D13-Windows Apache配置自签名https证书

# 修改配置文件之前一定要备份！

# 说明
对于没有注册域名，没有购买服务器的同学来说，我们通过这个方法来学习Apache容器中https证书的配置（本地靶场用HTTPS访问没有意义，仅仅是学习）。

本文使用的证书是自签名的证书。
本文使用的Apache是Windows环境中的phpstudy里面自带的Apache。
本文使用的openssl是Kali自带的openssl工具（所有的Linux都自带openssl）。

使用第三方免费证书，或者在Linux Apache配置、在Nginx配置，流程类似。

# 1、在kali生成私钥 (Private Key)
私钥的作用是对证书签名。
`openssl genrsa -out mydomain.key 2048`
含义：生成一个 2048 位的 RSA 私钥（私钥里面是包含公钥的），并将其保存到 mydomain.key文件中。

# 2、在kali使用私钥生成一个证书签名请求 (CSR)

`openssl req -new -key mydomain.key -out mydomain.csr`

因为我们是本地测试使用的证书，所以填写的内容不用严谨。

| 提示内容 | 含义 | 输入示范 |
| --- | --- | --- |
| Country Name (2 letter code) [XX] | 国家代码两位字母 | CN |
| State or Province Name (full name) [Some-State] | 省或州的名称 | Hunan，可以随便写 |
| Locality Name (eg, city) [] | 城市名称 | Changsha，可以随便写 |
| Organization Name (eg, company) [Internet Widgits Pty Ltd] | 组织或公司的名称 | 随便写，WUYA |
| Organizational Unit Name (eg, section) [] | 部门名称 | IT，可留空 |
| Common Name (e.g. server FQDN or YOUR name) [] | 服务器的完全限定域名 (FQDN) | 输入域名：localhost |
| Email Address [] | 电子邮件 | admin@wuya.com |
| A challenge password [] | 密码 | 留空，按回车 |
| An optional company name [] | 可选的公司名称 | 留空，按回车 |

例如：

![](/media/202411/2024-11-28_133330_9300890.8590437531588249.png)

# 3、在kali使用私钥和CSR生成自签名证书(CRT)

`openssl x509 -req -days 365 -in mydomain.csr -signkey mydomain.key -out mydomain.crt`

含义：生成了一个有效期为365天的自签名证书，并将其保存到`mydomain.crt`文件中。

把`mydomain.key`和`mydomain.crt`传到物理机备用。

# 4、启用locahost的https端口

**先关闭apache服务**，这一步记得操作

修改localhost域名
![](/media/202411/2024-11-28_160357_9084030.5868068621127029.png)

切换到https端口——在弹出的窗口中，把mydomain.key和mydomain.crt文件的内容粘贴到对应的方框中

![](/media/202411/2024-11-28_162300_3357760.2837761824937761.png)

现在有两个端口的域名：

![](/media/202411/2024-11-28_172612_1054220.6740864144982971.png)

注意：https相关的配置文件在这个目录下面（自动修改，仅提醒）：
phpstudy_pro\Extensions\Apache2.4.39\conf\vhosts

# 5、确认httpd.conf配置文件
配置文件：`E:\dev_runApp\phpstudy_pro\Extensions\Apache2.4.39\conf\httpd.conf`

确认下面这几行都应该是处于取消注释状态（前面没有#号）：
`Include conf/vhosts/*.conf`
`Include conf/extra/httpd-ahssl.conf`
`LoadModule ssl_module modules/mod_ssl.so`

# 6、修改httpd-ahssl.conf
修改配置文件之前一定要备份！
打开：
`phpstudy_pro\Extensions\Apache2.4.39\conf\extra\httpd-ahssl.conf`

修改`<VirtualHost _default_:443></virtualhost>`这一段，把两个标签以及中间的内容全部删除，粘贴如下内容：
注意有两处`E:\`的路径要改成你自己的phpstudy路径，其他的不动。
```
<VirtualHost _default_:443>
 SSLEngine on
 ServerName localhost:443
 SSLCertificateFile "${SRVROOT}/conf/ssl/server.crt"
 SSLCertificateKeyFile "${SRVROOT}/conf/ssl/server.key"
 DocumentRoot "${SRVROOT}/../../WWW"
# DocumentRoot access handled globally in httpd.conf
 FcgidInitialEnv PHPRC "E:/dev_runApp/phpstudy_pro/Extensions/php/php7.3.4nts"
 AddHandler fcgid-script .php
 FcgidWrapper "E:/dev_runApp/phpstudy_pro/Extensions/php/php7.3.4nts/php-cgi.exe" .php
	CustomLog "${SRVROOT}/logs/ssl_request.log" \
 "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
	<Directory "${SRVROOT}/../../WWW">
 Require all granted
	AllowOverride All
 Order allow,deny
 Allow from all
	DirectoryIndex index.php index.html error/index.html
	</Directory>
</virtualhost>
```

# 7、测试HTTPS访问

地址栏输入：`https://localhost`

![](/media/202411/2024-11-28_150259_7471060.7866096852263074.png)

点“高级”——“继续访问”

![](/media/202411/2024-11-28_150327_3718910.7479995986745219.png)

访问靶场：

![](/media/202411/2024-11-28_172109_9767820.08622557064400116.png)

# 关闭HTTPS访问
注意：有可能在关闭了https以后，仍然自动跳转https正常访问。这种情况需要删除localhost域名重新添加。

1、删除localhost中`443`的域名，如果只有一个域名，就把端口切回`80`

2、（也有可能不需要改，phpstudy会自动注释）
在`phpstudy_pro\Extensions\Apache2.4.39\conf\httpd.conf`
注释这一行（前面加#号）：
`#Include conf/extra/httpd-ahssl.conf`

3、重启Apache（会自动重启）

确认是否切换成功，可以用如下命令（有80端口的LISTENING为正常）：
`netstat -an|findstr 80`
![](/media/202411/2024-11-28_182122_5079600.3398927430989266.png)

关闭以后的效果：

![](/media/202411/2024-11-28_181939_0491340.10487983066498918.png)

# 再次启用HTTPS访问
1、切换到https端口
key和crt文件已经被保存了，不用重复填

![](/media/202411/2024-11-28_181829_8783910.27913680781957173.png)

2、（也有可能不需要改，phpstudy会自动取消注释）
在`phpstudy_pro\Extensions\Apache2.4.39\conf\httpd.conf`
取消注释
`#Include conf/extra/httpd-ahssl.conf`

3、重启Apache（会自动重启）

确认是否切换成功，可以用如下命令（有443端口的LISTENING为正常）：
`netstat -an|findstr 443`

![](/media/202411/2024-11-28_182254_6961080.22270951696835384.png)

# 注意
如果出现了修改协议以后，仍然是用旧协议访问的情况，第一是要在地址栏里面修改。
第二是可以清空浏览器缓存（Ctrl+Shift+Del）