Apache开启SSL并实现一个IP配置多个HTTPS站点的方法 |
您所在的位置:网站首页 › apache配置https › Apache开启SSL并实现一个IP配置多个HTTPS站点的方法 |
Apache开启SSL并实现一个IP配置多个HTTPS站点的方法
发布时间:2019-01-06编辑:余斗阅读:(0)字号: 大 中 小 【资源下载】 音乐、电影、剧集、课程、动漫、电子书、有声书、软件...都在这里! 【免费下载】 开通特权 ,各类千余TB网络资源免费下,日日更新,一次开通,终身可用!Apache服务器要配置HTTPS首先要确认我们下载的Apache是支持SSL的,如果是window版本,在apache bin目录下能看到openssl.exe。如果是Linux,在/etc/httpd/conf.d目录下可见到ssl.conf,如果没有,执行yum -y install mod_ssl命令安装。 然后在httpd.confg文件打开LoadModule ssl_module modules/mod_ssl.so,即去掉该行前的注释。打开Include conf/extra/httpd-ssl.conf,Linux下不用执行。 一个普通的ssl.conf配置参考如下: NameVirtualHost *:443 ServerName www.nowfox.com ProxyPass/ http://127.0.0.1:8000/www/ ProxyPassReverse/ http://127.0.0.1:8000/www/ ProxyPassReverseCookiePath/www/ SSLEngine on SSLProtocol all -SSLv2 -SSLv3 # 修改加密套件如下 SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM SSLHonorCipherOrder on # 证书公钥配置 SSLCertificateFile E:/cert/www/public.pem # 证书私钥配置 SSLCertificateKeyFile E:/cert/www/www.key # 证书链配置,如果该属性开头有 '#'字符,请删除掉 SSLCertificateChainFile E:/cert/www/chain.pem ServerName login.nowfox.com ProxyPass/ http://127.0.0.1:8000/login/ ProxyPassReverse/ http://127.0.0.1:8000/login/ SSLEngine on SSLProtocol all -SSLv2 -SSLv3 # 修改加密套件如下 SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM SSLHonorCipherOrder on # 证书公钥配置 SSLCertificateFile E:/cert/login/public.pem # 证书私钥配置 SSLCertificateKeyFile E:/cert/login/login.key # 证书链配置,如果该属性开头有 '#'字符,请删除掉 SSLCertificateChainFile E:/cert/login/chain.pem如果我们想在一个服务器上配置多个网站的SSL,情况如下: · 老式的SSL证书是一个证书一个站点一个IP的一一对应,但后来有了改进; · 可以配置为一台服务器多个IP,分别对应不同的站点、不同的证书; · 还可以配置为一台服务器一个IP,多个端口号对应不同的站点、不同的证书; · 后来出现SNI(Server Name Indication服务器名称指示)技术,让https与http一样实现一台服务器多个虚拟站点,每个站点都可以对应不同的证书,无需多个IP、无需多个端口(全部都用https标准的端口号443),多个域名、泛域名都支持。
想要实现https多网站1个IP多个SSL证书的Apache设置需要进行以下过程: · 首先SSL证书提供商,根据自己的需要及预算选择,如果自己的站点多,最好是选择支持多域名、通配符的证书,例如StartCom的EV、OV、IV认证支持的证书(DV认证不支持通配符); · 购买需要的证书,这个过程中需要上传或者粘贴CSR(PEM格式),这个CSR可以用startcomtool.exe来生成(同时保存Private Key文件startssl.key和CSR文件startssl.csr到本机),也可以在Linux下运行openssl req -new -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr来生成key和csr; · 下载生成的证书压缩包文件example.com.zip,解压后有ApacheServer.zip、IISServer.zip、NginxServer.zip、OtherServer.zip四个压缩文件,再解压其中的ApacheServer.zip得到两个证书文件1_root_bundle.crt、2_example.com.crt; · 上传startssl.key和startssl.csr两个文件以及两个证书文件1_root_bundle.crt、2_example.com.crt到apache/conf目录下,将startssl.csr加到2_example.com.crt文件后面形成一个新的文件startssl.crt; · 修改httpd.conf或者包含的extra/httpd-ssl.conf文件,在ssl站点中设置key为上传的startssl.key,crt为合并的startssl.crt,证书链crt为1_root_bundle.crt(每个证书的这三个文件内容都不一样,即使文件名一样); · 如果需要设置多个SSL站点,在Apache 2.2以上版本中是开启SSL模块后是直接支持SNI的,添加NameVirtualHost *:443和SSLStrictSNIVHostCheck off两句后,就可以像http虚拟站点一样设置多个https虚拟站点; · 多个https虚拟站点可以分别指向多个不同的证书文件,其中第一个默认https站点是在后续https站点配置找不到的时候自动使用的默认配置; · https虚拟站点与http虚拟站点配置一样,可以使用ServerAlias来将多个子域名指向同一个目录、采用相同的SSL证书; · 重启apache,上面修改的配置就可以生效,再用浏览器检查是否有问题,特别是查看一下安全证书是否与申请的一致,如果提示网页中有部分非安全内容,则要检查嵌入的非安全部分内容,改为安全的内容; · 没有问题了可以修改站点中的链接,让http都改为https,如果是内部链接则与http或者https无关,可以不修改,如果是写死的http,可以改为https或者内部链接,还可以改为//example.com这样的URL形式; · 最后修改apache配置文件或者.htaccess,让以前的http访问全部301跳转到https对应的网页。 下面是一个修改httpd-ssl.conf文件的例子: Listen 443 #Listen 8081 NameVirtualHost *:443 SSLStrictSNIVHostCheck offDocumentRoot "/usr/local/apache/htdocs/example.com" ServerName example.com ServerAlias subdomain.example.com ServerAdmin [email protected] SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 SSLCertificateFile "/usr/local/apache/conf/server.crt" SSLCertificateKeyFile "/usr/local/apache/conf/server.key" SSLCertificateChainFile "/usr/local/apache/conf/1_root_bundle.crt" SSLOptions +StdEnvVars AllowOverride All SSLOptions +StdEnvVars DocumentRoot "/usr/local/apache/htdocs/example2.com" ServerName example2.com ServerAlias subdomain.example2.com SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 SSLCertificateFile "/usr/local/apache/conf/server2.crt" SSLCertificateKeyFile "/usr/local/apache/conf/server2.key" SSLCertificateChainFile "/usr/local/apache/conf/1_root_bundle2.crt" SSLOptions +StdEnvVars AllowOverride All SSLOptions +StdEnvVars 修改.htaccess文件实现301永久重定向的例子: RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]补充:日志问题,为了简化可以把httpd-ssl.conf中的日志都关闭: #ErrorLog "/usr/local/apache/logs/error_log" #TransferLog "/usr/local/apache/logs/access_log" #CustomLog "/usr/local/apache/logs/ssl_request_log" # "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b"然后修改httpd.conf中的设置,添加port:%p,从端口号是80还是443来分辨http和https: LogFormat "%h %l %u %t port:%p "%{Host}i" "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" combined CustomLog "|/usr/local/apache/bin/rotatelogs/usr/local/apache/logs/access_%Y-%m-%d.log 86400 480" combined重启httpd服务后生效,日志文件依然是以前的,也实现了Apache开启SSL并实现一个IP配置多个HTTPS站点,如果次过程有错误,可以移步《Apache配置一个IP多个HTTPS站点的的错误提示及解决方法》看看解决方法! 关键字词:httpsapachesslIP ![]() 上一篇:把现有网站改成自适应网页的实现方法 下一篇:Apache配置一个IP多个HTTPS站点的的错误提示及解决方法 相关文章 Buongiorno principessa,Buongiorno la dea UPUPW绿色服务器平台Apache版PHP5.6 Apache配置Etag详解 iPhone 6s及以上手机的小圆点(Assistive Touch)功 MIP移动网页加速器概述 在ServKit(PHPnow)中如何用IP地址访问网站 PHPnow中开启apache的浏览器缓存(max-age)功能 Apache中添加Vary标头的方法 快速改造一个MIP站点(入门篇) 网站在百度搜索结果中摘要不为description的原因探 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |