Apache2 配置 HTTPS

已于 2023-02-07 18:17:50 修改
阅读量5.5k 收藏 27
点赞数 5
文章标签: git gitignore https
于 2022-03-31 15:27:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bluebird_shao/article/details/123873452
版权

文章目录

自签名 CA 证书

  • 生成密钥

    使用 128 位的 RSA 算法生成的密钥,4096 是密钥的长度,建议使用 4096 或以上的值且必须是 2 的整数次方。

    openssl genrsa -out private.key 4096

  • 生成 RSA 证书

    openssl req -new -key private.key -out server.csr

    在提示 Common Name 时,输入与通过浏览器访问您网站的 URL 完全相同的地址,如域名地址 www.example.com 或者 IP 地址 10.133.5.170,如果服务器证书的 Common Name 与站点名字不匹配的话,客户端的浏览器就会怀疑您的证书的真实性,而出现报错情况:

    Common Name (e.g. server FQDN or YOUR name) []:10.133.5.170

    其余提示可以全部保留默认,直接回车即可。

  • 签发证书

    openssl req -x509 -days 365 -key private.key -in server.csr -out server.crt

  • 查看证书详细信息

    openssl x509 -noout -text -in server.crt

服务器部署 HTTPS

步骤:

  • 安装 Apache2
  • 开启 SSL 模块
  • 配置 CA 证书路径
  • 重启 Apache2 服务生效
sudo apt install -y apache2 ssl-cert    # 安装 apache2, ssl-cert
sudo a2enmod ssl                        # 开启 ssl 模块
sudo a2ensite default-ssl.conf          # 开启 default-ssl 站点
sudo systemctl restart apache2.service  # 重启服务

完成这些步骤之后,可以在浏览器上输入 https://localhost 进行验证;也可以通过 netstat 命令查看是否已经开启了 https(443) 端口:

$ netstat -antulp | grep 443

...
tcp6       0      0 :::443                  :::*                    LISTEN      -
...

如果可以看到以上信息说明已经正确启用了 SSL 模块。

/etc/apache2/sites-enabled/default-ssl.conf 文件是关于秘钥部分的配置:

    #   A self-signed (snakeoil) certificate can be created by installing
    #   the ssl-cert package. See
    #   /usr/share/doc/apache2/README.Debian.gz for more info.
    #   If both key and certificate are stored in the same file, only the
    #   SSLCertificateFile directive is needed.
    SSLCertificateFile  /etc/ssl/certs/ssl-cert-snakeoil.pem
    SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

默认情况下,ssl-cert 的软件包带了一份自签名证书,我们需要重新配置 SSLCertificateFile 指定证书路径和 SSLCertificateKeyFile 指定私钥路径。default-ssl.conf 修改为:

    #   A self-signed (snakeoil) certificate can be created by installing
    #   the ssl-cert package. See
    #   /usr/share/doc/apache2/README.Debian.gz for more info.
    #   If both key and certificate are stored in the same file, only the
    #   SSLCertificateFile directive is needed.
    SSLCertificateFile  /etc/ssl/certs/server.crt
    SSLCertificateKeyFile /etc/ssl/private/private.key

在此之前需要将 server.crtprivate.key 放入规定的位置,可以使用命令:

sudo cp server.crt /etc/ssl/certs
sudo cp private.key /etc/ssl/private

重新启动 Apache2 服务器让配置生效:

sudo systemctl restart apache2.service

客户端验证

  • server.crt 的内容追加到 /etc/ssl/certs/ca-certificates.crt 后面;

  • 使用 curl 进行验证:

    curl -v https://10.133.5.170

  • 正常情况下能够显示接收到的 html 内容,加入 -v 用于查看详细的过程信息:

    *   Trying 10.133.5.170:443...
* TCP_NODELAY set
* Connected to 10.133.5.170 (10.133.5.170) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use http/1.1
* Server certificate:
*  subject: C=AU; ST=Some-State; O=Internet Widgits Pty Ltd; CN=10.133.5.170
*  start date: Mar 29 08:12:13 2022 GMT
*  expire date: Mar 29 08:12:13 2023 GMT
*  common name: 10.133.5.170 (matched)
*  issuer: C=AU; ST=Some-State; O=Internet Widgits Pty Ltd; CN=10.133.5.170
*  SSL certificate verify ok.
> GET / HTTP/1.1
> Host: 10.133.5.170
> User-Agent: curl/7.68.0
> Accept: */*

    可以看到 CAfile 签名证书是 /etc/ssl/certs/ca-certificates.crtCApath 目录是 /etc/ssl/certs

Https 原理

客户端在接受到服务端发来的 SSL 证书时,会对证书的真伪进行校验,以浏览器为例说明如下:

  1. 首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验;
  2. 浏览器开始查找操作系统中已内置的受信任的证书发布机构 CA,与服务器发来的证书中的颁发者 CA 比对,用于校验证书是否为合法机构颁发;
  3. 如果找不到,浏览器就会报错,说明服务器发来的证书是不可信任的;
  4. 如果找到,那么浏览器就会从操作系统中取出颁发者 CA 的公钥,然后对服务器发来的证书里面的签名进行解密;
  5. 浏览器使用相同的 hash 算法计算出服务器发来的证书的 hash 值,将这个计算的 hash 值与证书中签名做对比;
  6. 对比结果一致,则证明服务器发来的证书合法,没有被冒充;
  7. 此时浏览器就可以读取证书中的公钥,用于后续加密了。

常见问题

  1. 浏览器显示 Warning: Potential Security Risk Ahead

    • 点击 Advanced...Accept the Risk and Continue 按钮将证书加入到可信任的证书列表中

  2. 执行 curl 命令时报错 curl: (60) SSL certificate problem: self signed certificate

    • server.crt 的内容追加到 /etc/ssl/certs/ca-certificates.crt 后面。

参考

开启apache2的ssl访问功能
HTTPS系列干货(一):HTTPS 原理详解

欢迎关注我的公众号:飞翔的小黄鸭
也许会发现不一样的风景

iBlackAngel
关注
  • 5
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
apache配置https
06-27
apache配置httpsapache配置httpsapache配置httpsapache配置httpsapache配置https
使用Apache2 搭建静态文件服务器
XiChuan的博客
11-23 3320
1.安装Apache2 sudo apt-get install apache2 2.修改Apache2端口(可以选择不修改) vi /etc/apache2/ports.conf #将80改为想要的端口 #重启服务 service apache2 resatrt 3.访问首页 在浏览器输入:http:\\127.0.0.1:80 4.创建软连接,将...
Apache如何配置https以及80重定向443(一文搞懂)
最新发布
爱勇宝
03-14 1589
最近公司项目考虑到安全性要使用https,于是领导就把这个任务交给了我,今天就一次性搞懂https如何配置
Linux(Ubuntu 18)之Apache安装(五)
weixin_42272869的博客
01-22 1777
Linux Apache2的安装与介绍 1、Apache2的安装 1、更新apt源 sudo apt-get update 2、安装apache2 sudo apt-get install apache2 默认apache2安装在了/etc/apache2文件夹下 目录结构如下: apache2 的几个简单命令: 启动、停止、重启、状态: sudo /etc/init.d/apache2 [ start | stop | restart | status ] service apache2 [ star
apache2配置优化以及性能测试小结
morgan363的专栏
11-03 595
apache2配置优化以及性能测试小结一、优化目的:      公司中现有多个apache平台,其中网元管理系统、升级和注册授权系统、离线浏览系统和应用组所开发的系统都是运行在专用的服务器中,他们都是以业务为主的系统,所拥有的硬件资源比较多,可以着重优化apache的运行速度,以适当的资源换取更高的运行速度。但是设备中运行的各个配置程序,他们是以性能为主的系统,所运行的环境就要相对恶劣
Apache2 httpd.conf 配置详解(一)
number_chc的专栏
09-01 2689
常用配置指令说明 1. ServerRoot:服务器的基础目录,一般来说它将包含conf/和logs/子目录,其它配置文件的相对路径即基于此目录。默认为安装目录,不需更改。 语法:ServerRoot directory-path 如: ServerRoot "/usr/local/apache-2.2.6" 注意,此指令中的路径最后不要加 / 。 2. Listen:指定服务器监听的I
Linux系统应用:Web服务器(Apache2)的简单配置
Dae_Lzh的博客
05-09 4499
常用的Web服务器有Apache、IIS、 Tomcat 、Nginx、Lighttpd、IBM Websphere等,其中应用最广泛的是Linux下的Apache(Apache也应用在Windows平台下),是世界使用排名第一的Web服务器软件;它可运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。而Windows平台下最常用的Web服务器是IIS。 防火墙配置命令ufw 安装ufw apt-get install ufw 常用命令 ufw enab
Linux上面配置Apache2支持Https(ssl)具体方案实现
黑夜开发者的博客
02-11 1919
虽然Nginx比较流行,但是由于一些老项目用到了Apache2来支持Web服务,最近想给服务上一个Https支持,虽然看似教程简单,但是也遇到一些特殊情况,经历了一番折腾也算是解决了所有问题,将过程记录如下。演示是基于Ubantu系统。
Apache2配置https
chuannaoxuan4674的博客
12-31 443
介绍 本文介绍,配置apache2支持https,包括了单向和双向的认证。所谓单向认证,就是客户端来认证服务器是否安全;双向认证就是服务器也会验证客户端是否是安全的——网银一般都是双向的。 如果你不希望你的服务对所有的ip地址都开发的话,可以通过配置来实现,具体请看下文介绍。 ...
apache2 https配置
wish_blue_sky的专栏
02-23 1138
apache2 https配置 之前的网站配置没有加密即http访问,现在来配置加密访问即https访问 要使用https就要有ssl证书 局域网的https,我们可以使用自签证书 首先用mkcert生成证书,mkcert需要64位电脑,找台64位电脑,下载mkcert,最新版本1.4.3 下载地址:https://github.com/FiloSottile/mkcert/releases/download/v1.4.3/mkcert-v1.4.3-windows-amd64.exe window下cmd
Apache2 安装、配置、卸载 (Ubuntu )
走在搬砖的路上!
08-31 1259
两种安装方法 软件包安装 源码安装 一、软件包安装 安装 命令:sudo apt-get updatesudo apt-get install apache2 配置 (1)apache2 默认的几个配置文件: /etc/apache2/apache2.conf 是主要配置文件(这个文件的末尾可以看到,include了其它所有的配置文件)。 /etc/apache2/ports.conf 始终包含在主配置文件中。它用于确定传入连接的侦听端口,默认为80,我们一般都会重新配置新的端口
apache安装并配置HTTPS
10-11
apache源码安装并配置HTTPS,首先要安装apr、apr_util、pcre、openssl,资源中包含了所需的所有的源码和安装文档。
apache2配置文件httpd.conf
08-09
apache2配置文件httpd.conf
apache2配置ssl
04-08
apache2源代码编译安装教程所需材料 https://blog.csdn.net/u014271612/article/details/79848731
apache配置https.docx
10-08
apache配置https,总结网上搜索的众多文档,归结配置调试没问题!
Apache2 WEB服务器的配置步骤分享
09-15
Apache2 WEB服务器的配置步骤分享,配置apache服务器的朋友可以参考下。
apache转发配置
08-29
Apache配置可以采用两种不同的方式实现转发,一种是直接采用ProxyPassReverse方式,一种是通过rewrite方式
APACHE SSL配置 https 安全设置
02-15
linux环境中设置APACHE支持SSL,使用OPENSSL生成安全密钥。前段时间客户要求增加项目安全性,通过实践与网络学习,总结文档与大家分享。
apache https配置详细步骤讲解
09-15
主要讲述在windows下apache配置SSL以实现http转换为https

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值