apache 虚拟主机启用SSL

最新推荐文章于 2023-04-29 16:56:07 发布
最新推荐文章于 2023-04-29 16:56:07 发布
阅读量5.6k 收藏 1
点赞数 1
分类专栏: WEB Server 文章标签: apache 服务器 ssl http服务器 j2se include

以下前半部转自:http://www.chinaunix.net/jh/4/479635.html 作者wingger

后面根据实际情况写了我自己配的操作!

 

本文章在LINUX9+apache2.0.52,tomcat5.5.6,j2se1.5,openssl0.97上实验通证
本文的目的是为了交流,如有出错的地方,请指教
转载请注明出处,并保持文章的完整性
现在开始安装

首先在安装之前要明白一些基本概念

1、SSL所使用的证书可以是自己建的生成的,也可以通过一个商业性CA如Verisign 或 Thawte签署证书。


2、证书的概念:首先要有一个根证书,然后用根证书来签发服务器证书和客户证书,一般理解:服务器证书和客户证书是平级关系。在SSL必须安装根证书和服务器证书来认证。

因此:在此环境中,至少必须有三个证书:即根证书,服务器证书,客户端证书
在生成证书之前,一般会有一个私钥,同时用私钥生成证书请求,再利用证书服务器的根证来签发证书。

3、签发证书的问题:我最近找了很多关于openssl的资料,基本上只生成了根证书和私钥及服务器证书请求,并没有真正的实现签证。我这里参考了一些资料,用openssl自带的一个CA.sh来签证书,而不是用MOD_ssl里的sign.sh来签。

用openssl语法来生成证书,有很多条件限定,如目录,key的位置等,比较麻烦,我实验了好几天,最后放弃了。有兴趣的可以参考一下openssl手册。


步骤一:安装openssl和apache
1、到www.openssl.org下载openssl-0.9.7e.tar.gz(目前最新版)
2、卸载掉老的opensll库 

#rpm –e –-nodeps openssl 

 
3、解压:

#tar xzvf openssl-0.9.7e.tar.gz


4、进入openssl目录,并安装,用--prefix指定openssl安装目录

#cd openssl-0.9.7e

#./config --prefix=/usr/local/openssl

#make

#make test

#make install 



5、安装apache
至www.apache.org/dist下载apache最新版httpd-2.0.52.tar.gz
解压后进入apache目录,根据需要安装需要的模块,我这里装了ssl,rewrite,动态模式安装

#tar zxvf httpd-2.0.52.tar.gz

#cd httpd-2.0.52

#./configure  --prefix=PREFIX   --enable-ssl   --enable-rewrite  --enable-so   --with-ssl=/usr/local/openssl

#make

#make install



步骤二:签证
安装openssl后,在openssl下有一个CA.sh文件,就是利用此文件来签证,
来签三张证书,然后利用这三张证书来布SSL服务器。

1、在/usr/local/apache/conf下,建立一个ssl.crt目录,将CA.sh文件copy至/usr/local/apache/conf/ssl.crt/目录

[root@win ssl]# cp /usr/local/openssl/ssl/misc/CA.sh /usr/local/apache/conf/ssl.crt/CA.sh



2、运行CA.sh -newca,他会找你要CA需要的一个CA自己的私有密钥密码文件。如果没有这个文件?按回车会自动创建,输入密码来保护这个密码文件。之后会要你的一个公司信息来做CA.crt文件。最后在当前目录下多了一个./demoCA这样的目录../demoCA/private/cakey.pem就是CA的key文件啦,./demoCA/cacert.pem就是CA的crt文件了

[root@win ssl.crt]# ./CA.sh -newca



要求输入如下信息:
引用:Country Name (2 letter code) [GB]:CN
State or Province Name (full name) [Berkshire]:FUJIAN
Locality Name (eg, city) [Newbury]:FUZHOU
Organization Name (eg, company) [My Company Ltd]:FJJM
Organizational Unit Name (eg, section) []:FD
Common Name (eg, your name or your server's hostname) []:WIN
Email Address []:WIN@WIN.COM

这样就建好了一个CA服务器,有了一个根证书的私钥cakey.pem及一张根证书cacert.pem,现在就可以cacert.pem来给签证了

3、签署服务器证书
生成服务器私钥:

[root@win ssl.crt]# openssl genrsa -des3 -out server.key 1024


生成服务器证书请求

[root@win ssl.crt]# openssl req -new -key server.key -out server.csr


会要求输入信息

Country Name (2 letter code) [GB]:CN

State or Province Name (full name) [Berkshire]:FUJIAN

Locality Name (eg, city) [Newbury]:FUZHOU

Organization Name (eg, company) [My Company Ltd]:FJJM

Organizational Unit Name (eg, section) []:FD

Common Name (eg, your name or your server's hostname) []:WIN

Email Address []:WIN@WIN.COM

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:WIN

An optional company name []:WING



最后把server.crt文件mv成newreq.pem,然后用CA.sh来签证就可以了

[root@win ssl.crt]# mv server.csr newreq.pem

[root@win ssl.crt]# ./CA.sh -sign

这样就生成了server的证书newcert.pem
把newcert.pem改名成server.crt

[root@win ssl.crt]# mv newcert.pem server.crt




4、处理客户端:
生成客户私钥:

[root@win ssl.crt]# openssl genrsa -des3 -out client.key 1024


请求

[root@win ssl.crt]# openssl req -new -key client.key -out client.csr


签证:

[root@win ssl.crt]# openssl ca -in client.csr -out client.crt


把证书格式转换成pkcs12格式

[root@win ssl.crt]# openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx



5、这时就有了三张证书和三个私钥,一个是demoCA下的根证书,ssl.crt下的服务器证书和客户证书。及demoCA/private下的根key,ssl.crt下的服务器key和客户key,在conf下的ssl.conf下指定证书的位置和服务器key的位置.

我是在conf下建立一个ssl.crt目录,并将所有的key和证书放到这里

#cp demoCA/cacert.pem cacert.pem


同时复制一份证书,更名为ca.crt

#cp cacert.pem ca.crt




=============================================以下几步我的与原文章作者不太样,这是原作者的:
步骤三、编辑ssl.conf

#cd /usr/local/apache/conf


编辑ssl.conf

指定服务器证书位置

SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt

指定服务器证书key位置

SSLCertificateKeyFile /usr/local/apache/conf/ssl.crt/server.key

证书目录

SSLCACertificatePath /usr/local/apache/conf/ssl.crt

根证书位置

SSLCACertificateFile /usr/local/apache/conf/ssl.crt/cacert.pem

开启客户端SSL请求

SSLVerifyClient require

SSLVerifyDepth  1



启动ssl

/usr/local/apache/bin/apachectl startssl

会要求输入server.key的密码
启动,这样一个默认的SSL服务器及http服务器就启动了,

步骤四、安装和使用证书
把刚才生成的证书:根证书ca.crt和客户证书client.pfx下到客户端,并安装,
ca.crt安装到信任的机构,client.pfx直接在windows安装或安装到个人证书位置,然后用IP访问HTTP和https服务器。

 

=================================以下是我实际操作的

 

打开/usr/local/apache/conf/httpd.conf

加上:

 

Include conf/extra/httpd-ssl.conf

或把这行的前面的注释去掉

 

保存,

 

再打开/usr/local/apache/conf/extra/httpd-ssl.conf

留下以下几行,其它的全部注释或删除

 

Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl    .crl
SSLPassPhraseDialog  builtin
SSLSessionCache        "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout  300
SSLMutex  "file:/usr/local/apache/logs/ssl_mutex"

当然如果把SSL的虑拟主机放在这个文件里那就把下面的放到这个文件也行,

 

打开/usr/local/aapche/conf/extra/httpd-vhost.conv

 

把需要启用SSL的虑拟主机配置如下:

 

<VirtualHost *:443>
    ServerAdmin admin@server.com
    DocumentRoot "/var/www"
    ServerName www.server.com:443
    ErrorLog "/var/logs/www-error_log"
    TransferLog "/var/logs/www-access_log"
    SSLEngine on
    SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

    SSLCertificateFile "/usr/local/apache/conf/ssl.crt/server.crt"
    SSLCertificateKeyFile "/usr/local/apache/conf/ssl.crt/server.key"

    <FilesMatch "/.(cgi|shtml|phtml|php)$">
        SSLOptions +StdEnvVars
    </FilesMatch>
    BrowserMatch ".*MSIE.*" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
    CustomLog "/var/logs/www-ssl_request_log" "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x /"%r/" %b"


</VirtualHost>

这样重启apache访问网站时用https://www.server.com就可以了,但会提示证书不受信任,呵呵,因为是个人制作的证书,不是所谓的权威机构弄的,所以不受信任,可以手动加为受信任就可以了

 

 

 

sdomain
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
lamp环境配置apache虚拟主机
03-13
此文档适用于lamp环境apache虚拟主机的搭建,使用lamp环境搭建虚拟主机的新手,可以参看此文档。
Apache配置ssl证书-实现https访问
最新发布
J_Lee
11-12 1530
Apache配置ssl证书-实现https访问
Apache 服务器上安装 SSL 证书
a_small_cherry的博客
02-18 1211
简介:阿里云SSL证书服务支持下载证书安装到Apache服务器,从而使Apache服务器支持HTTPS安全访问。本文主要为大家介绍证书安装的具体操作。 镜像下载、域名解析、时间同步请点击阿里巴巴开源镜像站 一、前提条件 您的Apache服务器上已经开启了443端口(HTTPS服务的默认端口)。 您的Apache服务器上已安装了mode_ssl.so模块(启用SSL功能)。 本文档证书名称以domain name为示例,例如:证书文件名称为domain name_public.crt,证...
Apache 配置https虚拟主机
Free雅轩的博客
04-29 197
打开vhosts配置,跳转到447行和459行,取消掉Include conf/extra/httpd-vhosts.conf和Include conf/extra/httpd-ssl.conf之前的注释。改为:SSLCertificateKeyFile "/usr/local/apache/conf/ssl.key/server.key"改为:SSLCertificateFile "/usr/local/apache/conf/ssl.key/server.cert"看到如下提示,输入密码,即可完成。
apache使用https协议配置虚拟主机
sunsh_linux的博客
05-12 342
1. 添加域名对应的 “服务器证书、ca证书、私钥” 到指定配置的目录中,配置项的关键词为 “SSLCertificateFile、SSLCertificateKeyFile、SSLCACertificateFile” 2. 修改配置文件 # 注意:这是一个简单项目的完整配置文件 # 查看配置 egrep "^#|^$" -v /etc/httpd/conf.d/ssl.conf Listen 443 https SSLPassPhraseDialog exec:/usr/libexe..
SSL安全访问协议及配置
慕容的博客
07-17 7614
一.https协议介绍 概述: https=http+ssl(安全套接层)   https公钥验证失败警告: 1、证书不受信任会出现该警告 2、证书受信任,但并非在当前访问域名下也会出现此警告。   公钥证书查看方法:     上图所示为普通的https网站实例,某些网站https公钥类型不同则会有其它展现形式,如: 中国工商银行:   查看本机...
apache虚拟主机的配置指南
09-15
本文介绍了apache虚拟主机的配置的方法,要配置apache虚拟主机,我们需要分以下几步进行:检查apache虚拟主机模块,开启apache虚拟主机功能,httpd-vhosts.conf文件详解,根据IP配置虚拟主机,根据端口配置虚拟...
apache 虚拟主机配置技巧
09-30
大多数人可能就知道 Apache 的基于名字的,不知道 Apache 还可以有基于 IP 的。前者的道理不言自明,多个域名(服务器)对应一个 IP 地址,配置方法为:
apache 虚拟主机的配置方法
01-20
方法一: 首先打开apache中conf下的http.conf文件打开虚拟主机的注释:如下去掉第二行前面的#即可 # Virtual hosts # Include conf/extra/httpd-vhosts.conf 再打开conf目录下的extra目录中的httpd-vhosts.conf文件 在...
APACHE 配置虚拟主机HTTPS
一个80后IT之路
02-03 362
prepare the running env of os make sure you are using redhat or centen os 7.5 cat /etc/redhat-release yum install git yum install openssl prepare the running env apache yum install htt...
linux中apache配置、虚拟主机设置及https配置
msm05138240的博客
11-12 3218
apache:企业常用的web服务。用来提供http://(超文本传输协议) Apache HTTP Server(简称Apache),是一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展,将Perl/Python等解释器编译到服务器中。 一、apache部署安装 [root@dns...
Apache配置虚拟主机和多HTTPS服务
wing 的专栏
02-12 3311
之前写过一篇是讲apache配置虚拟主机的文章:http://www.markdream.com/server/apache-vhost.shtml 多个虚拟主机的配置还是教程看上文,最近闲来无事,研究了一下apache的多虚拟主机的同时添加多个https的服务 事实上apache在配置虚拟主机的时候,我们配置httpd-vhosts.conf这个文件(我已经将注释去除掉了,如果你的a
Apache中多个HTTPS虚拟主机的实现
lengxin337的专栏
02-28 1万+
转自http://blog.chinaunix.net/uid-20104120-id-4306742.html 要实现一个Apache服务器上提供多个SSL虚拟主机,可以: * 使用多域名SSL证书,可以实现一个IP,一个443端口上多个SSL虚拟主机; * 一个ip,为所有SSL虚拟主机配置单独的端口。比如,默认的虚拟主机使用443,其他的使用8080或8081等,且每个SSL虚  
apachehttps的实现(含证书),设置https虚拟主机并设定网页重写
试试看吧。
05-23 2515
一:https的概念 HTTPS简介: HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版本。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URL scheme(抽象标识符体系),句法类同http:体系。用于安全的...
Apache 使用ssl模块配置HTTPS
热门推荐
阳光岛主
02-06 6万+
Web服务器在默认情况下使用HTTP,这是一个纯文本的协议。正如其名称所暗示的,纯文本协议不会对传输中的数据进行任何形式的加密。而基于HTTP的Web服务器是非常容易配置,它在安全方面有重大缺陷。任何”中间人”,通过精心防止的数据包嗅探器,是能够看到任何经过的数据包内容。更进一步,恶意用户甚至可以在传输路径设置一个假冒的WEB服务器冒名顶替实际的目标Web服务器。在这种情况下,最终用户可能实际上与
apache环境下配置多个ssl证书搭建多个站点
a249130的博客
09-20 7549
服务器上有两个项目,都要配置https,所以在阿里云申请了两个二级的免费证书。 博主用的是phpstudy,如果用的其他集成环境,其实也差不多,参考下改改就好了。 一.申请证书(这里我用的是阿里的域名)   1.登录阿里云,点击域名,找到要配置ssl的域名,点击后面的ssl证书      2.这里我申请的是免费的单域名证书,点击确定提交阿里云审核,大概10-20分钟左右就审核好了   ...
Apache虚拟主机配置SSL证书
SlowFeather's blog
05-27 303
Apache虚拟主机配置SSL证书前言合并证书 前言 有个虚拟主机需要配一下HTTPS,域名是阿里云的,虚拟主机是*港的,于是在阿里云申请了一个免费的SSL证书,选择Apache的下载,有三个文件,但是虚拟主机只需要一个crt和key即可。 合并证书 把xxxxxxx_public.crt 和 xxxxxxx_chain.crt合并成一个文件 直接txt打开两个文件,复制内容保存成一个文件 需要注意的是xxxxxxx_public.crt内容放前面,不要留空行。 ...
centos7 apache配置ssl证书(多域名、虚拟主机
张小斌
11-12 1640
系统基础信息: 系统:centos7 apacheApache/2.4.37 一服务器下配置了多虚拟主机。 在华为云购置了SSL 免费证书,按照其文档(如下图)做配置,但是未找到相关配置位置: 经多次资料搜索后,确定我服务器的配置和文档的不一致; 其实很简单,只要在apache的按照目录下,找到conf.d/ssl.conf文件修改即可。 如何修改?(零apache知识 用了蠢办法): vim ssl.conf 打开文件;注意:编辑前先将原始文件复制一份,备份 复制文件内标签<Virtual
apache2.4.6 如何部署SSL证书
06-08
以下是在Apache 2.4.6上部署SSL证书的步骤: 1. 获取SSL证书文件 你可以从证书颁发机构(CA)或自行签名的证书中获取SSL证书文件。通常,这个文件包括以下内容: - 证书文件(.crt) - 私钥文件(.key) - 中间证书文件(.ca-bundle) 确保你拥有这些文件,并将它们保存在一个安全的地方。 2. 配置Apache 在配置文件中启用SSL模块。在CentOS中,配置文件通常位于`/etc/httpd/conf/httpd.conf`或`/etc/httpd/conf.d/ssl.conf`。在Ubuntu中,通常位于`/etc/apache2/sites-available/default-ssl.conf`。 在配置文件中找到以下语句,并启用它们: ``` LoadModule ssl_module modules/mod_ssl.so ``` 3. 配置虚拟主机 在配置文件中找到要启用SSL虚拟主机,并添加以下配置: ``` <VirtualHost *:443> ServerName example.com ServerAlias www.example.com DocumentRoot /var/www/html SSLEngine on SSLCertificateFile /path/to/cert.pem SSLCertificateKeyFile /path/to/key.pem SSLCACertificateFile /path/to/ca-bundle.pem </VirtualHost> ``` 在这个示例中,`example.com`和`www.example.com`是你的网站域名,`/var/www/html`是你的网站根目录。`/path/to/cert.pem`是你的证书文件,`/path/to/key.pem`是你的私钥文件,`/path/to/ca-bundle.pem`是你的中间证书文件。 4. 重启Apache 完成上述步骤后,保存配置文件,并重新启动Apache: ``` sudo systemctl restart httpd.service # CentOS sudo systemctl restart apache2.service # Ubuntu ``` 现在你的网站应该已经启用SSL证书。你可以在浏览器中输入你的网站地址来验证证书是否已正确部署。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值