这些天接触了解SSL证书后,写了一篇《申请免费的SSL证书,开通https网站》博文,其中简单记录了Apache的设置,后来又涉及到多个域名、泛域名解析、通配符SSL证书、单服务器/多服务器、IP、端口等方方面面,去查了一些资料才在Apache上配置成功,干脆重新写一篇博文来记录。

多种情况

  先写各种可能的情况:

  • 老式的SSL证书是一个证书一个站点一个IP的一一对应,但后来有了改进;
  • 可以配置为一台服务器多个IP,分别对应不同的站点、不同的证书;
  • 还可以配置为一台服务器一个IP,多个端口号对应不同的站点、不同的证书;
  • 后来出现SNI(Server Name Indication服务器名称指示)技术,让https与http一样实现一台服务器多个虚拟站点,每个站点都可以对应不同的证书,无需多个IP、无需多个端口(全部都用https标准的端口号443),多个域名、泛域名都支持。

设置过程

  设置的过程:

  • 首先SSL证书提供商,根据自己的需要及预算选择,如果自己的站点多,最好是选择支持多域名、通配符的证书,例如StartCom的EV、OV、IV认证支持的证书(DV认证不支持通配符);
  • 购买需要的证书,这个过程中需要上传或者粘贴CSR(PEM格式),这个CSR可以用startcomtool.exe来生成(同时保存Private Key文件startssl.key和CSR文件startssl.csr到本机),也可以在Linux下运行openssl req -new -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr来生成key和csr;
  • 下载生成的证书压缩包文件example.com.zip,解压后有ApacheServer.zip、IISServer.zip、NginxServer.zip、OtherServer.zip四个压缩文件,再解压其中的ApacheServer.zip得到两个证书文件1_root_bundle.crt、2_example.com.crt;
  • 上传startssl.key和startssl.csr两个文件以及两个证书文件1_root_bundle.crt、2_example.com.crt到apache/conf目录下,将startssl.csr加到2_example.com.crt文件后面形成一个新的文件startssl.crt;
  • 修改httpd.conf或者包含的extra/httpd-ssl.conf文件,在ssl站点中设置key为上传的startssl.key,crt为合并的startssl.crt,证书链crt为1_root_bundle.crt(每个证书的这三个文件内容都不一样,即使文件名一样);
  • 如果需要设置多个SSL站点,在Apache 2.2以上版本中是开启SSL模块后是直接支持SNI的,添加NameVirtualHost *:443和SSLStrictSNIVHostCheck off两句后,就可以像http虚拟站点一样设置多个https虚拟站点;
  • 多个https虚拟站点可以分别指向多个不同的证书文件,其中第一个默认https站点是在后续https站点配置找不到的时候自动使用的默认配置;
  • https虚拟站点与http虚拟站点配置一样,可以使用ServerAlias来将多个子域名指向同一个目录、采用相同的SSL证书;
  • 重启apache,上面修改的配置就可以生效,再用浏览器检查是否有问题,特别是查看一下安全证书是否与申请的一致,如果提示网页中有部分非安全内容,则要检查嵌入的非安全部分内容,改为安全的内容;
  • 没有问题了可以修改站点中的链接,让http都改为https,如果是内部链接则与http或者https无关,可以不修改,如果是写死的http,可以改为https或者内部链接,还可以改为//example.com这样的URL形式;
  • 最后修改apache配置文件或者.htaccess,让以前的http访问全部301跳转到https对应的网页。

代码示范

  下面是一个修改httpd-ssl.conf文件的例子:

Listen 443

#Listen 8081

NameVirtualHost *:443

SSLStrictSNIVHostCheck off

<VirtualHost _default_:443>

DocumentRoot "/usr/local/apache/htdocs/example.com"

ServerName example.com

ServerAlias subdomain.example.com

ServerAdmin you@example.com

SSLEngine on

SSLProtocol all -SSLv2

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5

SSLCertificateFile "/usr/local/apache/conf/server.crt"

SSLCertificateKeyFile "/usr/local/apache/conf/server.key"

SSLCertificateChainFile "/usr/local/apache/conf/1_root_bundle.crt"

<FilesMatch "\.(cgi|shtml|phtml|php)$">

    SSLOptions +StdEnvVars

</FilesMatch>

<Directory "/usr/local/apache/htdocs/example.com">

    AllowOverride All

    SSLOptions +StdEnvVars

</Directory>

</VirtualHost>

<VirtualHost *:443>

DocumentRoot "/usr/local/apache/htdocs/example2.com"

ServerName example2.com

ServerAlias subdomain.example2.com

SSLEngine on

SSLProtocol all -SSLv2

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5

SSLCertificateFile "/usr/local/apache/conf/server2.crt"

SSLCertificateKeyFile "/usr/local/apache/conf/server2.key"

SSLCertificateChainFile "/usr/local/apache/conf/1_root_bundle2.crt"

<FilesMatch "\.(cgi|shtml|phtml|php)$">

    SSLOptions +StdEnvVars

</FilesMatch>

<Directory "/usr/local/apache/htdocs/example2.com">

    AllowOverride All

    SSLOptions +StdEnvVars

</Directory>

</VirtualHost>

  修改.htaccess文件实现301永久重定向的例子:

RewriteCond %{HTTPS} off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

  补充:日志问题,为了简化可以把httpd-ssl.conf中的日志都关闭:

#ErrorLog "/usr/local/apache/logs/error_log"

#TransferLog "/usr/local/apache/logs/access_log"

#CustomLog "/usr/local/apache/logs/ssl_request_log" \

#          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

  然后修改httpd.conf中的设置,添加port:%p,从端口号是80还是443来分辨http和https:

LogFormat "%h %l %u %t port:%p \"%{Host}i\" \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

CustomLog "|/usr/local/apache/bin/rotatelogs /usr/local/apache/logs/access_%Y-%m-%d.log 86400 480" combined

  重启httpd服务后生效,日志文件依然是以前的。

  再补充:在部分阿里云国内服务器上使用get_headers('https://www.baidu.com/',1);这样的语句报错:

Warning: get_headers(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed 在 eval() (行 6 在 /mnt/gb/www/drupal.chahaoba.com/modules/php/php.module(80) : eval()'d code).

Warning: get_headers(): Failed to enable crypto 在 eval() (行 6 在 /mnt/gb/www/drupal.chahaoba.com/modules/php/php.module(80) : eval()'d code).

Warning: get_headers(https://www.baidu.com/node/4): failed to open stream: operation failed 在 eval() (行 6 在 /mnt/gb/www/drupal.chahaoba.com/modules/php/php.module(80) : eval()'d code).

  用print_r(openssl_get_cert_locations());打印出来是这样的:

(

    [default_cert_file] => /usr/local/ssl/cert.pem

    [default_cert_file_env] => SSL_CERT_FILE

    [default_cert_dir] => /usr/local/ssl/certs

    [default_cert_dir_env] => SSL_CERT_DIR

    [default_private_dir] => /usr/local/ssl/private

    [default_default_cert_area] => /usr/local/ssl

    [ini_cafile] =>

    [ini_capath] =>

)

  而不报错的国外服务器上打印出来是这样的:

(

    [default_cert_file] => /etc/pki/tls/cert.pem

    [default_cert_file_env] => SSL_CERT_FILE

    [default_cert_dir] => /etc/pki/tls/certs

    [default_cert_dir_env] => SSL_CERT_DIR

    [default_private_dir] => /etc/pki/tls/private

    [default_default_cert_area] => /etc/pki/tls

    [ini_cafile] =>

    [ini_capath] =>

)

  原因可能是安装的Centos版本及php版本上有小的差别,修改/alidata/server/php5/etc/php.ini强制设置证书路径:

[curl]

; A default value for the CURLOPT_CAINFO option. This is required to be an

; absolute path.

;curl.cainfo =

[openssl]

; The location of a Certificate Authority (CA) file on the local filesystem

; to use when verifying the identity of SSL/TLS peers. Most users should

; not specify a value for this directive as PHP will attempt to use the

; OS-managed cert stores in its absence. If specified, this value may still

; be overridden on a per-stream basis via the "cafile" SSL stream context

; option.

;openssl.cafile=

openssl.cafile="/etc/pki/tls/cert.pem"

; If openssl.cafile is not specified or if the CA file is not found, the

; directory pointed to by openssl.capath is searched for a suitable

; certificate. This value must be a correctly hashed certificate directory.

; Most users should not specify a value for this directive as PHP will

; attempt to use the OS-managed cert stores in its absence. If specified,

; this value may still be overridden on a per-stream basis via the "capath"

; SSL stream context option.

;openssl.capath=

openssl.capath="/etc/pki/tls/certs"

  重启apache后解决。Drupal网站状态报告中的“HTTP 请求状态 失败”也一并解决。

转载自:这里

https多网站1个IP多个SSL证书的Apache设置办法的更多相关文章

  1. 我是如何将网站全站启用Https的?-记录博客安装配置SSL证书全过程

    评论»   文章目录 为什么要Https 如何选择Https 安装部署SSL证书 平滑过渡Https 搜索引擎的响应 启用Https小结 正如大家所看到的,部落全站已经启用了Https访问了,连续几天 ...

  2. [从零开始搭网站六]为域名申请免费SSL证书(https),并为Tomcat配置https域名所用的多SSL证书

    点击下面连接查看从零开始搭网站全系列 从零开始搭网站 由于国内的网络环境比较恶劣,运营商流量劫持的情况比较严重,一般表现为别人打开你的网站的时候会弹一些莫名其妙的广告...更过分的会跳转至别的网站. ...

  3. 我们在部署 HTTPS 网站时,该如何选择SSL证书?

    我们在部署 HTTPS 网站时,该如何选择SSL证书? 首次部署HTTPS网站的同学对选择什么样的SSL证书多多少少都有点迷茫. 这里考虑的因素确实不少:是否支持多域名.泛域名,价格,信息泄露的保额, ...

  4. 八大免费SSL证书-给你的网站免费添加Https安全加密

    评论»   https://www.freehao123.com/top-8-free-ssl-cert/ 文章目录 Let's Encrypt StartSSL SSL CloudFlare SSL ...

  5. 十大免费SSL证书:网站免费添加HTTPS加密

    SSL证书,用于加密HTTP协议,也就是HTTPS.随着淘宝.百度等网站纷纷实现全站Https加密访问,搜索引擎对于Https更加友好,加上互联网上越来越多的人重视隐私安全,站长们给网站添加SSL证书 ...

  6. 超详细网站博客域名和二级域名、子域名升级HTTPS免费申请SSL证书配置nginx指南

    随着互联网的飞速发展,我们的工作生活已经离不开互联网,HTTP虽然使用极为广泛, 但是存在不小的安全缺陷, 主要是其数据的明文传送和消息完整性检测的缺乏, 而这两点恰好是网络支付,网络交易等网站应用中 ...

  7. 【转载】网站配置Https证书系列(一):腾讯云申请免费的SSL证书的流程步骤(即https安全连接使用的证书)

    很多网站为了安全性考虑都会上https安全连接,此时就需要考虑使用SSL证书,其实在腾讯云这边提供有免费的SSL证书申请,登录腾讯云管理控制台后,进入SSL证书管理页面,里面有个申请免费证书.腾讯云申 ...

  8. 加了https,为什么网站的有些网页是安全的,有些网页不完全安全

    加了https,为什么网站的有些网页是安全的,有些网页不完全安全 一.总结 一句话总结: 这里原因:这里出现的问题是 网站上的图片删了没找到 原因:用了http地址(自己的或者别人的)的资源 避免这类 ...

  9. HTTPS请求 SSL证书验证

    import urllib2 url = "https://www.12306.cn/mormhweb/" headers = {"User-Agent": & ...

随机推荐

  1. react组建生命周期

    实例化 首次实例化 getDefaultProps   //创建默认 props getInitialState     //创建 默认的State componentWillMount   //在装 ...

  2. linux系统下常用的命令(吐血自己整理,且用且珍惜)

    1)linux命令太多,有时候记不起来是哪个,为了方便大家查询,自己吐血整理了以下这些,转载时请标明出处,珍惜原创成果 吐血自己整理,且用且珍惜) 吐血自己整理,且用且珍惜) 吐血自己整理,且用且珍惜 ...

  3. Image Storage

  4. thymeleaf标签必须由匹配的结束标记终止

    问题描述 springboot使用Thymeleaf标签时会报元素类型必须由匹配的结果标记终止. 如下所示 如果我们一个个的给这些元素后面加上终止标记也是件很麻烦的事~~~~ 解决办法 方法一: 在p ...

  5. 定位篇align_measurements

    算子:create_shape_model(Template : : NumLevels, AngleStart, AngleExtent, AngleStep, Optimization, Metr ...

  6. appium+夜神模拟器+python安卓app爬虫初体验

    环境搭建:Windows 7 64bit jdk包:jdk-8u171-windows-x64.exe(http://www.oracle.com/technetwork/java/javase/do ...

  7. Python学习—基础篇之常用模块

    常用模块 模块,用一砣代码实现了某个功能的代码集合. 类似于函数式编程和面向过程编程,函数式编程则完成一个功能,其他代码用来调用即可,提供了代码的重用性和代码间的耦合.而对于一个复杂的功能来,可能需要 ...

  8. Django Rest Framework 视图和路由

    Django Rest Framework 视图和路由   DRF的视图 APIView 我们django中写CBV的时候继承的是View,rest_framework继承的是APIView,那么他们 ...

  9. FormsAuthentication 票据前后台登录导致掉线

    一.前后台的用户信息都是采用.NET自带的FormsAuthentication 的ticket存取用户信息, 但是如果前后台用相同的用户使用票据这个会导致一方登陆后另一方会掉线,需要重新登陆. 二. ...

  10. docker面试题集

    Docker的应用场景 Web 应用的自动化打包和发布. 自动化测试和持续集成.发布. 在服务型环境中部署和调整数据库或其他的后台应用. 从头编译或者扩展现有的OpenShift或Cloud Foun ...