该教程帮助Apache2走进HTTP 2.0.
原文地址:http://blog.coolecho.net/2015/12/https.html
————————————————————————————————————正文————————————————————————
前不久HTTP 2.0正式发布,刚发布的 Apache httpd 2.4.17 也支持 HTTP/2 了,想在浏览器上使用 HTTP/2, 而浏览器只在使用 TLS 连接(https:// 开头的 url)时才支持 HTTP/2。最近也想在博客站点上用HTTPS,在百度上搜索找到最近的资料都是2012年的,更别提08年的。下面是一段详尽的教程,用以在Ubuntu上配置Apache2的https访问。
1.连接服务器
连接服务器的方法有很多,一般用ssh就可以来,配套的可以用ftp工具传输文件。
2.安装OpenSSL
有的Ubuntu系统默认已经安装了,可以用sudo apt-get show openssl
查看。
如果没有安装,可以用命令:
1 | sudo apt-get install openssl |
3.开启SSL模块
4.创建密钥和CRS文件
下文都是以demo.coolecho.net 这个域名为例子。
1 | openssl genrsa -des3 -out demo.coolecho.net.key 2048 |
去掉-des3 就不会需要密码,一般还是加上吧。
下一步生成crs文件:
1 | openssl req -new -key demo.coolecho.net.key -out demo.coolecho.net.csr |
输入密码之后还需要填写一些信息:
Country Name (2 letter code) [GB]: 输入国家地区代码,如中国的 CN State or Province Name (full name) [Berkshire]: 地区省份
Locality Name (eg, city) [Newbury]: 城市名称
Organization Name (eg, company) [My Company Ltd]: 公司名称 Organizational Unit Name (eg, section) []: 部门名称
Common Name (eg, your name or your server’s hostname) []: 申请证书域名
5.创建crt证书
上一步结束后,当前文件夹下面就会有:
demo.coolecho.net.key
demo.coolecho.net.csr
这两个文件,csr文件可以上传给认证机构生成我们需要的crt文件,也可以自签名证书。
方法一:
在本地自签名证书 ,可以使用以下命令:
1 | $ sudo apache2-ssl-certificate |
方法二:
不用自签名则需要将我们生成的csr文件上传给专门的CA认证机构,网上有很多,我用的是WoSign,这个时候我才知道原来CA认证是要收费的,还好上面有免费的,注册完账号,根据你需要认证的网站WoSign需要验证所有权,上面可以Whois邮箱认证也可以上传文件到根目录认证。等认证完了就可以在“我的账户”中选择“选购客户端”证书,直接往下面拉,找到免费的,土豪可以掏钱。
选择“申请免费SLL证书”,填写绑定域名,下一步需要跳csr文件,可以选择让WoSign帮你完成,也可以选择第二个自己提交。这里选择第二个选项,将刚刚穿件的.csr文件里面的内容粘贴进去,提交之后,就可以下载证书了。
下载到本地之后,里面有适配多个服务器点证书文件,for Apache 文件中的文件是我们需要的。
解压后里面有两个文件,含有bundle的是证书证书链,这两个文件我们都需要,可以自己重命名。
将这两个文件上传到服务器上:
6.配置SSL
上一步完成后,应有有了 .key .csr .crt 和证书链这个四个文件(自签名的没有证书链)。
执行一下命令:
1 | sudo cp demo_bundle.crt /etc/ssl/private |
2 | sudo cp demo.coolecho.key /etc/ssl/private |
3 | sudo cp demo.coolecho.crt /etc/ssl/certs |
7.配置Apache
1.进入/etc/apache2 目录下, vim ports.conf ,按照这样配置:
6 | <IfModule mod_gnutls.c> |
一般安装了SSL,这一部分默认就是这样配置的。
2.进入/etc/apache2/sites-available/下,这个时候已经有了
default-ssl
default-ssl.conf
这个两个文件。
输入命令:
1 | ln -s /etc/apache2/sites-available/default-ssl /etc/apache2/sites-enabled/001-ssl |
3.配置default-ssl.conf
文件里面一般是这种结构
2 | <VirtualHost _default_:443> |
5 | <VirtualHost _default_:443> |
比如配置demo.coolecho.net,在DocumentRoot后面添加:
2 | SSLProtocol all -SSLv2 -SSLv3 |
3 | SSLCertificateFile /etc/ssl/certs/demo.coolecho.net.crt |
4 | SSLCertificateKeyFile /etc/ssl/private/demo.coolecho.net.key |
5 | SSLCertificateChainFile /etc/ssl/private/demo_bundle.crt |
保存后,执行命令:
1 | sudo a2ensite default-ssl.conf |
4.重启Apache
1 | sudo /etc/init.d/apache2 restart |
或者
1 | sudo service apache2 restart |
需要输入证书的密码完成重启。
最后来看一看效果。
下面你也可以设置http跳转微https请求。在使用了HTTPS后,很多不规范的脚本都给拦截了,一些社会化分享工具的脚本也给拦截了,谷歌广告等也没幸免,所以我暂时没有设置跳转HTTPS,但是现在越来越多的网站都开始使用HTTPS啦。