目的我們的目標是安裝一個允許我們托管多個網(wǎng)站的web服務(wù)器�����,其中一些是針對電子商務(wù)的安全解決方案���,而大部分網(wǎng)站是通過連接一個數(shù)據(jù)庫服務(wù)器并且提取其數(shù)據(jù)的腳本驅(qū)動的�����。
為了這個任務(wù)所需的工具是:
Apache-一個網(wǎng)站服務(wù)器
Mod_SSL-一個安全套接字層(SSL)的模塊
OpenSSL-開放源代碼工具箱(mod_ssl所需)
RSARef-僅對美國用戶
MySQL-一個數(shù)據(jù)庫服務(wù)器
PHP-一種腳本語言
“條條大路通羅馬”……因此這只是很多能達到我們要求的配置之一�。我選擇這樣的配置����,是因為它是最簡單和最快的一種。選擇Mod_SSL/OpenSSL的原因是因為我有它的先前經(jīng)驗����,是最快配置和最容易安裝的一種。為了彼此方便地與Apache集成�����,我選擇了PHP和MySQL。記住��,Perl能做到你想要做任何工作���,然而���,PHP對任何想學(xué)習(xí)它地程序員來說簡單并且容易。
希望你將在結(jié)束這個簡單的指南后能成功地完成下列目標���。
安裝并設(shè)置MySQL數(shù)據(jù)庫服務(wù)器
o 知道怎樣檢查MySQL服務(wù)器的狀態(tài)
o 知道怎樣使用命令行客戶程序存取MySQL服務(wù)器
o 知道怎樣從web存取你的DB服務(wù)器
安裝并設(shè)置具備SSL的Apache網(wǎng)站服務(wù)器
o 配置一個簡單的虛擬網(wǎng)站
o 知道怎樣停止并啟動服務(wù)器
o 知道怎樣做一些基本的主機托管配置
安裝并配置服務(wù)器端腳本的PHP 4.0超文本預(yù)處理器
o 知道怎樣編寫簡單的php代碼
o 知道怎樣使用php連接一個DB
o 創(chuàng)建一個啟用PHP地簡單網(wǎng)站與一個數(shù)據(jù)庫溝通
創(chuàng)造一些樣本證書用于Apache SSL
o 知道怎樣產(chǎn)生一個CSR文件
o 知道怎樣加密一個鍵碼
o 知道怎樣 簽署你自己的證書
本文將覆蓋大量的信息��。本指南作為一個入門性地的指南����,讓你步入電子商務(wù)�����、網(wǎng)站腳本和安全套接字層 (SSL)的世界����,目的是幫助你建立由存儲在數(shù)據(jù)庫中的動態(tài)信息驅(qū)動的安全網(wǎng)站�����。
本文絕非是一個詳細全面的文檔,它當(dāng)然將有一些錯誤(希望最小)����,在你閱讀它時請記住這一點。然而��,它將激起你的熱情并運行前面提到的產(chǎn)品���,希望讓你更好理解這些東西是怎樣工作的��。不需要以前的編程知識�,但假定你有點計算機知識背景�。我的目標是編寫這個文檔以便任何新手能理解我正在談?wù)摰臇|西。如果我達到了�,那么我做了一件好事。如果你輕而易舉地建立了電子商務(wù)站點�����,比我做的更出色:-) 給我一些解釋�����。
假設(shè)
本文假設(shè)你已經(jīng)把下列軟件安裝在你的系統(tǒng)上了。
Perl (最好是ver 5+)
gzip或gunzip
gcc 和 GNU make
如果你沒有安裝好這些��,你將需要采取必要的步驟在解釋本文的任何過程前把他們安裝好��。
你也需要對UNIX命令�、HTML、和SQL的一個基本了解���。你應(yīng)該有怎樣管理你的Linux機器的一個基本了解�。你也需要一個完全正常的Linux機器���,你將在它上面安裝軟件����。當(dāng)然你將需要在前面列出的必要的軟件包以編譯源代碼��,并且最后�,保證你還沒有在Linux機器中預(yù)裝了MySQL、Apache�、或PHP。
工作原理
理解在幕后發(fā)生了什么是有幫助的��。這里是一個過分簡化的工作原理,下圖和隨后的解釋目前不是完全正確的���,只是它的一個要點概述:
情況是:我們有一個從一個數(shù)據(jù)庫取出一些數(shù)據(jù)的網(wǎng)頁。John Doe從他的瀏覽器請求該頁�,請求被發(fā)送給web服務(wù)器,接著調(diào)用一個PHP腳本����。PHP腳本由PHP預(yù)處理器解釋并從數(shù)據(jù)庫中取出數(shù)據(jù),然后結(jié)果由余下的PHP腳本加工并轉(zhuǎn)化成HTML����,做后的HTML被發(fā)回用戶的瀏覽器。
讓我們一步一步地看:
John Doe 從他的瀏覽器中點擊一個鏈接�;他的瀏覽器發(fā)送對http://www.yourserver.com/test.php的請求。
Apache得到對test.php的請求�����,它知道.php文件應(yīng)由PHP預(yù)處理器(mod_php)處理����,因此它通知 PHP處理它。它知道這些����,是因為我們在Apache的配置中指定它��。
test.php是包含命令的一個PHP腳本�����。這些命令之一是打開一個到一個數(shù)據(jù)庫的連接并抓取數(shù)據(jù)����。PHP 處理到數(shù)據(jù)庫的連接����,并且解釋SQL調(diào)用從DB中提取數(shù)據(jù)。
服務(wù)器服務(wù)器得到從PHP解釋器來的連接請求���,并且處理這個請求��。請求可能是類似于一個簡單的選擇語句����,或數(shù)據(jù)庫表創(chuàng)建等���。
數(shù)據(jù)庫然后將應(yīng)答和結(jié)果回送到PHP解釋器����。
Apache回送該結(jié)果到John Doe的瀏覽器,作為對他請求的應(yīng)答�。John Doe現(xiàn)在看見一個包含從一個數(shù)據(jù)庫來的一些信息的網(wǎng)頁。
如果這是一個對https://www.yoursecureserver.com/test.php的請求�����,整個過程與上述類似���,除了每個請求和應(yīng)答在兩端被加密和解密,即����,瀏覽器連接Apache,獲得它的加密鍵碼����,加密請求并發(fā)送它。
服務(wù)器看到請求���,解密并且認證它��。它處理文件�����,加密并且發(fā)送它�。然后瀏覽器用服務(wù)器的鍵碼解密它。記住既然連接被加密��,就是用不同的端口用���。端口80用在在非安全連接上��,而端口443用在安全連接時�����。
再說一次�,它不是100%的正確��,但是它足夠快地讓你知道幕后發(fā)生的事情的非常簡單的概述����。
既然我們對我們正在試圖達到的目標有了一個很基本的了解,讓我們繼續(xù)安裝軟件吧�����。
準備
Apache (Web服務(wù)器)-http://www.
Mod_SSL (安全服務(wù)器層)-http://www.
OpenSSL (SSL工具箱)-http://www.
PHP (腳本語言)-http://www.
MySQL (SQL數(shù)據(jù)庫服務(wù)器 )-http://www.
下載所有(tar文件)源代碼到一個臨時目錄下。保證你把他們放在有很多空間的地方……你應(yīng)該以root身份下載他們以避免權(quán)限問題��。
我們的計劃
我們的計劃是首先安裝MySQL服務(wù)器并保證它工作�����,然后我們將安裝PHP和Mod_SSL�,最后我們將安裝Apache網(wǎng)站服務(wù)器。在我們安裝了Apache以后��,我們可以測試PHP和Mod_SSL支持是否起作用了�����。
MySQL源代碼安裝(UNIX)
你必須用來執(zhí)行安裝MySQL源代碼分發(fā)的基本命令是(自一個沒解開“tar”文件):
通過使用su成為 root用戶���。
$su
直接進入你有tar文件的目錄。(使用一個臨時目錄��。這里使用 /tmp/download/ )
#cd /tmp/download/
使用下列命令提取文件�����。
# gunzip -d -c mysql-3.22.xx.tar.gz | tar xvf -
改變到新目錄���,它在提取期間創(chuàng)建�。
# cd mysql-3.22.xx
現(xiàn)在你可以開始“配置”MySQL服務(wù)器。你可以用configure指定很多選項�����,使用configure --help查看所有的選項����。我已經(jīng)選擇--prefix指定到安裝地點的直接路徑。configure將檢查你的編譯器和一些其他東西�。如果你有任何錯誤,你可以檢查config.cache文件查看錯誤�����。
# configure --prefix=/usr/local/mysq
在你完成了配置以后��,你可以執(zhí)行下列命令make真正的二進制代
碼��。
# make
現(xiàn)在你已準備好安裝所有的二進制代碼�。運行下列命令在你用configure --prefix選項指定的目錄下安裝二進制代碼。
# make install
在你安裝好二進制代碼后����,現(xiàn)在是創(chuàng)建用于定義權(quán)限的mysql表的時候了��。
# scripts/mysql_install_db
# cd /usr/local/mysql/bin
# ./safe_mysqld &
# ./mysqladmin -u root password "new-password"
注意:/usr/local/mysql是我選擇安裝MySQL服務(wù)器的目錄�����。你可以通過改變目錄選擇另外的地方���。
你可以通過運行一些簡單的測試來驗證服務(wù)器正在工作以確保MySQL正在運行。輸出應(yīng)該類似于下面所示的:BINDIR=/usr/local/mysql/bin�����。BINDIR依賴于你在上面的前綴選擇的目錄�����。
# BINDIR/mysqlshow -p
+---------------+
| Databases |
+---------------+
| mysql |
+---------------+
一旦你安裝好MySQL����,它將自動地創(chuàng)建2個數(shù)據(jù)庫��。一個mysql表��,它控制在實際的服務(wù)器中用戶���、主機和 數(shù)據(jù)庫權(quán)限�;另一個是一個test數(shù)據(jù)庫,我們能使用test數(shù)據(jù)庫�����。然而�����,我們想給你一個快速而簡單的MySQL可用的一些命令行選項的概述��。這也將保證root被設(shè)置了對DB服務(wù)器的全部存取權(quán)限����,即:root有創(chuàng)建數(shù)據(jù)庫、數(shù)據(jù)庫表等的許可�,因此我們將創(chuàng)建一個test2數(shù)據(jù)庫,在以后我們用它進行我們的測試�。在你通過命令行進入MySQL前,你將被提示root用戶的新口令����。記住你以前改變了它。
# mysql -u root -p
mysql> show databases;
+----------------+
| Database |
+----------------+
| mysql |
| test |
+----------------+
mysql> create database test2;
Query OK, 1 row affected (0.00 sec)
現(xiàn)在選擇新的數(shù)據(jù)庫使用����,并創(chuàng)建一個名為tst_tbl的新表, 有下列2個字段�����。字段1是是一個id字段����,允許你知道記錄的id����。實質(zhì)上為了簡化這只是的一個行號。第二個字段是你一個name字段�����,存儲書名信息�����。這些字段的格式是:字段1(id)是一個長度為3的整數(shù)(int)��,而字段2(name)是一個長度為50的字符(char)字段����。為搜索和索引數(shù)據(jù),我們指定id為鍵碼�。
mysql> use test2;
Database changed
mysql> CREATE TABLE books ( id int(3) not null
-> auto_increment, name char(50) not null,
-> unique(id), primary key(id));
Query OK, 0 rows affected (0.00 sec)
現(xiàn)在我們用下列命令驗證一切正確無誤。
mysql> show tables
+---------------------+
| Tables in test2 |
+---------------------+
| books |
+---------------------+
1 row in set (0.00 sec)
mysql> describe books;
+-------+-------------+------+------+----------+------------------------+
| Field | Type | Null | Key | Default | Extra |
+-------+-------------+------+------+----------+------------------------+
| id | int(3) | | PRI | 0 | auto_increment |
| name | char(50) | | | | |
+-------+-------------+------+------+----------+------------------------+
2 rows in set (0.00 sec)
注意到describe命令基本上“描述”了表的布局��。相當(dāng)不錯吧��!
好����,該試一些確實有用的SQL命令,插入并從數(shù)據(jù)庫中選擇數(shù)據(jù)����,現(xiàn)在把幾個記錄加到新表中。記住這些是簡單的書名記錄�����,但是一旦你獲得了SQL足夠的經(jīng)驗��,你可以為一些大的電子商務(wù)站點創(chuàng)建確實復(fù)雜的數(shù)據(jù)庫���。讓我們創(chuàng)建2本假想的書的2條記錄���。第一條記錄是我在將來某天寫的一本書的名字-“PHP 4 Newbies”�,另一本是一個很有用的Linux書���,“Red Hat Linux 6 Server”���, 由Mohammed J. Kabir所著。
mysql> INSERT INTO books (name) values("PHP 4 Newbies");
Query OK, 1 row affected (0.00 sec)
mysql> INSERT INTO books (name) values("Red Hat Linux 6 Server");
Query OK, 1 row affected (0.00 sec)
現(xiàn)在我們可以檢查新紀錄���,發(fā)出一條“選擇所有”命令
mysql> SELECT * from books;
+----+----------------------------------+
| id | name |
+----+----------------------------------+
| 1 | PHP for Newbies |
| 2 | Red Hat Linux 6 Server |
+----+----------------------------------+
2 rows in set (0.00 sec)
很好�����,MySQL服務(wù)器完全起作用了��。我們可以繼續(xù)加入�����,但是此時沒什么意義��。注意到當(dāng)你向數(shù)據(jù)庫中插入記錄時����,你怎樣不必指定id號���,這是因為你創(chuàng)建了啟用auto_increment選項的id字段��。
讓我演示一下如何做一個快速刪除�。這只是讓你知道�����,記住��,你可在MySQL的網(wǎng)站http://www.mysql.com上找到所需的有關(guān)mysql命令和服務(wù)器的所有信息���。
mysql> delete from books where id=1;
Query OK, 1 row affected (0.00 sec)
mysql> select * from books;
+----+-----------------------------------+
| id | name |
+----+-----------------------------------+
| 2 | Red Hat Linux 6 Server |
+----+-----------------------------------+
1 row in set (0.00 sec)
好了����,退出MySQL����,繼續(xù)安裝。你可在完成所有安裝并且一切工作正常后玩MySQL也不遲��。
PHP安裝(UNIX)
現(xiàn)在安裝PHP語言�。你下載了最新的beta版,但是你可能必須下載非beta版本。記住beta版本需要GNU make���。
你仍然假定是root���,如果不是,su回到root����。
PHP要求你已經(jīng)預(yù)先配置好的Apache,以便它能知道所需的東西在哪兒�����。在以后你安裝Apache服務(wù)器時���,你將會回到這里����。改變到你有源代碼的目錄�。
# cd /tmp/DOWNLOAD
# gunzip -c apache_1.3.x.tar.gz | tar xf -
# cd apache_1.3.x
# ./configure
# cd ..
好的,現(xiàn)在你可以開始PHP的安裝�����。提取源代碼文件并進入其目錄。如果你下載了版本3�����,在數(shù)字和命令上有一個改變���,不大的改變。
# gunzip -c php-4.0.x.tar.gz | tar xf -
# cd php-4.0.x
如果你正在編譯代碼����,configure將永遠是你的朋友。:-) 因此���,configure有很多選項����。使用configure --help確定你想要增加哪些��。我只是需要MySQL和LDAP�����,并且當(dāng)然Apache��。
# ./configure --with-mysql=/usr/local/mysql
--with-xml
--with-apache=../apache_1.3.x
--enable-track-vars
--with-ldap
make并安裝二進制代碼。
# make
# make install
拷貝ini文件到lib目錄����。
# cp php.ini-dist /usr/local/lib/php.ini
你可以編輯PHP文件來設(shè)置PHP選項,如你可以通過在你的php.ini文件中插入下列行�����,增加php的max_execution_time���。
max_execution_time = 60;
注意:php3用戶將使用php3.ini��,而php4用戶將使用php.ini文件��。
Apache 與 Mod_SSL
該配置并安裝mod_ssl和Apache了�。對此����,你將需要有rsaref-2.0文件。在http://ftpsearch./上搜索“rsaref20.tar.Z”����。如果你不喜歡Lycos,你可以選擇其他搜索引擎來搜索文件����。當(dāng)然只有你在美國才需要這個文件���。(管它呢,你也可從別處下載���,首先在http://ftpsearch.ntnu.no/查找“rsaref20.tar.Z”,好多?��?�!���。)
創(chuàng)建rasref目錄,你將在該目錄提取文件�����。注意�。這假定你下載了一個臨時目錄,而你就在此目錄���。
# mkdir rsaref-2.0
# cd rsaref-2.0
# gzip -d -c ../rsaref20.tar.Z | tar xvf -
現(xiàn)在配置并構(gòu)造OpenSSL庫�����。
# cd rsaref-2.0
# cp -rp install/unix local
# cd local
# make
# mv rsaref.a librsaref.a
# cd ../..
安裝OpenSSL����。記住,你將用它來創(chuàng)建臨時證書和CSR文件��。--prefix選項指定主安裝目錄����。
# cd openssl-0.9.x
# ./config -prefix=/usr/local/ssl
-L`pwd`/../rsaref-2.0/local/ rsaref -fPIC
現(xiàn)在make、測試并安裝它����。
# make
# make test
# make install
# cd ..
我們將配置MOD_SSL模塊,然后用Apache配置指定它為一個可裝載的模塊����。
# cd mod_ssl-2.5.x-1.3.x
# ./configure
--with-apache=../apache_1.3.x
# cd ..
現(xiàn)在我們可以把更多的Apache模塊加到Apache源代碼樹中?����?蛇x的--enable-shared=ssl選項使得mod_ssl構(gòu)造成為一個DSO“libssl.so”。關(guān)于在Apache支持DSO的更多信息���,閱讀Apache源代碼樹中的INSTALL和 htdocs/manual/dso.html文檔�����。我強烈建議ISP和軟件包裝維護者為了最靈活地使用mod_ssl而使用DSO工具���,但是注意,DSO不是在所有平臺上的Apache都支持����。
# cd apache_1.3.x
# SSL_BASE=../openssl-0.9.x
RSA_BASE=../rsaref-2.0/local
./configure --enable-module=ssl
--activate-module=src/modules/php4/libphp4.a
--enable-module=php4 --prefix=/usr/local/apache
--enable-shared=ssl
[...你可加入更多的選項...]
生成Apache�����,然后生成證書�,并安裝...
# make
如果你已正確地完成,你將得到類似于以下的信息:
+-----------------------------------------------------------------------+
| Before you install the package you now should prepare the SSL |
| certificate system by running the "make certificate" command. |
| For different situations the following variants are provided: |
| |
| % make certificate TYPE=dummy (dummy self-signed Snake Oil cert) |
| % make certificate TYPE=test (test cert signed by Snake Oil CA) |
| % make certificate TYPE=custom (custom cert signed by own CA) |
| % make certificate TYPE=existing (existing cert) |
| CRT=/path/to/your.crt [KEY=/path/to/your.key] |
| |
| Use TYPE=dummy when you‘re a vendor package maintainer, |
| the TYPE=test when you‘re an admin but want to do tests only, |
| the TYPE=custom when you‘re an admin willing to run a real server |
| and TYPE=existing when you‘re an admin who upgrades a server. |
| (The default is TYPE=test) |
| |
| Additionally add ALGO=RSA (default) or ALGO=DSA to select |
| the signature algorithm used for the generated certificate. |
| |
| Use "make certificate VIEW=1" to display the generated data. |
| |
| Thanks for using Apache & mod_ssl. Ralf S. Engelschall |
| rse@ |
| www. |
+-----------------------------------------------------------------------+
現(xiàn)在你可以創(chuàng)建一個定制的證書���。該選項將提示輸入你的地址�、公司���、和其他一些東西���。關(guān)于證書�����,請參閱本文的結(jié)尾���。
# make certificate TYPE=custom
現(xiàn)在安裝Apache...
# make install
如果一切正常,你應(yīng)該看到類似于以下的信息:
+----------------------------------------------------------------------------------+
| You now have successfully built and installed the |
| Apache 1.3 HTTP server. To verify that Apache actually |
| works correctly you now should first check the |
| (initially created or preserved) configuration files |
| |
| /usr/local/apache/conf/httpd.conf |
| and then you should be able to immediately fire up |
| Apache the first time by running: |
| |
| /usr/local/apache/bin/apachectl start |
| Or when you want to run it with SSL enabled use: |
| |
| /usr/local/apache/bin/apachectl startssl |
| Thanks for using Apache. The Apache Group |
| http://www. / |
+----------------------------------------------------------------------------------+
現(xiàn)在驗證Apache和PHP是否正在工作�����。然而�����,我們需要編輯srm.conf和httpd.conf保證我們把PHP類型加到了配置中���。查看httpd.conf并去掉下列行的注釋���。如果你精確地遵循了本文的指令,你的httpd.conf文件將位于/usr/local/apache/conf目錄�。文件有一行針對php4的addtype加了注釋,現(xiàn)在就去掉注釋。httpd.conf 文件--片斷
>
> # And for PHP 4.x, use:
> #
---> AddType application/x-httpd-php .php
---> AddType application/x-httpd-php-source .phps
>
>
現(xiàn)在我們準備啟動Apache服務(wù)器看它是否在工作�。首先我們將啟動不支持SSL的服務(wù)器看它是否啟動了。我們將檢查對PHP的支持��,然后我們將停止服務(wù)器并且啟動啟用了SSL支持的服務(wù)器并檢查我們是否一切正常�。configtest 將檢查所有配置是否正確設(shè)置。
# cd /usr/local/apache/bin
# ./apachectl configtest
Syntax OK
# ./apachectl start
./apachectl start: httpd started
測試我們的工作
Apache 正在工作嗎���?
如果它工作正常���,當(dāng)你用Netscape連接服務(wù)器時,你將看見一幅類似于這幅屏幕捕獲的屏幕����。這是基本上 是Apache缺省安裝的頁面。
注意:你可以用域名或機器實際的IP地址與服務(wù)器連接����。檢查這兩種情形����,確保一切工作正常。
PHP支持正在工作嗎��??
現(xiàn)在將測試PHP支持……創(chuàng)建一個文件(名為:test.php )�����,它有下列信息�。文件需要位于文檔根路徑下,它應(yīng)該缺省設(shè)置為/usr/local/apache/htdocs��。注意這依賴于我們以前選擇的前綴����,然而,這可在 httpd.conf中改變����。設(shè)置多個虛擬主機將在另一篇文章加少,請留意�,因為它將涉及安裝Apache和它的指令的一些很基本的選項。
test.php 文件
< ?
phpinfo();
?>
它將顯示有關(guān)服務(wù)器�����、php和環(huán)境的信息�����。下面是輸出頁面的頂部的屏幕抓取。
很酷吧�����,PHP起作用了�����。
SSL 選擇正在工作嗎���?�����?
好了��,現(xiàn)在我們準備測試SSL了����。首先停止服務(wù)器�,并以啟用SSL的選項重啟它����。
# /usr/local/apache/bin/apachect
l stop
# /usr/local/apache/bin/apachectl startssl
測試它是否工作:通過用一個Netscape與服務(wù)器連接并且選擇https協(xié)議�,即:https://youserver. 或 http://yoursever.yourdomain.com:443 �����,也可以再試一下你的服務(wù)器的 ip地址���,即:https://.xxx.xxx和 http://.:443 ��。
如果它起作用了��,服務(wù)器將把證書發(fā)送到瀏覽器以建立一個安全連接����。這將讓瀏覽器提示你接受自己簽署的證書����。,如果它是來自VeriSign或Thawte的一張證書��,那么瀏覽器將不提示你�,因為證書來自一個可信的證書授權(quán)機構(gòu)(CA)。在我們的情況中����,我們創(chuàng)建并簽署我們自己的證書……我們不想馬上買一個��。首先��,我們想要保證我們能使一切正常���。
你在Netscape中將看見啟用了下列選項。這就告訴你一個安全的連接已經(jīng)建立起來了��。
PHP和MySQL能一起工作嗎��?��?
現(xiàn)在�����,我們可以確定php能與MySQL一起工作���,通過創(chuàng)建一個簡單的腳本��,對“test2”數(shù)據(jù)庫做一些插入和數(shù)據(jù)刪除操作�。只是一個簡單的腳本以測試它是否工作了��。在另一篇文章中我們將討論PHP腳本連接一個 MySQL數(shù)據(jù)庫�����。還記得我們已經(jīng)創(chuàng)建立了數(shù)據(jù)庫和一張表�����。我們可以現(xiàn)在完成它��,但是我選擇不�����。我想要再檢查一次root有權(quán)限創(chuàng)建立數(shù)據(jù)庫和表����,然而,PHP提供了對MySQL的提供�,因此我能很容易地編寫代碼以創(chuàng)建一個測試數(shù)據(jù)庫和若干條記錄。
記得我們以前創(chuàng)建了書籍?dāng)?shù)據(jù)庫��。如果你跳過了以前的內(nèi)容���,這部分將不工作��。我們創(chuàng)建了有一個“books”表的test2數(shù)據(jù)庫�,并且為一本書插入了一條記錄。
這個腳本基本上瀏覽該表并列出所有字段名�����,它的確很簡單��。
< ?
$dbuser = "root";
$dbhost = "localhost";
$dbpass = "password";
$dbname = "test2";
$dbtble = "books";
$mysql_link = mysql_connect($dbhost,$dbuser,$dbpass);
$column = mysql_list_fields($dbname,$dbtble,$mysql_link);
for($i=0; $i< mysql_num_fields($column); $i++ )
{
print mysql_field_name($column,$i )."< br> ";
}
?>
一個更復(fù)雜的例子將向你演示PHP某些絕妙的功能�。
< html>
< head>
< title> Example 2 -- more details< /title>
< /head>
< body bgcolor="white">
< ?
$dbuser = "root";
$dbhost = "localhost";
$dbpass = "password";
$dbname = "test2";
$dbtable = "books";
//------ DATABASE CONNECTION --------//
$mysql_link = mysql_connect($dbhost,$dbuser,
$dbpass);
$column = mysql_list_fields($dbname,$dbtable,$mysql_link);
$sql = "SELECT * FROM $dbtable";
$result = mysql_db_query($dbname,$sql);
?>
< table bgcolor="black">
< tr> < td>
< table>
< /td> < /tr>
< /table>
< /body>
< /html>
注意,我們竟能在同一文件中同時有HTML和PHP命令�����。這就是PHP腳本的奇妙之處�����。
虛擬主機的設(shè)置
現(xiàn)在是設(shè)置Apache處理一些虛擬主機的時間了��。由于Apache提供的靈活性��,虛擬主機可很簡單地做到����。首先你需要一個DNS服務(wù)器把虛擬主機的域名指向web服務(wù)器的IP地址。在DNS使用一個CNAME記錄把 your_virtual_domain.com指向服務(wù)器的IP。其次你需要修改Apache的配置文件httpd.conf以增加新的虛擬域名���。記住�,這只是一個很基本的例子�����,你有勇氣讀一下Apache的指令��。
讓我們看一個 httpd.conf 的例子����。
httpd.conf 片斷
#--------------------------------------------------------#
# VIRTUAL HOST SECTION NON-SSL
#--------------------------------------------------------#
# VirtualHost directive allows you to specify another virtual
# domain on your server. Most Apache options can be specified
# within this section.
# Mail to this address on errors
ServerAdmin webmaster@
# Where documents are kept in the virtual domain
# this is an absolute path. So you may want to put
# in a location where the owner can get to it.
DocumentRoot /home/vhosts//www/
# Since we will use PHP to create basically
# all our file we put a directive to the Index file.
DirectoryIndex index.php
# Name of the server
ServerName www.
# Log files Relative to ServerRoot option
ErrorLog logs/-error_log
TransferLog logs/-access_log
RefererLog logs/-referer_log
AgentLog logs/-agent_log
# Use CGI scripts in this domain. In the next case you
# can see that it does not have CGI scripts. Please
# read up on the security issues relating to CGI-scripting.
ScriptAlias /cgi-bin/ /var/www/cgi-bin//
AddHandler cgi-script .cgi
AddHandler cgi-script .pl
# This is another domain. Note that you could host
# multiple domains this way...
# Mail to this address on errors
ServerAdmin webmaster@
# Where documents are kept in the virtual domain
DocumentRoot /virtual//www/html
# Name of the server
ServerName www.
# Log files Relative to ServerRoot option
ErrorLog logs/-error_log
TransferLog logs/-access_log
RefererLog logs/-referer_log
AgentLog logs/-agent_log
# No CGI‘s for this host
# End: virtual host section
使用上述例子在你的服務(wù)器上創(chuàng)建你自己的虛擬主機����。如果你想從Apache網(wǎng)站上閱讀每一條指令,它的網(wǎng)址是:http://www.��。
SSL虛擬主機
創(chuàng)建SSL虛擬主機類似非SSL�。除了你需要指定另外的指令,還有����,你需要增加一個DNS記錄并且修改 httpd.conf。這里有一個例子。
#--------------------------------------------#
# SSL Virtual Host Context
#--------------------------------------------#
# General setup for the virtual host
DocumentRoot /usr/local/apache/htdocs
ServerAdmin webmaster@secure
ServerName www.secure
ErrorLoglogs/-error_log
TransferLog logs/-transfer_log
# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on
# Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate. If
# the certificate is encrypted, then you will be prompted for a
# pass phrase. Note that a kill -HUP will prompt again. A test
# certificate can be generated with `make certificate‘ under
# built time. Keep in mind that if you‘ve both a RSA and a DSA
# certificate you can configure both in parallel (to also allow
# the use of DSA ciphers, etc.)
# Note that I keep my certificate files located in a central
# location. You could change this if you are an ISP, or ASP.
SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
# Server Private Key:
# If the key is not combined with the certificate, use this
# directive to point at the key file. Keep in mind that if
# you‘ve both a RSA and a DSA private key you can configure
# both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key
# Per-Server Logging:
# The home of a custom SSL log file. Use this when you want a
# compact non-error SSL logfile on a virtual host basis.
CustomLog /usr/local/apache/logs/ssl_request_log
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b"
記住你有很多指令可以指定�。我們將在另一篇有關(guān)配置Apache的文章中討論,本文只是一個入門性指南�����。
生成證書
這是如何生成證書的按部就班的描述�����。
為你的Apache服務(wù)器創(chuàng)建一個RSA私用密鑰(被Triple-DES加密并且進行PEM格式化):
# openssl genrsa -des3 -out server.key 1024
請在安全的地方備份這個server.key文件��。記住你輸入的通行短語(pass phrase)���!你可以通過下面的命令看到這個RSA私用密鑰的細節(jié)����。
# openssl rsa -noout -text -in server.key
而且你可以為這個RSA私用密鑰創(chuàng)建一個加密的PEM版本(不推薦)��,通過下列命令:
# openssl rsa -in server.key -out server.key.unsecure
用服務(wù)器RSA私用密鑰生成一個證書簽署請求(CSR-Certificate Signing Request)(輸出將是PEM格式的):
# openssl req -new -key server.key -out server.csr
當(dāng)OpenSSL提示你“CommonName”時��,確保你輸入了服務(wù)器的FQDN("Fully Qualified Domain Name") ���,即���,當(dāng)你為一個以后用https://www.m/訪問的網(wǎng)站生成一個CSR時�����,這里輸入"www.m"��。你可借助下列命令查看該CSR的細節(jié):
# openssl req -noout -text -in server.csr
將CSR發(fā)到一個CA
現(xiàn)在你必須發(fā)送該CSR到一個CA以便簽署��,然后的結(jié)果才是可以用于Apache的一個真正的證書。
有兩種選擇:
第一種����,你可以通過一個商業(yè)性CA如Verisign 或 Thawte簽署證書。那么你通常要將CSR貼入一個web表格
��,支付簽署費用并等待簽署的證書����,然后你可以把它存在一個server.crt文件中。關(guān)于商業(yè)性CA的更多信息��,請參見下列鏈接:
Verisign - http://digitalid./server/apacheNotice.htm
Thawte Consulting - http://www./certs/server/request.html
CertiSign Certificadora Digital Ltda. - http://www.
IKS GmbH - http://www./produkte/ca /
Uptime Commerce Ltd. - http://www.
BelSign NV/SA - http://www.
你自己的CA
第二種���,你可以利用自己的CA并由該CA簽署CSR����。你可以創(chuàng)建自己的認證中心來簽署證書。最簡單的方法是利用OpenSSL提供的CA.sh或 CA.pl腳本����。比較復(fù)雜而且是手工的方法是:
為你的CA創(chuàng)建一個RSA私用密鑰( 被Triple-DES加密并且進行PEM格式化的):
# openssl genrsa -des3 -out ca.key 1024
請在安全的地方備份這個ca.key文件。記住你輸入的通行短語(pass phrase)�!你可以通過下面的命令看到這個RSA私用密鑰的細節(jié)。
# openssl rsa -noout -text -in ca.key
而且你可以為這個RSA私用密鑰創(chuàng)建一個加密的PEM版本(不推薦)�,通過下列命令:
# openssl rsa -in ca.key -out ca.key.unsecure
利用CA的RSA密鑰創(chuàng)建一個自簽署的CA證書(X509結(jié)構(gòu))(輸出將是PEN格式的):
# openssl req -new -x509 -days 365 -key ca.key -out ca.crt
你可以通過下列命令查看該證書的細節(jié):
# openssl x509 -noout -text -in ca.crt
準備一個簽署所需的腳本,因為"openssl ca"命令有一些奇怪的要求而且缺省的OpenSSL配置不允許簡單地直接使用"openssl ca"命令�,所以一個名為sign.sh的腳本隨mod_ssl分發(fā)一道發(fā)布(子目錄pkg.contrib/)。 使用該腳本進行簽署����。
現(xiàn)在你可以使這個CA簽署服務(wù)器的CSR,以便創(chuàng)建用于Apache服務(wù)器內(nèi)部的真正的SSL證書(假定你手頭已經(jīng)有一個server.csr):
# ./sign.sh server.csr
它簽署服務(wù)器的CSR并且結(jié)果在一個server.crt文件中�����。
現(xiàn)在你有兩個文件:server.ket和server.crt�。在你的Apache的httpd.conf文件中,如下使用它們:
SSLCertificateFile /path/to/this/server.crt
SSLCertificateKeyFile /path/to/this/server.key
server.csr不再需要了����。
|
