客服中心
業務咨詢
技術支持
在線客服
配置Apache的ssl安全連接
添加時間:2015-8-8 1:48:34
添加:
思海網絡
第一步:生成ssl certficate文件
首先當然是正常安裝apache2了,然后:
生成一個1024位的RSA私鑰,并保存為/etc/apache2/ssl/apache.pem,如果你已經有了CA證書,應該也是可以拿過來直接使用,或者用來生成這個私鑰的(這應該屬于另外一個話題了,我也沒有用過)。
apache2-ssl-certificate執行過程中要回答一些問題,如下,注意如果[]里已經給出了默認值,而你又想把這項置空的話,可以輸入英文句號“.”:
State or Province Name (full name) [Some-State]:.
Locality Name (eg, city) []:
Organization Name (eg, company; recommended) []:.
Organizational Unit Name (eg, section) []:.
server name (eg. ssl.domain.tld; required!!!) []:localhost
Email Address []:fwolf@mail.com
Locality Name (eg, city) []:
Organization Name (eg, company; recommended) []:.
Organizational Unit Name (eg, section) []:.
server name (eg. ssl.domain.tld; required!!!) []:localhost
Email Address []:fwolf@mail.com
一般來說,server name和實際的網站域名還是保持一致比較方便。
第二步:啟用ssl mod
或者
:/etc/apache2/mods-enabled$ sudo ln -s ../mods-available/ssl.load ssl.load
第三步:添加監聽端口,配置虛擬主機
添加端口:在/etc/apache2/ports.conf中增加一行“Listen 443”,顯然,如果你想讓默認的80端口就使用ssl的話,就可以省略這一步了,并在后面的配置中略微調整。
在apache虛擬主機的配置文件conf中,
ServerAdmin Fwolf
ServerName www.fwolf.com
ServerName www.fwolf.com
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/apache.pem
DirectoryIndex index.php index.html index.html.var
然后重啟apache,就能夠使用https訪問網站了。
如 果想配置成80端口默認就使用https,首先不需要在ports.conf中添加443端口的監聽了,其次是在配置VirtualHost的時候也不用 帶上:443了,但即使這樣,配置完成后使用http://www.domain.com訪問配置好的網站時,還是會提示:
Bad Request
Your browser sent a request that this server could not understand.
Reason: You’re speaking plain HTTP to an SSL-enabled server port.
Instead use the HTTPS scheme to access this URL, please.
Hint: https://www.fwolf.com/
這 是由于使用http協議去訪問一個https的端口造成的,最簡單的解決方法是使用https://www.domain.com:80/來替代,不過, 通過修改apache配置,把到80端口的http訪問重定向到443端口的https訪問效果會更好一些,就像下面的配置:
<VirtualHost *:80>
Redirect permanent / https://localhost/
Redirect permanent / https://localhost/
NameVirtualHost *:443
<VirtualHost *:443>
ServerAdmin Fwolf
ServerName www.fwolf.com
SSLEngine On SSLCertificateFile /etc/apache2/ssl/apache.pem ... 這樣所有http訪問就自動被重定向到https訪問上了,不過如果你只能在外網開一個端口的話就比較麻煩了,同時https也只能包含一個站點(無法通過ServerName辨識多個站點)。
如果能夠把http和https協議同時綁定到一個端口上,用戶訪問的時候似乎就更方便了,不過很多地方都說這是不可能的,加密與明文協議不可能同時存在于一個端口上,這里有個討論給出了一種方案,雖然經過我的實驗并不成功,還是把代碼貼出來,供有興趣的朋友繼續研究。
RewriteEngine on
RewriteCond %{HTTPS} != on
RewriteRule ^/(.*)$ https://%{SERVER_NAME}/$1 [R=permanent]
</IfDefine>
RewriteCond %{HTTPS} != on
RewriteRule ^/(.*)$ https://%{SERVER_NAME}/$1 [R=permanent]
</IfDefine>
一個小問題:我生成的pem文件怎么有效期都只有一個月?難道這是默認的?pem文件到期之后會發生什么事情呢?
update @ 20070126
默認生成的pem文件確實只有一個月的有效期,過期之后倒是還能使用,只是在客戶端會有一個提示證書無效的確認,所以在生成證書的時候,記得用-day x參數指定有效期限,比如十年什么的。
(當pem文件已經存在的時候,需要使用–force參數指定覆蓋)
參考:
Need Apache2 SSL howto
Apache2 SSL
You’re speaking plain HTTP to an SSL-enabled server port. - HELP PLEASE !
Update @ 2007-07-31
Ubuntu 7.04 feisty中沒有apache2-ssl-cerfiticate這個命令,需要自己下載一個包,然后解壓,把里面的ssleay.cnf拷貝到/usr/share/apache2/,然后就可以執行解壓的另外一個可執行文件apache2-ssl-certificate來生成證書了。
參見:
- https://bugs.launchpad.net/ubuntu/+source/apache2/+bug/77675
新文章:
- CentOS7下圖形配置網絡的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統后丟失windows啟動項
- CentOS單網卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網打印機IP講解
- CentOS7使用hostapd實現無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網絡重啟出錯
- 解決Centos7雙系統后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統有什么不同呢
- Centos 6.6默認iptable規則詳解
