APACHE安装SSL证书

SSL从申请到安装分为以下步骤:

1、申请证书(略)

2、下载Apache版本证书,下载到本地的是一个压缩文件,解压后里面包含_public.crt文件是证书文件,_chain.crt是证书链(中间证书)文件,.key文件是证书的私钥文件(申请证书时如果没有选择系统创建CSR,则没有该文件)。

友情提示: .crt扩展名的证书文件采用Base64-encoded的PEM格式文本文件,可根据需要,修改成.pem等扩展名。

以Apache标准配置为例,假如证书文件名是a_public.crt,证书链文件是a_chain.crt,私钥文件是a.key。

3、操作步骤
在Apache的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件,请将对应的私钥文件放到cert目录下并且命名为a.key;

打开 apache 安装目录下 conf 目录中的 httpd.conf 文件,找到以下内容并去掉“#”。
#LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件:yum -y install mod_ssl openssl)
#Include conf/extra/httpd-ssl.conf(删除行首的配置语句注释符号“#”,保存后退出)

4、打开 apache 安装目录下 conf/extra/httpd-ssl.conf 文件 (也可能是conf.d/ssl.conf,与操作系统及安装方式有关), 在配置文件中查找以下配置语句:
# 添加 SSL 协议支持协议,去掉不安全的协议
SSLProtocol all -SSLv2 -SSLv3
# 修改加密套件如下
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLHonorCipherOrder on
# 证书公钥配置
SSLCertificateFile cert/a_public.crt
# 证书私钥配置
SSLCertificateKeyFile cert/a.key
# 证书链配置,如果该属性开头有 '#'字符,请删除掉
SSLCertificateChainFile cert/a_chain.crt
完整入口配置
<virtualhost *:443>
	DocumentRoot "${WEBROOT}/www/"
	ServerName www.test.com
	ServerAdmin admin@admin.com
	ErrorLog "${SRVROOT}/logs/error.log"
	TransferLog "${SRVROOT}/logs/access.log"
	SSLEngine on
	SSLCertificateFile "${SRVROOT}/cert/a_public.crt"
	SSLCertificateKeyFile "${SRVROOT}/cert/a.key"
	SSLCertificateChainFile "${SRVROOT}/cert/a_chain.crt"
</virtualhost>

5、重启 Apache


自动跳转到 HTTPS,网站根目录新建 .htaccess
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R,L]

6、https代理转发

<VirtualHost *:443>
	ServerName www.test.com
	SSLEngine on
    SSLProxyEngine On
    SSLProxyVerify none
    SSLProxyCheckPeerCN Off
	SSLProxyCheckPeerName Off
	SSLCertificateFile "${SRVROOT}/cert/a.crt"
	SSLCertificateKeyFile "${SRVROOT}/cert/a.key"
	SSLCertificateChainFile "${SRVROOT}/cert/server.crt"
	<Proxy *>
       Order deny,allow
       Allow from all
    </Proxy>
    ProxyPreserveHost On
    ProxyRequests Off
    ProxyPass /  https://127.0.0.1:3030/
    ProxyPassReverse / https://127.0.0.1:3030/
</VirtualHost>


注意: 

SSLProxyCheckPeerCN Off

SSLProxyCheckPeerName Off

这两句很重要,否则会报

Proxy Error

The proxy server could not handle the request GET /.

Reason: Error during SSL Handshake with remote server


补充更优秀方案2

#apache设置转发
#开启扩展
#LoadModule proxy_module modules/mod_proxy.so
#LoadModule proxy_http_module modules/mod_proxy_http.so
#LoadModule proxy_wstunnel_module modules/mod_proxy_wstunnel.so
#配置如下:
<virtualhost *:443>
	ServerAdmin tony@163.com
    ServerName test.abc.com
    SSLEngine on
    SSLCertificateFile "${SRVROOT}/cert/abc_public.crt"
	SSLCertificateKeyFile "${SRVROOT}/cert/abc.key"
	SSLCertificateChainFile "${SRVROOT}/cert/abc_chain.crt"
    ProxyRequests off
    RewriteEngine On
    RewriteCond %{REQUEST_URI}  ^/socket.io            [NC]
    RewriteCond %{QUERY_STRING} transport=websocket    [NC]
    RewriteRule /(.*)           ws://127.0.0.1:3030/$1 [P,L]
    ProxyPass /  http://127.0.0.1:3030/
    ProxyPassReverse / http://127.0.0.1:3030/
</virtualhost>


上一页 下一页

猜你喜欢

评论  表情
发表