[SSL] IIS 憑證轉移到 Apache

一、先將IIS憑證匯出
1‧請點選「開始→執行」，並輸入『mmc』指令後，按確定：

2‧會出現「主控台」管理工具：

3‧請點選工具列上的「主控台」，並執行「新增/移除嵌入式管理單元」：

4‧如下管理視窗後，請按下「新增」：

5‧出現如下管理視窗後，將視窗拉至最後，並選擇「憑證」後，按「新增」：

6‧點選「電腦帳戶」選項：

7‧請點選「本機電腦」後，按下「完成」：

8‧完成後，您可以在管理視窗中看到「憑證」，並按下「確定」鈕：

9‧在展開樹狀結構後，您可以看申請的伺服器憑證，如下：

10‧在該憑證上按右鍵，選擇「所有工作→匯出」，啟動憑證精靈：

11‧啟動「憑證匯出精靈」，按「下一步」：

12‧請點選「匯出私密金鑰」選項後，按「下一步」：

13‧請勾選「如果可能的話，在憑證路徑中包含所有憑證」及「啟用加強保護」這2個選項：

14‧請輸入密碼，以保護您的私鑰：

15‧請設定存放之位置，並請注意副檔名應為 .pfx： 16‧已將憑證成功匯出：

二、匯入apache

1. 透過 Apache 2.2 所附的 openssl.exe 工具進行檔案格式的轉換
   1. 先開啟「命令提示字元」視窗，並進入 C:\Program Files\Apache Software Foundation\Apache2.2\bin 目錄
   2. 執行以下指令：
      

      C:\...\Apache2.2\bin> openssl.exe pkcs12 -in c:\mycert.pfx -out c:\mycert.txt -nodes
      Enter Import Password:
      MAC verified OK

      當你輸入 openssl.exe pkcs12 -in c:\mycert.pfx -out c:\mycert.txt -nodes 指令後，會被要求再次輸入憑證密碼，若驗證正確就會建立一個 c:\mycert.txt 檔案。
   3. 這時用記事本開啟 c:\mycert.txt 檔案，裡面同時包含兩個憑證，分別是 伺服器私鑰(RSA PRIVATE KEY) 與 伺服器憑證(CERTIFICATE)。
   4. 請在 C:\Program Files\Apache Software Foundation\Apache2.2\conf 目錄下先建立兩個空檔案，檔名分別是 server.key 與 server.crt
   5. 這時將 c:\mycert.txt 檔案中的兩個憑證內容分別複製到這兩個檔案內，檔案的內容應該只包括 -----BEGIN *----- 到 -----END * ----- 的內容，c:\mycert.txt 中其他的資料都不能出現在這兩個檔案中。
      1. server.key 的內容會像如下的內容

         -----BEGIN RSA PRIVATE KEY-----
         AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
         BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
         AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
         BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
         ................
         ................
         BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
         AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
         BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
         AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==
         -----END RSA PRIVATE KEY-----

      2. server.crt 的內容會像如下的內容
         

         -----BEGIN CERTIFICATE-----
         AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
         BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
         AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
         BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
         ........
         ........
         BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
         AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
         BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
         AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==
         -----END CERTIFICATE-----

三、設定SSL

1. 編輯 C:\Program Files\Apache Software Foundation\Apache2.2\conf\httpd.conf 檔案
   1. 取消註解 LoadModule ssl_module modules/mod_ssl.so
   2. 取消註解 Include conf/extra/httpd-ssl.conf
2. 編輯 C:\Program Files\Apache Software Foundation\Apache2.2\conf\extra\httpd-ssl.conf檔案
1. 將此檔中所有 _default_ 都改成 *
2. 取消註解 SSLCertificateChainFile "C:/Program Files/Apache Software Foundation/Apache2.2/conf/server-ca.crt"

四、重開Apache

參考:

http://blog.miniasp.com/post/2008/09/26/How-to-migrate-SSL-key-from-IIS-to-Apache.aspx

凱森興業_IIS6備份手冊_匯出