https多網站1個IP多個SSL證書的Apache設置辦法

這些天接觸瞭解SSL證書後，寫了一篇《申請免費的SSL證書，開通https網站》博文，其中簡單記錄了Apache的設置，後來又涉及到多個域名、泛域名解析、通配符SSL證書、單服務器/多服務器、IP、端口等方方面面，去查了一些資料纔在Apache上配置成功，乾脆從新寫一篇博文來記錄。

多種狀況

　　先寫各類可能的狀況：

• 老式的SSL證書是一個證書一個站點一個IP的一一對應，但後來有了改進；
• 能夠配置爲一臺服務器多個IP，分別對應不一樣的站點、不一樣的證書；
• 還能夠配置爲一臺服務器一個IP，多個端口號對應不一樣的站點、不一樣的證書；
• 後來出現SNI（Server Name Indication服務器名稱指示）技術，讓https與http同樣實現一臺服務器多個虛擬站點，每一個站點均可以對應不一樣的證書，無需多個IP、無需多個端口（所有都用https標準的端口號443），多個域名、泛域名都支持。

設置過程

　　設置的過程：

• 首先SSL證書提供商，根據本身的須要及預算選擇，若是本身的站點多，最好是選擇支持多域名、通配符的證書，例如StartCom的EV、OV、IV認證支持的證書（DV認證不支持通配符）；
• 購買須要的證書，這個過程當中須要上傳或者粘貼CSR(PEM格式)，這個CSR能夠用startcomtool.exe來生成（同時保存Private Key文件startssl.key和CSR文件startssl.csr到本機），也能夠在Linux下運行openssl req -new -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr來生成key和csr；
• 下載生成的證書壓縮包文件example.com.zip，解壓後有ApacheServer.zip、IISServer.zip、NginxServer.zip、OtherServer.zip四個壓縮文件，再解壓其中的ApacheServer.zip獲得兩個證書文件1_root_bundle.crt、2_example.com.crt；
• 上傳startssl.key和startssl.csr兩個文件以及兩個證書文件1_root_bundle.crt、2_example.com.crt到apache/conf目錄下，將startssl.csr加到2_example.com.crt文件後面造成一個新的文件startssl.crt；
• 修改httpd.conf或者包含的extra/httpd-ssl.conf文件，在ssl站點中設置key爲上傳的startssl.key，crt爲合併的startssl.crt，證書鏈crt爲1_root_bundle.crt（每一個證書的這三個文件內容都不同，即便文件名同樣）；
• 若是須要設置多個SSL站點，在Apache 2.2以上版本中是開啓SSL模塊後是直接支持SNI的，添加NameVirtualHost *:443和SSLStrictSNIVHostCheck off兩句後，就能夠像http虛擬站點同樣設置多個https虛擬站點；
• 多個https虛擬站點能夠分別指向多個不一樣的證書文件，其中第一個默認https站點是在後續https站點配置找不到的時候自動使用的默認配置；
• https虛擬站點與http虛擬站點配置同樣，可使用ServerAlias來將多個子域名指向同一個目錄、採用相同的SSL證書；
• 重啓apache，上面修改的配置就能夠生效，再用瀏覽器檢查是否有問題，特別是查看一下安全證書是否與申請的一致，若是提示網頁中有部分非安全內容，則要檢查嵌入的非安所有份內容，改成安全的內容；
• 沒有問題了能夠修改站點中的連接，讓http都改成https，若是是內部連接則與http或者https無關，能夠不修改，若是是寫死的http，能夠改成https或者內部連接，還能夠改成//example.com這樣的URL形式；
• 最後修改apache配置文件或者.htaccess，讓之前的http訪問所有301跳轉到https對應的網頁。

代碼示範

　　下面是一個修改httpd-ssl.conf文件的例子：

Listen 443
#Listen 8081
NameVirtualHost *:443
SSLStrictSNIVHostCheck off

<VirtualHost _default_:443>
DocumentRoot "/usr/local/apache/htdocs/example.com"
ServerName example.com
ServerAlias subdomain.example.com
ServerAdmin you@example.com
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCertificateFile "/usr/local/apache/conf/server.crt"
SSLCertificateKeyFile "/usr/local/apache/conf/server.key"
SSLCertificateChainFile "/usr/local/apache/conf/1_root_bundle.crt"
<FilesMatch "\.(cgi|shtml|phtml|php)$">
    SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/usr/local/apache/htdocs/example.com">
    AllowOverride All
    SSLOptions +StdEnvVars
</Directory>
</VirtualHost>

<VirtualHost *:443>
DocumentRoot "/usr/local/apache/htdocs/example2.com"
ServerName example2.com
ServerAlias subdomain.example2.com
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCertificateFile "/usr/local/apache/conf/server2.crt"
SSLCertificateKeyFile "/usr/local/apache/conf/server2.key"
SSLCertificateChainFile "/usr/local/apache/conf/1_root_bundle2.crt"
<FilesMatch "\.(cgi|shtml|phtml|php)$">
    SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/usr/local/apache/htdocs/example2.com">
    AllowOverride All
    SSLOptions +StdEnvVars
</Directory>
</VirtualHost>

　　修改.htaccess文件實現301永久重定向的例子：

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

---

　　補充：日誌問題，爲了簡化能夠把httpd-ssl.conf中的日誌都關閉：

#ErrorLog "/usr/local/apache/logs/error_log"
#TransferLog "/usr/local/apache/logs/access_log"
#CustomLog "/usr/local/apache/logs/ssl_request_log" \
#          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

　　而後修改httpd.conf中的設置，添加port:%p，從端口號是80仍是443來分辨http和https：

LogFormat "%h %l %u %t port:%p \"%{Host}i\" \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
CustomLog "|/usr/local/apache/bin/rotatelogs /usr/local/apache/logs/access_%Y-%m-%d.log 86400 480" combined

　　重啓httpd服務後生效，日誌文件依然是之前的。

---

　　再補充：在部分阿里雲國內服務器上使用get_headers('https://www.baidu.com/',1);這樣的語句報錯：

Warning: get_headers(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed 在 eval() (行 6 在 /mnt/gb/www/drupal.chahaoba.com/modules/php/php.module(80) : eval()'d code).
Warning: get_headers(): Failed to enable crypto 在 eval() (行 6 在 /mnt/gb/www/drupal.chahaoba.com/modules/php/php.module(80) : eval()'d code).
Warning: get_headers(https://www.baidu.com/node/4): failed to open stream: operation failed 在 eval() (行 6 在 /mnt/gb/www/drupal.chahaoba.com/modules/php/php.module(80) : eval()'d code).

　　用print_r(openssl_get_cert_locations());打印出來是這樣的：

(
    [default_cert_file] => /usr/local/ssl/cert.pem
    [default_cert_file_env] => SSL_CERT_FILE
    [default_cert_dir] => /usr/local/ssl/certs
    [default_cert_dir_env] => SSL_CERT_DIR
    [default_private_dir] => /usr/local/ssl/private
    [default_default_cert_area] => /usr/local/ssl
    [ini_cafile] => 
    [ini_capath] => 
)

　　而不報錯的國外服務器上打印出來是這樣的：

(
    [default_cert_file] => /etc/pki/tls/cert.pem
    [default_cert_file_env] => SSL_CERT_FILE
    [default_cert_dir] => /etc/pki/tls/certs
    [default_cert_dir_env] => SSL_CERT_DIR
    [default_private_dir] => /etc/pki/tls/private
    [default_default_cert_area] => /etc/pki/tls
    [ini_cafile] => 
    [ini_capath] => 
)

　　緣由多是安裝的Centos版本及php版本上有小的差異，修改/alidata/server/php5/etc/php.ini強制設置證書路徑：

[curl]
; A default value for the CURLOPT_CAINFO option. This is required to be an
; absolute path.
;curl.cainfo =

[openssl]
; The location of a Certificate Authority (CA) file on the local filesystem
; to use when verifying the identity of SSL/TLS peers. Most users should
; not specify a value for this directive as PHP will attempt to use the
; OS-managed cert stores in its absence. If specified, this value may still
; be overridden on a per-stream basis via the "cafile" SSL stream context
; option.
;openssl.cafile=
openssl.cafile="/etc/pki/tls/cert.pem"

; If openssl.cafile is not specified or if the CA file is not found, the
; directory pointed to by openssl.capath is searched for a suitable
; certificate. This value must be a correctly hashed certificate directory.
; Most users should not specify a value for this directive as PHP will
; attempt to use the OS-managed cert stores in its absence. If specified,
; this value may still be overridden on a per-stream basis via the "capath"
; SSL stream context option.
;openssl.capath=
openssl.capath="/etc/pki/tls/certs"

　　重啓apache後解決。Drupal網站狀態報告中的「HTTP 請求狀態 失敗」也一併解決。

轉載自：這裏