探测是否具备这样的条件,你也可以自己用这个命令手动探测:

$ httpd -l

该命令的输出列表中应该有mod_so 模块。如果所有这些条件均已具备,则可以很容易地借助apxs 安装你自己的DSO模块以扩展Apache服务器的功能:

$ apxs -i -a -c mod_foo.c

gcc -fpic -DSHARED_MODULE -I/path/to/apache/include -c mod_foo.c

ld -Bshareable -o mod_foo.so mod_foo.o

cp mod_foo.so /path/to/apache/modules/mod_foo.so

chmod 755 /path/to/apache/modules/mod_foo.so

[activating module ‘foo’ in /path/to/apache/etc/httpd.conf]

$ apachectl restart

/path/to/apache/sbin/apachectl restart: httpd not running, trying to start

[Tue Mar 31 11:27:55 1998] [debug] mod_so.c(303): loaded module foo_module

/path/to/apache/sbin/apachectl restart: httpd started

$ _

其中的参数files 可以是任何C源程序文件(.c)、目标代码文件(.o)、甚至是一个库(.a)。apxs 工具会根据其后缀自动编译C源程序或者连接目标代码和库。但是,使用预编译的目标代码时,必须保证它们是地址独立代码(PIC),使之能被动态地加载。如果使用GCC编译,则应该使用 -fpic 参数;如果使用其他C编译器,则应该查阅其手册,为apxs 使用相应的编译参数。

有关Apache对DSO的支持的详细信息,可以阅读mod_so 文档,或者直接阅读src/modules/standard/mod_so.c 源程序。

语法

apxs -g [ -S name =value ] -n modname

apxs -q [ -S name =value ] query …

apxs -c [ -S name =value ] [ -o dsofile ] [ -I incdir ] [ -D name =value ] [ -L libdir ] [ -l libname ] [ -Wc, compiler-flags ] [ -Wl, linker-flags ] files …

apxs -i [ -S name =value ] [ -n modname ] [ -a ] [ -A ] dso-file …

apxs -e [ -S name =value ] [ -n modname ] [ -a ] [ -A ] dso-file …

选项

一般选项

-n modname

它明确设置了 -i (安装)和 -g (模板生成)选项的模块名称。对 -g 选项,它是必须的;对 -i 选项,apxs 工具会根据源代码判断,或(在失败的情况下)按文件名推测出这个模块的名称。

查询选项

-q

查询某种apxs 设置的信息。该选项的query 参数可以是下列一个或多个字符串:CC , CFLAGS , CFLAGS_SHLIB , INCLUDEDIR , LD_SHLIB ,LDFLAGS_SHLIB , LIBEXECDIR , LIBS_SHLIB , SBINDIR , SYSCONFDIR , TARGET 。

这个参数用于手动查询某些设置。比如,要手动处理Apache的C头文件,可以在Makefile中使用:

INC=-I`apxs -q INCLUDEDIR`

配置选项

-S name =value

此选项可以改变apxs的上述设置。

模板生成选项

-g

此选项生成一个名为name 的子目录(见选项 -n )和其中的两个文件:一个是名为mod_name .c 的样板模块源程序,可以用来建立你自己的模块,或是学习使用apxs机制的良好开端;另一个则是对应的Makefile ,用于编译和安装此模块。

DSO编译选项

-c

此选项表示需要执行编译操作。它首先会编译C源程序(.c)files 为对应的目标代码文件(.o),然后连接这些目标代码和files 中其余的目标代码文件(.o和.a),以生成动态共享对象dsofile 。如果没有指定 -o 选项,则此输出文件名由files 中的第一个文件名推测得到,也就是默认为mod_name .so 。

-o dsofile

明确指定所建立的动态共享对象的文件名,它不能从files 文件列表中推测得到。如果没有明确指定,则其文件名将为mod_unknown.so 。

-D name =value

此选项直接传递到给编译命令,用于增加自定义的编译变量。

-I incdir

此选项直接传递到给编译命令,用于增加自定义的包含目录。

-L libdir

此选项直接传递到给连接命令,用于增加自定义的库文件目录。

-l libname

此选项直接传递到给连接命令,用于增加自定义的库文件。

-Wc,compiler-flags

此选项用于向编译命令 libtool –mode=compile 中附加compiler-flags ,以增加编译器特有的选项。

-Wl,linker-flags

此选项用于向连接命令 libtool –mode=link 中附加linker-flags ,以增加连接器特有的选项。

DSO的安装和配置选项

-i

此选项表示需要执行安装操作,以安装一个或多个动态共享对象到服务器的modules 目录中。

-a

此选项自动增加一个LoadModule 行到httpd.conf 文件中,以激活此模块,或者,如果此行已经存在,则启用之。

-A

与 -a 选项类似,但是它增加的LoadModule 命令有一个井号前缀(# ),即此模块已经准备就绪但尚未启用。

-e

表示需要执行编辑操作,它可以与 -a 和 -A 选项配合使用,与 -i 操作类似,修改Apache的httpd.conf 文件,但是并不安装此模块。

举例

假设有一个扩展Apache功能的模块mod_foo.c ,使用下列命令,可以将C源程序编译为共享模块,以在运行时加载到Apache服务器中:

$ apxs -c mod_foo.c

/path/to/libtool –mode=compile gcc … -c mod_foo.c

/path/to/libtool –mode=link gcc … -o mod_foo.la mod_foo.slo

$ _

然后,必须修改Apache的配置,以确保有一个LoadModule 指令来加载此共享对象。为了简化这一步骤,apxs 可以自动进行该操作,以安装此共享对象到”modules”目录,并更新httpd.conf 文件,命令如下:

$ apxs -i -a mod_foo.la

/path/to/instdso.sh mod_foo.la /path/to/apache/modules

/path/to/libtool –mode=install cp mod_foo.la /path/to/apache/modules … chmod 755 /path/to/apache/modules/mod_foo.so

[activating module ‘foo’ in /path/to/apache/conf/httpd.conf]

$ _

如果配置文件中尚不存在,会增加下列的行:

LoadModule foo_module modules/mod_foo.so

如果你希望默认禁用此模块,可以使用 -A 选项,即:

$ apxs -i -A mod_foo.c

要快速测试apxs机制,可以建立一个Apache模块样板及其对应的Makefile :

$ apxs -g -n foo

Creating [DIR] foo

Creating [FILE] foo/Makefile

Creating [FILE] foo/modules.mk

Creating [FILE] foo/mod_foo.c

Creating [FILE] foo/.deps

$ _

然后,立即可以编译此样板模块为共享对象并加载到Apache服务器中:

$ cd foo

$ make all reload

apxs -c mod_foo.c

/path/to/libtool –mode=compile gcc … -c mod_foo.c

/path/to/libtool –mode=link gcc … -o mod_foo.la mod_foo.slo

apxs -i -a -n “foo” mod_foo.la

/path/to/instdso.sh mod_foo.la /path/to/apache/modules

/path/to/libtool –mode=install cp mod_foo.la /path/to/apache/modules … chmod 755 /path/to/apache/modules/mod_foo.so

[activating module ‘foo’ in /path/to/apache/conf/httpd.conf]

apachectl restart

/path/to/apache/sbin/apachectl restart: httpd not running, trying to start

[Tue Mar 31 11:27:55 1998] [debug] mod_so.c(303): loaded module foo_module

/path/to/apache/sbin/apachectl restart: httpd started

$ _~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

在apache下添加fastcgi模块

 

 

1、搭建环境

CentOS5.1,系统只带的apache2.23,默认的apache安装没有带fastcgi模块,要自己手动添加

2、下载

# wget http://www.fastcgi.com/dist/mod_fastcgi-2.4.6.tar.gz

3、安装

# tar zxf mod_fastcgi-2.4.6.tar.gz

# cd mod_fastcgi-2.4.6

# apxs -o mod_fastcgi.so -c *.c

# apxs -i -a -n fastcgi .libs/mod_fastcgi.so

看看modules是否有mod_fastcgi.so,看看httpd.conf文件里是否有mod_fastcgi.so

再看看httpd.conf里是否有下面这行,没有加上

AddHandler fastcgi-script .fcg .fcgi .fpl

PS:所有都是看源安装目录下的INSTALL文件。

4、apache相关配置

<IfModule mod_fastcgi.c>

FastCgiWrapper /usr/local/apache/bin/suexec

# URIs that begin with /fcgi-bin/, are found in /var/www/fcgi-bin/

Alias /fcgi-bin/ /var/www/fcgi-bin/

ScriptAlias /wws /var/www/fcgi-bin/b.fcgi

# Anything in here is handled as a “dynamic” server if not defined as “static” or “external”

<Directory /var/www/fcgi-bin/>

AllowOverride None

Options +ExecCGI -Includes

#SetHandler fastcgi-script

AddHandler fastcgi-script .fcg .fcgi

Order allow,deny

Allow from all

</Directory>

# Anything with one of these extensions is handled as a “dynamic” server if not defined as

# “static” or “external”. Note: “dynamic” servers require ExecCGI to be on in their directory.

#AddHandler fastcgi-script .fcgi .fpl

# Start a “static” server at httpd initialization inside the scope of the SetHandler

#FastCgiServer /var/www/fcgi-bin/echo -processes 3

# Start a “static” server at httpd initialization inside the scope of the AddHandler

#FastCgiServer /var/www/fcgi-bin/b.fcgi -processes 3 -user nobody -group nobody

#FastCgiServer /var/www/htdocs/some/path/echo.fcgi

# Start a “static” server at httpd initialization outside the scope of the Set/AddHandler

#FastCgiServer /var/www/htdocs/some/path/coolapp

#<Directory /var/www/htdocs/some/path/coolapp>

# SetHandler fastcgi-script

#</Directory>

</IfModule>

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

为Apache编译添加mod_expires模块出错的解决笔记[原创]

 

 

注:/usr/local/apache/为Apache的安装路径,/opt/httpd-2.0.55/为Apache的源代码目录。

Linux下,执行以下命令为Apache添加mod_expires模块:

/usr/local/apache/bin/apxs -i -a -c /opt/httpd-2.0.55/modules/metadata/mod_expires.c

报错:

引用

Warning! dlname not found in /usr/local/apache/modules/mod_expires.la.

Assuming installing a .so rather than a libtool archive.

chmod 755 /usr/local/apache/modules/mod_expires.so

chmod: 无法访问‘/usr/local/apache/modules/mod_expires.so’: 没有那个文件或目录

apxs:Error: Command failed with rc=65536

再执行:

gcc -shared -o /usr/local/apache/modules/mod_expires.so /opt/httpd-2.0.55/modules/metadata/mod_expires.o

/usr/local/apache/bin/apxs -i -a -c /opt/httpd-2.0.55/modules/metadata/mod_expires.c

编译成功。

###############################

这里我来解释下什么叫动态加载和静态加载?

说简单,并用打比喻的方式来解释.

好比有两个人a和m

a代表apache,m代表module

要想让a使用m的东西

一个方法是把m的东西都放到a那里去,a使用的时候就是现成的了

就是所谓的静态编译

还有一个方法,

就是告诉a, m的住址,当a要使用m的东西的时候,a去找m,然后使用

不过,这种方法要注意的一个问题就是:m必须要有实际的住址,

否则a会找不到m而产生错误的,我此文开始提到的 apachectl startssl产生

的错误就是这个原因,应该再编译好ssl才可以的.

这种方法也就是apache 的动态(DSO)编译了

静态:

在使用./configure 编译的时候,如果不指定某个模块为动态,即没有使用:enable-mods-shared=module或者enable-module=shared 这个2个中的一个,那么所有的默认模块为静态。 那么何谓静态? 其实就是编译的时候所有的模块自己编译进 httpd 这个文件中(我们启动可以使用这个执行文件,如: ./httpd & ) ,启动的时候这些模块就已经加载进来了,也就是可以使用了,通常为:<ifmodule> </ifmodule> 来配置。所以大家看到的配置都是 <ifmodule module.c> ,很显然,module.c这个东西已经存在 httpd这个文件中了。

动态:

就是编译的时候,使用enable-module=shared 或者enable-modules-shared=module 来动态编译。 那么什么是动态? 静态是直接编译进httpd中,那么动态显然就不编译进去了,也就是你启动的时候根本不会加载这个模块, 而是给你一个module.so 文件,你一定要使用 loadmodule 这个语法来加载,这个模块才有效。

那么区别就出来了:静态的模块通常是<ifmodule></ifmodule> 来配置, 动态使用loadmoule来加载,然后再配置。

首先看看编译apache的选项含义

对于apache 1.3.x

./configure –prefix=/usr/local/apache \

–enable-module=so \

–enable-module=most \

–enable-shared=max \

–enable-module=rewrite

对于apache 2.0.x

./configure –prefix=/usr/local/apache2 \

–enable-modules=most \

–enable-mods-shared=all \

–enable-so \

–enable-rewrite

对于apache 2.2.0

./configure –prefix=/usr/local/apache2 \

–enable-mods-shared=all \

–enable-so \

–enable-rewrite

举例一:编译一个apache2.2.8版本

# ./configure –prefix=/usr/local/apache –enable-so –enable-mods-shared=most –enable-rewrite –enable-forward

说明:

so模块用来提供 DSO 支持的 apache 核心模块.

–enable-so 选项:让 Apache 可以支持DSO模式,注意,这里采用的是 Apache2.0 的语法。如果你的Apache 是1.3版本,应改为–enable-module=so

–enable-mods-shared=most选项:

告诉编译器将所有标准模块都动态编译为DSO模块。

如果用的是 Apache1.3, 改为–enable-shared=max就可以。

-enable-rewrite选项:支持地址重写功能,使用1.3版本的朋友请将它改为–enable-module=rewrite

–enable-module=most

用most可以将一些不常用的,不在缺省常用模块中的模块编译进来.

–enable-mods-shared=all意思是动态加载所有模块,如果去掉-shared话,是静态加载所有模块.

举例二:

执行 ./configure –prefix=/server/apache/ \

–enable-deflate=shared \

–enable-headers=shared \

–enable-rewrite=shared \

–enable-mods-shared=most

–enable-mods-shared=all意思是动态加载所有模块,如果去掉-shared话,是静态加载所有模块。

–enable-mods-shared=most则是动态编译大部分常用的模块,当然,也可以有选择的加载一些模块,most意思是只包含通常用的模块,并且以动态加载模式加载. 记住apache1.xx和apache2.xx的模块编译写法是不一样的.

如已经安装好,到modules目录下,查看里面是否有一些.so文件,以此为扩展名的文件为模块文件。表明系统已经加载了模块,并且是动态方式加载的。如果modules目录下没有这些.so文件,表明系统没有动态加载模块。然后我们就点看看系统有没有通过静态方式加载一些模块,通过命令:apachectl -l 会列出系统已经加载的模块,且为静态方式加载的模块。

4。静态加载的模块不会显示在modules目录下,静态加载模块内嵌在系统里,如果想卸载该模块,Apache需要重新进行编译安装。静态加载的方法是配置时指定启动哪些模块,语法是:./configure –enable-deflate –prefix=/opt/http2 make make install ./bin/apachectl restart

5。动态加载的模块都会显示在modules目录下,要想让这些模块起作用,还需要在主配置文件里装载目录下的这些模块,语法是:LoadModule deflate_module modules/mod_deflate.so

6。模块加载后,要想让模块起作用,需要在配置文件里添加相应的配置信息,具体配置信息可参考Apache手册中关于模块配置部分。

7。要想让模块起作用,无论是通过静态方式加载的模块,还是通过动态方式加载的模块,都需要在配置文件里添加相应配置信息。区别是如下语法,动态加载的模块,在配置文件中只需要输入<IfModule >……</IfModule>里面的内容,但要是静态加载的模块,在配置文件中要保那对标记也写进配置文件。

<IfModule prefork.c>

StartServers 8

MinSpareServers 5

MaxSpareServers 20

ServerLimit 256

MaxClients 256

MaxRequestsPerChild 4000

</IfModule>

8。配置信息可以直接在主配置文件(httpd.conf)中进行添加,也可以在子配置文件中进行添加;不同的是如果配置信息写在子配置文件中,在主配置文件里还需要加一条语句,声明主配置文件包括子配置信息,语法是:Include conf.d/*.conf (声明主配置文件包括conf.d目录中的所有子配置文件里的信息)

9。 重启Apache服务, 语法是./bin/apachectl restart

httpd 命令

httpd -M 用来列出基于当前配置加载的所有模块

httpd -l 输出一个静态编译在服务器中的模块的列表。它不会列出使用LoadModule指令动态加载的模块

httpd -S 显示虚拟机的设置

httpd -t 对配置文件执行语法检查

httpd -v 显示httpd的版本

httpd -V 显示httpd的版本和编译参数

httpd -f 在启动中使用的配置文件

httpd -e levle 在服务器启动时,设置LogLevel为level 。它用于在启动时,临时增加出错信息的详细程度,以帮助排错

apachectl 命令

apachectl脚本有两种操作模式

1. 启动httpd ,并传递所有的命令行参数。

2. 作为SysV初始化脚本,接受简单的一个单词的参数,如:start, restart, stop ,并把他们翻译为适当的信号发送给httpap

apachectl start 启动apache httpd后台守护进程

apachectl stop 停止apache httpd后台守护进程

apachectl restart 重启apache httpd 后台守护进程

apachectl fullstatus 显示由mod_status提供的完整的状态报告.要使用这个功能,需要启用服务器上的mod_status模块

apachectl startssl 以支持SSL的方式启动httpd 需要ssl模块

apxs 命令

apxs是一个为Apache HTTP服务器编译和安装扩展模块的工具,用于编译一个或多个源程序或目标代码文件为动态共享对象

apxs -i -a -c mod_foo.c 将mod_foo.c 编译成共享模块

htpasswd命令

htpasswd建立和更新用于基本认证的存储用户名/密码的文本文件

htpasswd /usr/local/nagios/etc/htpasswd.users jsmith 添加或修改用户jsmith的密码

htpasswd -c /usr/local/nagios/etc/htpasswd.users jane 创建一个新文件并在其中添加一条用户jane的记录

AuthName “Access”

AuthType Basic

AuthUserFile /usr/local/nagios/etc/htpasswd.users

Require valid-user

下面是使用apxs工具给apache添加模块

添加的模块:

LoadModule proxy_module libexec/mod_proxy.so

LoadModule rewrite_module libexec/mod_rewrite.so

LoadModule headers_module libexec/mod_headers.so

添加方法:

1. 进入apache 源文件modules目录

cd apache/src/modules/

2. 安装 proxy_module

> cd proxy

> /user/local/apache/bin/apxs -i -a -c *.c

3. 安装 rewrite_module

> cd standard

> /user/local/apache/bin/apxs -i -a -c mod_rewrite.c

4. 安装 headers_module

> cd standard

> /user/local/apache/bin/apxs -i -a -c mod_headers.c

但是,用这种方法添加的proxy不可用,提示错误:

/apache/httpd/bin/apachectl configtest

httpd: Syntax error on line 58 of /apache/httpd-2.2.3/conf/httpd.conf: Cannot load /apache/httpd-2.2.3/modules/mod_proxy.so into server: /apache/httpd-2.2.3/modules/mod_proxy.so: undefined symbol: proxy_lb_workers

所以,应该这样:

在Linux系统下,需要给已经运行的Apache增加mod_proxy模块,编译的时候应该这样:

apxs -c -i mod_proxy.c proxy_util.c

否则你可能会收到这样的错误信息

[root@server1 proxy]# /apache/httpd/bin/apachectl configtest

httpd: Syntax error on line 58 of /apache/httpd-2.2.3/conf/httpd.conf: Cannot load /apache/httpd-2.2.3/modules/mod_proxy.so into server: /apache/httpd-2.2.3/modules/mod_proxy.so: undefined symbol: proxy_lb_workers

加载后重新启动Apache

[root@server1 proxy]# /apache/httpd/bin/apachectl start

这样我可就可以重用重写和代理功能了

关闭时:

/user/local/apache/bin/apxs -i -a -c mod_rewrite.c

启动时:

 

 

/user/local/apache/bin/apxs -c -i mod_rewrite.c

—————————————————

mod_ssl报错,装了最新的apache

 

今天回来发现apache不能启动了,郁闷,报的错误是mod_ssl无法加载,我把#LoadModule ssl_module modules/mod_ssl.so加截ssl的地方注释掉就好了。以前都配置好了的,今天怎么会不行了呢?我又重新把mod_ssl编译了一下,

cd /apache的解压目录/modules/ssl

[root@BlackGhost ssl]# /usr/local/apache/bin/apxs -c -i mod_ssl.c

ssl_private.h:541:14: error: declaration for parameter ’ssl_hook_UserCheck’ but no such parameter

ssl_private.h:540:14: error: declaration for parameter ’ssl_hook_Auth’ but no such parameter

ssl_private.h:537:14: error: declaration for parameter ’ssl_init_ModuleKill’ but no such parameter

ssl_private.h:536:14: error: declaration for parameter ’ssl_init_Child’ but no such parameter

mod_ssl.c:520:1: error: expected ‘{‘ at end of input

apxs:Error: Command failed with rc=65536

上面的报错只是最下面的一部分,搞了好长时间,没搞定,决定下个新的apache重装一下,顺便把安装过程说一下

一,安装httpd-2.2.16.tar.gz

wget http://www.apache.org/dist/httpd/httpd-2.2.16.tar.gz

tar zxvf httpd-2.2.16.tar.gz

cd httpd-2.2.16

./configure –prefix=/usr/local/apache –enable-ssl –enable-so –with-ssl=/us

make && make install

1,改documentroot和<Directory “/home/zhangy/www”>,把里面的默认路径改成你的web目录。

2,加载libphp.so

我记得以前装php的时候,会自动添加好下面的东西,但是这次我只升级apache,我还没找到libphp.c文件在什么地方,没法用apxs来重新编译,还是用以前的libphp5.so吧

LoadModule php5_module modules/libphp5.so

AddType application/x-httpd-php .php .phtml

AddType application/x-httpd-php-source .phps

AddType application/x-httpd-php .php

如果不加上面的东西,php代码无法解悉,会直接把源码显示出来

3,修改user和group,你看一下user后面的用户,在你的系统中有没有,如果没有的话,你启动apache后,查看页面时会forbidden错误,改成你指定的用户,当然这个用户必有在你的系统中。

# User/Group: The name (or #number) of the user/group to run httpd as.

# It is usually good practice to create a dedicated user and group for

# running httpd, as with most system services.

#

User zhangy

Group users

二,编译mod_ssl模块看看报不报错

cd /apache的解压目录/modules/ssl

/usr/local/apache/bin/apxs -c -i mod_ssl.c

make && make install

下面是安装时候显示出来的信息

Libraries have been installed in:

/usr/local/apache/modules

If you ever happen to want to link against installed libraries

in a given directory, LIBDIR, you must either use libtool, and

specify the full pathname of the library, or use the `-LLIBDIR’

flag during linking and do at least one of the following:

– add LIBDIR to the `LD_LIBRARY_PATH’ environment variable

during execution

– add LIBDIR to the `LD_RUN_PATH’ environment variable

during linking

– use the `-Wl,–rpath -Wl,LIBDIR’ linker flag

– have your system administrator add LIBDIR to `/etc/ld.so.conf’

See any operating system documentation about shared libraries for

more information, such as the ld(1) and ld.so(8) manual pages.

———————————————————————-

chmod 755 /usr/local/apache/modules/mod_ssl.so

现在编译就没有报错了,我觉得肯定是因为我升级的原因,并且只是升级了一部分。安装的时候,我已经内建了mod_ssl所以就不用在加载了。如果加了的话,会提示module ssl_module is built-in and can’t be loaded

[root@BlackGhost misc]# /usr/local/apache/bin/apachectl configtest

Syntax OK

 

对apache2的模块如果动态编译通常可以使用 /path/apxs -c *.c来完成

但对 mod_ssl编译是会有一些问题

如:

出现

Unrecognized SSL Toolkit!

是由于 HAVE_OPENSSL这个没有define

需要增加 -DHAVE_OPENSSL

undefined symbol: ssl_cmd_SSLMutex

undefined symbol: X509_free

通产是由于静态连接了 openssl的库照成的(默认)。

需要使用 -lcrypto -lssl -ldl

命令如下:

/path/apxs -I/path/openssl/include -L/path/openssl/lib -c *.c -l crypto -l ssl -l dl

openssl 编译的时候需要增加 shared参数

 

/usr/local/apache2/bin/apxs -a -i -c -D HAVE_OPENSSL=1 -I /usr/include/openssl/ -L /usr/lib/openssl/engines/lib ./mod_ssl.c

 

 

 

 

 

—————————

Apache 编译参数的区别

1、 ./configure –prefix=/usr/local/apache

其中,下面这两个参数加不加都是一样的。

–enable-so、–enable-so=static

[root@haha bin]# ./apachectl -M

Loaded Modules:

core_module (static)

authn_file_module (static)

authn_default_module (static)

authz_host_module (static)

authz_groupfile_module (static)

authz_user_module (static)

authz_default_module (static)

auth_basic_module (static)

include_module (static)

filter_module (static)

log_config_module (static)

env_module (static)

setenvif_module (static)

mpm_prefork_module (static)

http_module (static)

mime_module (static)

status_module (static)

autoindex_module (static)

asis_module (static)

cgi_module (static)

negotiation_module (static)

dir_module (static)

actions_module (static)

userdir_module (static)

alias_module (static)

so_module (static)

Syntax OK

———————————————————–

2、./configure –prefix=/usr/local/apache –enable-mods-shared=most(编译大部分常用模块,也可以是all,即编译所有模块。)

[root@haha apache]# bin/apachectl -M

Loaded Modules:

core_module (static)

mpm_prefork_module (static)

http_module (static)

so_module (static)

———————————— 下面是动态加载的模块

authn_file_module (shared)

authn_dbm_module (shared)

authn_anon_module (shared)

authn_dbd_module (shared)

authn_default_module (shared)

authz_host_module (shared)

authz_groupfile_module (shared)

authz_user_module (shared)

authz_dbm_module (shared)

authz_owner_module (shared)

authz_default_module (shared)

auth_basic_module (shared)

auth_digest_module (shared)

dbd_module (shared)

dumpio_module (shared)

ext_filter_module (shared)

include_module (shared)

filter_module (shared)

substitute_module (shared)

deflate_module (shared)

log_config_module (shared)

logio_module (shared)

env_module (shared)

expires_module (shared)

headers_module (shared)

ident_module (shared)

setenvif_module (shared)

mime_module (shared)

dav_module (shared)

status_module (shared)

autoindex_module (shared)

asis_module (shared)

info_module (shared)

cgi_module (shared)

dav_fs_module (shared)

vhost_alias_module (shared)

negotiation_module (shared)

dir_module (shared)

imagemap_module (shared)

actions_module (shared)

speling_module (shared)

userdir_module (shared)

alias_module (shared)

rewrite_module (shared)

分类
网络新闻

微软更新数字证书列表补丁KB2798897

微软发布了KB2798897更新数字证书列表安全补丁,带来了全新版本的证书信任列表,面向所有Windows版本,以抵御一种已知的黑客攻击。

根据微软安全公告,TURKTRUST发布的一个数字证书是欺诈认证,而这个欺诈认证可能被用来骗取内容、执行网络钓鱼攻击,或执行中间人攻击。微软已经发现了利用此欺诈数字证书进行的攻击,这一问题影响所有Windows版本,包括Windows 8、Windows RT。

微软更新了证书信任列表,并且提供了安全更新KB2798897,删除了导致上述问题的受信任证书。开启了自动更新的用户无需执行任何操作,但是Windows XP和Windows Server 2003以及那些关闭了自动更新的用户,就需要手动下载并安装这个更新。

KB2798897补丁官方下载:http://support.microsoft.com/kb/2798897

分类
知识中心

安装win2008r2、域控、IIS、证书服务器(四)

九、架设证书服务器

exchange2010需要证书支持,exchange2010安装之后会默认开启ssl,在IE中只能使用https://而不是http://来访问owa。如果没有SSL证书,也能安装exchange2010,也能使用owa,但是会不断有告警出现。所以,要先架设证书服务器,自己给自己发证书。

1、服务器管理器—单击角色—右边添加角色—下一步—勾选active directory证书服务

2、点击下一步后,告诉你如果要架设证书服务器,就不能够再修改服务器的名字和域了,免得骗子证书满天飞。再次点击下一步。

3、默认只有安装证书颁发机构,除此之外,联机响应程序、web注册功也可以安装,web注册功能需要前面已经安装的IIS的asp支持。其他的服务要么不能与证书颁发机构同一批安装,要么需要其他环境支持,都暂时不用安装了。点击下一步。

安装win2008r2、域控、IIS、证书服务器(四)-1

4、安装类型里面选择企业。

有2大类,企业根CA和独立根CA,各自又有一个从属的CA。从属CA是为上级CA授权给下级CA机构来颁发证书准备的,就范围和功能性而言,企业CA较独立CA更广,更强大。比如独立CA无法使用证书模板,而企业CA可以。还有一点就是一个网络上首个安装的CA必须为根CA,若是企业根CA则必须有域环境,这里我们就选择第一个。(这句话完全是抄袭别人的,抄袭起来果然比自己打字轻松)简单说,企业更牛。

必须是 Domain Admins 组的成员或者是具有 AD DS 写入权限的管理员才能安装企业根 CA。我们一直在使用administrator进行操作,它当然具有这个权限。

ca类型是根ca

5、设置私钥

新建私钥,默认设置,勾选允许交互操作,点击下一步。

6、配置ca名称,默认,点击下一步。证书有效期,默认5年,点击下一步。数据库位置和日志位置默认,点击下一步。

7、确认,安装。告警信息再次提醒部署了ca服务器后就不能修改计算机名称和域了。

8、完成安装。

安装win2008r2、域控、IIS、证书服务器(四)-1

9、开始—管理工具—证书颁发机构(certsrv.msc),就可以打开证书服务器管理了。如果在安装IIS的时候没有启用asp,当安装完毕证书服务和web注册后也,也会开启asp.net和asp服务。

10、如果要安装余下的证书服务。控制面板—打开或关闭windows功能—展开角色—actice directory 证书服务 右键点击—添加角色服务

11、勾选想要安装的其他角色服务,该选项如果有附带角色服务要求,点击 添加所需的角色服务即可。

安装win2008r2、域控、IIS、证书服务器(四)-1

证书服务器的其他角色服务可能更好用,不过我这里没有继续添加了。

12、安装了web注册后,就可以在开始—管理工具—internet信息服务(IIS)管理器—网站—default web site—点击右侧 “查看应用程序”看到/certsrv程序已经被添加了。

 安装win2008r2、域控、IIS、证书服务器(四)-2

13、ie中输入192.168.1.61/certsrv,出现登陆框,(使用administrator和xitongguanliyuanmima0)就可以登录证书服务了。这里暂时不登陆,等到准备好证书申请文件后,再登陆。

 安装win2008r2、域控、IIS、证书服务器(四)-4

14、升级后重启服务器。

15、查看证书服务器和证书

在开始—管理工具—点证书颁发机构—右键点击omohome-omoserver-ca—选属性,可以看到0号证书,这是证书服务器颁发给自己的根证书。

点击查看证书,可以看到详细信息。

安装win2008r2、域控、IIS、证书服务器(四)-6

展开颁发的证书,可以看到颁发给域控服务器的2号证书,这份证书在安装了证书服务器,并重启了以后,才会颁发,重启之前是看不到的。

安装win2008r2、域控、IIS、证书服务器(四)-3

展开服务器管理器—web服务器(IIS)—点击internet信息服务(IIS)管理器—右侧展开omoserver—点开服务器证书(可以在筛选里找证书),可以看到刚才的两个证书,他们默认的到期时间是不一样的。第一个是颁发给域控的证书,第二个是颁发给证书服务器自己的证书。

安装win2008r2、域控、IIS、证书服务器(四)-6

十、启用站点的ssl

现在完成了IIS、证书服务器的架设,服务器里已经有两个证书,可以试验开启站点的ssl了。

1、开始—管理工具—internet 信息服务(IIS)管理器—omoserver—网站—default web site—右侧点击绑定—添加—类型选择https—ssl证书从我们现有的两个证书中随便选一个,确认后就打开了ssl。

安装win2008r2、域控、IIS、证书服务器(四)

现在用192.168.1.61来访问主页,还是原状保持不变。如果使用https://192.168.1.61来访问就会发生变化。

安装win2008r2、域控、IIS、证书服务器(四)-10

这是因为我们刚才绑定的ssl证书是给域控服务器发放的,与输入的192.168.1.61不匹配,所以出现一个警告,点击继续浏览此网站,可以看到页面,但是地址框变成了红色,表示站点证书异常,需要小心。点击证书错误,可以查看解释和证书内容。

安装win2008r2、域控、IIS、证书服务器(四)-5

2、现在,通过http://192.168.1.61和https://192.168.1.61都可以访问,但在完成exchange的部署后,http访问就会失效,只能通过https来访问。打开开始—管理工具—internet 信息服务(IIS)管理器—omoserver2—网站—default web site—ssl设置,当完成exchange的架设后,ssl设置将被默认勾选。双击ssl设置,如果我们勾选这里的要求ssl,那么我们的网站也不能通过http来访问了。在exchange部署完成后,如果不想麻烦,可以在这里取消ssl的勾选,然后点应用,或者在站点的绑定里面删除掉https的绑定。

 安装win2008r2、域控、IIS、证书服务器(四)-9

十一、为站点制作证书申请、申请证书、安装证书

在架设好证书服务器后,可以给站点制作、申请、安装一个证书来保证ssl的使用。

ssl本证书来是为了提高安全性,为了没有告警关闭这个选项不是最好的解决办法,应该通过安装证书来保证ssl证书的使用。有两个方法得到证书,一是向全球公认的证书提供商申请证书然后安装,一是自己架设证书服务器给自己发证书。我们前面已经建设好了证书服务器,可以向自己的服务器申请证书。

申请购买地址:http://www.ert7.com/symantecs.html

CA即Certificate Authority ,也就是证书授权中心,Internet 服务器证书由公共证书颁发机构 (CA) 颁发。若要获取 Internet 服务器证书,首先要向 CA 发送申请,然后安装从 CA 发送来的 Internet 服务器证书

1、打开 IIS 管理器,点击omoserver2,中间IIS栏目下找到服务器证书,双击(也可以在筛选中输入”证书”快速查找。)

2、在右边”操作”窗格中,单击”创建证书申请”。

3、在”申请证书”向导的”可分辨名称属性”页上,填写信息,然后单击”下一步”。这里写的证书名称必须和网站的名称一致。比如,想要认证的网站叫做omoserver2.omohome.com,那么名称就一定要填写这个。即使192.168.1.61与它指向的是同一个页面,也不能填写成192.168.1.61,否则在使用中会出现客户端输入的网站名字与证书名字不符合,认证告警的情况。其他内容都可以随便填写。

安装win2008r2、域控、IIS、证书服务器(四)-10

4、加密默认,位长默认,单击”下一步”。

5、在”文件名”页上的”为证书申请指定一个文件名”文本框中,键入一个文件名;可以单击该页上的浏览按钮 (…) 来指定保存位置和名字。我将证书放在我的文档下面,名字叫做omo的证书申请文件,默认是txt文件。

6、到我的文档里面一看,一个证书申请文件做出来了。打开证书,看到一大堆XXX文字,这是加密了的内容。然后,如果有钱有闲,去国际公认的证书发行公司申请证书吧。证书多少钱一个?不知道。申请文件发给谁?不知道。多少时间证书做好发回来?不知道。貌似一个网上缴税的ca证书是80元,貌似taobao的证书不要钱,貌似盗版服务器搞证书很纠结。

还是将这个文件发到我们自己的证书服务器里面去认证吧。

7、证书申请文件“omo的证书申请文件.txt”已经准备好,放在我的文档了;证书服务器已经架设好,可以web访问了。现在开始申请证书。

A、先在服务器IE中把http://192.168.1.61/添加为可信任的站点,信任站点安全降到最低。(这是为了下载插件的时候不被IE阻止)

安装win2008r2、域控、IIS、证书服务器(四)

B、在服务器的ie中输入http://192.168.1.61/certsrv,出现登陆框,使用administrator2和xitongguanliyuanXXXX0)登录。点击申请证书,点击高级证书申请,选第二项64编码的XXXXXX

C、找到我的文档中的“omo的证书申请文件.txt”,打开,将内容全部拷贝。

 安装win2008r2、域控、IIS、证书服务器(四)-7

安装win2008r2、域控、IIS、证书服务器(四)-16

D、点击“是”,确认操作,默认der编码证书,然后点击下载证书。将做好的证书保存到我的文档。

安装win2008r2、域控、IIS、证书服务器(四)-13

8、已经完成了架设证书服务器— 证书申请文件制作—向架设的证书服务器申请证书的工作,剩下就是将得到的证书导入了。

开始—管理工具—internet 信息服务(IIS)管理器—omoserver2—证书服务器—点右边的完成证书申请,在我的文档中找到刚才下载的证书,好记名字随便写,一路确定完成证书导入。

现在在开始—管理工具—internet 信息服务(IIS)管理器—omoserver—证书服务器里面就有3个证书了,从上到下分别是发给域控的证书、证书服务器自己发给自己的证书、刚才导入的证书。

安装win2008r2、域控、IIS、证书服务器(四)-8

9、证书导入后,还没有和网站绑定。开始—管理工具—internet 信息服务(IIS)管理器—omoserver2—网站—default web site—右侧点击绑定—弹出对话框中点击添加—类型https,ssl证书选择下拉框中找到刚才导入的证书,一路确认。(如果前面已经绑定的证书还是域控的证书,这里就可以把它更换成给网站的证书了)

10、在服务器的IE中输入

http://omoserver2.omohome.com/和https://omoserver2.omohome.com/都可以访问。当输入https://omoserver2.omohome.com/时打开的页面出现了变化,地址栏后面出现了一把锁,表示已经加密,点击锁可以看到说明。

安装win2008r2、域控、IIS、证书服务器(四)-15

11、这时,再到客户端的IE中输入https://omoserver2.omohome.com/,任然有证书错误的告警,这是因为客户端还没有信任我们自己建设的证书服务器。在客户端的IE中把http://192.168.1.61/添加为可信任的站点,登陆http://192.168.1.61/certsrv,输入密码后,点击 下载 CA 证书、证书链或 CRL—下载ca证书—保存到桌面。在桌面打开刚刚下载的证书,可以看到此根证书不受信任的告警,点击安装证书—下一步—选择将所有的证书放入下列存储—浏览—选择 受信任的根证书颁发机构—然后一路选择确认和是。导入完成后,再打开桌面的证书,可以看到证书告警已经消失了。

安装win2008r2、域控、IIS、证书服务器(四)-20

 

12、再次在客户端IE中打开https://omoserver2.omohome.com/,正常的锁出现了,证书安装完毕。这个认证只针对omoserver2.omohome.com这个名字,如果用192.168.1.61来登录,因为名字和证书不一样,就算他们指向同一个网站,也会告警。

13、给每一台客户端电脑都安装证书保证他们都不会告警。

如果打算不启用ssl,那么可以不设置九、十、十一

除去证书设置以外的所有的部署前准备工作可以在

http://technet.microsoft.com/zh-cn/library/bb691354(EXCHG.140).aspx

中查询。不布置证书的准备是非常快的。

依然要升级,存档