[乐意黎原创] CentOS7.2里apche配置SSL及抛SSLProtocol: Protocol 'TLSv1.1' overrides already... 解决方法

最新推荐文章于 2024-02-05 12:59:58 发布
最新推荐文章于 2024-02-05 12:59:58 发布
阅读量1.8w 收藏 2
点赞数
分类专栏: 服务器及编程语言配置
本文为 aerchi/乐意黎 原创文章,未经允许不得镜像、采集博客内容。如有转载, 请注明文章来源。
本文链接:https://blog.csdn.net/aerchi/article/details/72877851
版权
服务器环境:  Centos 7.2 +Apache2.4.6+PHP7 进行 SSL配置

A. 阿里云安装证书

文件说明:
1. 证书文件********.pem,包含两段内容,请不要删除任何一段内容。
2. 如果是证书系统创建的CSR,还包含:证书私钥文件********.key、证书公钥文件public.pem、证书链文件chain.pem。
( 1 ) 在Apache的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件,请将对应的私钥文件放到cert目录下并且命名为********.key;
( 2 ) 打开 apache 安装目录下 /etc/httpd/httpd.conf 文件,找到以下内容并去掉“#”:
#LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件)
#Include conf/extra/httpd-ssl.conf
( 3 ) 打开 apache 安装目录下 /etc/httpdextra/httpd-ssl.conf 文件 (也可能是conf.d/ssl.conf,与操作系统及安装方式有关), 在配置文件中查找以下配置语句:
# 添加 SSL 协议支持协议,去掉不安全的协议
//用下面这个会抛错
//SSLProtocol TLSv1 TLSv1.1 TLSv1.2
//请换成 下面的
SSLProtocol      all -SSLv3 -TLSv1 -TLSv1.1

# 修改加密套件如下
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
# 证书公钥配置
SSLCertificateFile cert/public.pem
# 证书私钥配置
SSLCertificateKeyFile cert/********.key
# 证书链配置,如果该属性开头有 '#'字符,请删除掉
SSLCertificateChainFile cert/chain.pem
( 4 ) 重启 Apache。

启动后一些问题的解决

[Tue Jun 06 14:23:42.175566 2017] [ssl:warn] [pid 8080:tid 140719318202176] AH02532: SSLProtocol: Protocol 'TLSv1.1' overrides already set parameter(s). Check if a +/- prefix is missing.

[Tue Jun 06 14:23:42.175630 2017] [ssl:warn] [pid 8080:tid 140719318202176] AH02532: SSLProtocol: Protocol 'TLSv1.2' overrides already set parameter(s). Check if a +/- prefix is missing.


如发生以上两个错误

请把: 

# 添加 SSL 协议支持协议,去掉不安全的协议
SSLProtocol TLSv1 TLSv1.1 TLSv1.2
改成 

# 添加 SSL 协议支持协议,去掉不安全的协议
SSLProtocol      all -SSLv3 -TLSv1 -TLSv1.1


 /etc/httpd/extra/httpd-ssl.conf,  进行下列两行配置后, 重启消失.

ServerName www.aerchi.com:443
ServerAdmin aerchi@gmail.com



AH00526: Syntax error on line 94 of /etc/httpd/extra/httpd-ssl.conf:

SSLSessionCache: 'shmcb' session cache not supported (known names: ). Maybe you need to load the appropriate socache module (mod_socache_shmcb?).


解决办法:

打开/etc/httpd/httpd.conf,找到 LoadModule socache_shmcb_module modules/mod_socache_shmcb.so,把前面的#注释去掉。


 94 SSLSessionCache        "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
 95 SSLSessionCacheTimeout  300


sudo /usr/local/apache/bin/apachectl start
  我这里会出现:
  Syntax error on line 56 of /usr/local/apache/conf/extra/httpd-ssl.conf:

  SSLSessionCache: 'shmcb' session cache not supported (known names: )

  修改文件/usr/local/apache/conf/extra/httpd-ssl.conf(如果没有出上面的错,就不用改了),

  将文件第56行:SSLSessionCache        "shmcb:/usr/local/apache/logs/ssl_scache(512000)"

  改为:SSLSessionCache         nonenotnull


B. 腾讯云安装方法


下载得到的 www.domain.com.zip 文件,解压获得3个文件夹,分别是Apache、IIS、Nginx 服务器的证书文件,
下面提供了3类服务器证书安装方法的示例:

1. Apache 2.x 证书部署

1.1 获取证书

Apache文件夹内获得证书文件 1_root_bundle.crt,2_www.domain.com_cert.crt 和私钥文件 3_www.domain.com.key,
1_root_bundle.crt 文件包括一段证书代码 “-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,
2_www.domain.com_cert.crt 文件包括一段证书代码 “-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,
3_www.domain.com.key 文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。

1.2 证书安装

编辑Apache根目录下 conf/httpd.conf 文件,
找到 #LoadModule ssl_module modules/mod_ssl.so 和 #Include conf/extra/httpd-ssl.conf,去掉前面的#号注释;
编辑Apache根目录下 conf/extra/httpd-ssl.conf 文件,修改如下内容:

<VirtualHost www.domain.com:443>
    DocumentRoot "/var/www/html"
    ServerName www.domain.com
    SSLEngine on
    SSLCertificateFile /usr/local/apache/conf/2_www.domain.com_cert.crt
    SSLCertificateKeyFile /usr/local/apache/conf/3_www.domain.com.key
    SSLCertificateChainFile /usr/local/apache/conf/1_root_bundle.crt
</VirtualHost>

配置完成后,重新启动 Apache 就可以使用https://www.domain.com来访问了。

注:

配置文件参数 说明
SSLEngine on 启用SSL功能
SSLCertificateFile 证书文件
SSLCertificateKeyFile 私钥文件
SSLCertificateChainFile 证书链文件

2. Nginx 证书部署

2.1 获取证书

Nginx文件夹内获得SSL证书文件 1_www.domain.com_bundle.crt 和私钥文件 2_www.domain.com.key,
1_www.domain.com_bundle.crt 文件包括两段证书代码 “-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”,
2_www.domain.com.key 文件包括一段私钥代码“-----BEGIN RSA PRIVATE KEY-----”和“-----END RSA PRIVATE KEY-----”。

2.2 证书安装

将域名 www.domain.com 的证书文件1_www.domain.com_bundle.crt 、私钥文件2_www.domain.com.key保存到同一个目录,例如/usr/local/nginx/conf目录下。
更新Nginx根目录下 conf/nginx.conf 文件如下:

server {
        listen 443;
        server_name www.domain.com; #填写绑定证书的域名
        ssl on;
        ssl_certificate 1_www.domain.com_bundle.crt;
        ssl_certificate_key 2_www.domain.com.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置
        ssl_prefer_server_ciphers on;
        location / {
            root   html; #站点目录
            index  index.html index.htm;
        }
    }

配置完成后,先用bin/nginx –t来测试下配置是否有误,正确无误的话,重启nginx。就可以使 https://www.domain.com 来访问了。

注:

配置文件参数 说明
listen 443 SSL访问端口号为443
ssl on 启用SSL功能
ssl_certificate 证书文件
ssl_certificate_key 私钥文件
ssl_protocols 使用的协议
ssl_ciphers 配置加密套件,写法遵循openssl标准
2.3 使用全站加密,http自动跳转https(可选)

对于用户不知道网站可以进行https访问的情况下,让服务器自动把http的请求重定向到https。
在服务器这边的话配置的话,可以在页面里加js脚本,也可以在后端程序里写重定向,当然也可以在web服务器来实现跳转。Nginx是支持rewrite的(只要在编译的时候没有去掉pcre)
在http的server里增加rewrite ^(.*) https://$host$1 permanent;
这样就可以实现80进来的请求,重定向为https了。

3. IIS 证书部署

3.1 获取证书

IIS文件夹内获得SSL证书文件 www.domain.com.pfx。

3.2 证书安装

1、打开IIS服务管理器,点击计算机名称,双击‘服务器证书’
3.2.1

2、双击打开服务器证书后,点击右则的导入
3.2.2

3、选择证书文件,如果输入申请证书时有填写私钥密码需要输入密码,点击确定。参考私钥密码指引
3.2.3

4、点击网站下的站点名称,点击右则的绑定
3.2.4

5、打开网站绑定界面后,点击添加
3.2.5

6、添加网站绑定内容:选择类型为https,端口443和指定对应的SSL证书,点击确定
3.2.6

7、添加完成后,网站绑定界面将会看到刚刚添加的内容
3.2.7

4. Tomcat 证书部署

4.1 获取证书

如果申请证书时有填写私钥密码,下载可获得Tomcat文件夹,其中有密钥库 www.domain.com.jks;
如果没有填写私钥密码,不提供Tomcat证书文件的下载,需要用户手动转换格式生成。

可以通过 Nginx 文件夹内证书文件和私钥文件生成jks格式证书
转换工具:https://www.trustasia.com/tools/cert-converter.htm
使用工具时注意填写 密钥库密码 ,安装证书时配置文件中需要填写。

4.2 证书安装

配置SSL连接器,将www.domain.com.jks文件存放到conf目录下,然后配置同目录下的server.xml文件:

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    keystoreFile="conf\www.domain.com.jks"
    keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />

注:

配置文件参数 说明
clientAuth 如果设为true,表示Tomcat要求所有的SSL客户出示安全证书,对SSL客户进行身份验证
keystoreFile 指定keystore文件的存放位置,可以指定绝对路径,也可以指定相对于 (Tomcat安装目录)环境变量的相对路径。如果此项没有设定,默认情况下,Tomcat将从当前操作系统用户的用户目录下读取名为 “.keystore”的文件。
keystorePass 密钥库密码,指定keystore的密码。(如果申请证书时有填写私钥密码,密钥库密码即私钥密码)
sslProtocol 指定套接字(Socket)使用的加密/解密协议,默认值为TLS
4.3 http自动跳转https的安全配置

到conf目录下的web.xml。在</welcome-file-list>后面,</web-app>,也就是倒数第二段里,加上这样一段

<web-resource-collection >
    <web-resource-name >SSL</web-resource-name>
    <url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>

这步目的是让非ssl的connector跳转到ssl的connector去。所以还需要前往server.xml进行配置:

<Connector port="8080" protocol="HTTP/1.1"
    connectionTimeout="20000"
    redirectPort="443" />

redirectPort改成ssl的connector的端口443,重启后便会生效。





更多的配置可以看Apache的官方文档:
http://httpd.apache.org/docs/trunk/ssl/ssl_howto.html


http://httpd.apache.org/docs/2.4/en/ssl/ssl_howto.html


乐意黎

2017-06-06

本文地址: http://blog.csdn.net/aerchi/article/details/72877851

打杂人
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
centos7.2.1511安装jdk1.8.0_151及mysql5.6.38的方法
09-09
主要介绍了centos7.2.1511安装jdk1.8.0_151及mysql5.6.38的方法,较为详细的讲述了centos7.2.1511安装jdk1.8.0_151及mysql5.6.38的具体步骤与相关设置技巧,需要的朋友可以参考下
Centos7.x下Nginx安装及SSL配置与常用命令详解
09-30
主要介绍了Centos7.x下Nginx安装及SSL配置与常用命令详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
DeprecationWarning: ssl.PROTOCOL_TLS is deprecated
最新发布
I AM COMING BACK...
02-05 450
DeprecationWarning: ssl.PROTOCOL_TLS is deprecated
centos7.2离线安装mysql5.7.18.tar.gz
09-09
主要为大家详细介绍了centos7.2离线安装mysql5.7.18.tar.gz,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
CentOS 7.2配置Apache服务httpd(上)
09-15
主要为大家详细介绍了CentOS 7.2配置Apache服务 httpd上篇,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Centos7安装给Apache服务安装配置SSL证书
01-07
一、目标 在Centos7.6平台下使用openssl给apache做自签名证书,并给apache设置HTTPS的SSL证书。(无坑版) 二、平台 [root@kahn.xiao ~]# uname -r 3.10.0-957.el7.x86_64 [root@kahn.xiao ~]# cat /etc/redhat-release  CentOS Linux release 7.6.1810 (Core)  [root@kahn.xiao ~]# rpm -qa |grep httpd httpd-tools-2.4.6-90.el7.centos.x86_64 httpd-2.4.6-9
连接数据库SSLHandshakeException问题
我想问问天的专栏
08-08 5115
问题描述: 在测试服务器上,java程序启动的时候,日志面出现javax.net.ssl.SSLHandshakeException,这个错误目前还没有发现是什么原因导致的,大概率是有人升级了mysql或者jdk的版本。 在查找多方资料发现,是jdk8和mysql支持的协议不一致导致的。 mysql版本:5.7.34 jdk版本:1.8.0_292 问题剖析: 1.jdk8从小版本JDK8u261开始支持TLS1.3,默认TLS1.2之前的协议在security面是禁用的,所以从JDK8u261开始只
mysql连接报错问题
weixin_41877582的博客
11-04 591
记录一次Linux上的mysql在windows上使用Navicat Premuim连接报错,不能连接的问题 首先是mysql的远程权限已经开启,然后使用navicat来连接,报错,不能连接上,Linux的ssh的端口已经修改,没有使用默认端口22。 具体操作 以上的操作成功之后,在通过常规连接去连接mysql,然后连接成功 那么为什么会这样呢? 以上图,可以看出Navicat是直接连接数据库的 https://blog.csdn.net/qq_40018938/article/details/907
MySQL多实例部署和Xtrabackup备份与恢复
minyao
08-26 209
在网页下载二进制MySQL包 https://downloads.mysql.com/archives/community/ [root@localhost src]# ls debug kernels mysql-5.7.34-linux-glibc2.12-x86_64.tar.gz [root@localhost src]# useradd -r -M -s /bin/nologin mysql [root@localhost src]# grep mysql /etc/group mysql:
二进制格式mysql安装和密码破解
mushuangpanny的博客
06-28 643
1.二进制安装mysql 2.破解mysql密码
mysql 进阶
kx0822的博客
06-28 286
1
Server chose TLSv1, but that protocol version is not enabled or not supported by the client.
liuhelong的专栏
09-04 2519
centos8 发布 springboot,连接mssql异常 com.microsoft.sqlserver.jdbc.SQLServerException: The driver could not establish a secure connection to SQL Server by using Secure Sockets Layer (SSL) encryption. Error: "Server chose TLSv1, but that protocol version is not e
nginx https配置tls1.2
wudinaniya的博客
11-27 1万+
在 nginx 配置文件(一般默认为nginx.conf)的server下配置如下代码: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 具体举例如下 server { listen 443 ssl; server_name www.xxx.com; ssl_certificate ...
java 建立tlsv1.2报错_httpd由于SSLProtocol而无法启动:非法协议'TLSv1.1'错误
weixin_42131276的博客
02-24 1050
我有一个MediaTemple订阅计划,服务器自动升级/更新 . 当我今天早上醒来时,我发现服务器上的网站和电子邮件根本不起作用 .我登录到Plesk(MediaTemple DV服务器的管理面板),发现一条错误消息:“由于配置模板中的错误,未创建Apache Web服务器的新配置文件:/ etc / httpd第230行的语法错误/conf.d/ssl.conf:SSLProtocol:非法协议...
tomcat中server.xml中sslProtocol="TLS"含义,关闭SSLv3
热门推荐
jackpk的专栏
08-25 2万+
refurl:http://zhidao.baidu.com/link?url=gO88GYoDlkZIAwKgtb4Qau6O59rC8R7RCBEQhJ3DpObrIxbJXK3CmqrfxaC_WLfr907AZgdKgh_ijUd1t6rtDANUKOxpSxTGggO9d4Z6-5_ 1) setProtocol="TLS" will enable SSLv3 an
nginx配置SSL证书
supernsl的博客
11-04 592
操作步骤 登录阿SSL证书控制台。 在左侧导航栏单击概览。 在SSL证书页面定位到需要下载的证书实例,单击下载。 在证书下载页面中定位到Nginx服务器,并单击右侧操作栏的下载,将Nginx服务器证书压缩包下载到本地。 解压已下载保存到本地的Nginx证书压缩包文件。 解压后的文件夹中有2个文件: 证书文件:以.pem为后缀或文件类型为PEM。 密钥文件:以.key为后缀或文件类型为KEY。 证书文件 登录您的Nginx服务器,在Nginx安装目录(Nginx默认安装目录为/usr/local/ngin
Spring Boot 连接 MSSQL 报警告:TLSv1 was negotiated
IT匠人的博客
06-22 5485
Spring Boot 连接 MSSQL 报警告:TLSv1 was negotiated
SSL证书的安全性和兼容性配置指南
安信SSL证书
12-18 2533
一、SSL协议选择 1,只使用安全协议版本TLSv1.1和TLSv1.2. 以apache为例,查招apache配置文件,找到SSLProtocol字段,去掉SSLProtocol All -SSLv2 -SSLv3 -TLSv1之前的注释(或者自己写也可以)。 2,如果你需要让网站支持一些老旧的浏览器或操作系统,那么请输入SSLProtocol All -SSLv2 -SSLv3即可。 ...
配置SSL证书实现服务器https访问
awake720的博客
06-20 1807
配置SSL证书实现服务器https访问 1、在/usr/local/nginx/conf下创建文件夹cert [root@izbp19uzq8q9obt191gzzrz nginx-1.9.4]# mkdir /usr/local/nginx/conf/cert/ 2、将SSL的两个证书文件放入cert文件夹 user nobody; worker_processes 1; ...
Centos7:bash: pip: command not found...
01-20
在CentOS 7中,如果出现"bash: pip: command not found"的错误,说明系统中没有安装pip或者pip的路径没有正确配置解决这个问题的方法是安装pip或者重新配置pip的路径。 以下是两种解决方法: 1. 安装pip: ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值