阿里雲SSL證書Apche服務器配置

時間 2019-11-08

原文原文鏈接

版權聲明：轉載請務必註明做者與原文連接apache

引言

在證書控制檯下載Apache版本證書，下載到本地的是一個壓縮文件，解壓后里麪包含_public.crt文件是證書文件，_chain.crt是證書鏈(中間證書)文件，.key文件是證書的私鑰文件（申請證書時若是沒有選擇系統建立CSR，則沒有該文件）。安全

.crt擴展名的證書文件採用Base64-encoded的PEM格式文本文件，可根據須要，修改爲.pem等擴展名ide

以Apache標準配置爲例，假如證書文件名是a_public.crt，證書鏈文件是a_chain.crt,私鑰文件是a.keyui

操做步驟

在Apache的安裝目錄下建立cert目錄，而且將下載的所有文件拷貝到cert目錄中。若是申請證書時是本身建立的CSR文件，請將對應的私鑰文件放到cert目錄下而且命名爲a.key
打開 apache 安裝目錄下 conf 目錄中的 httpd.conf 文件，找到如下內容並去掉「#」
- LoadModule ssl_module modules/mod_ssl.so (若是找不到請確認是否編譯過 openssl 插件)
- Include conf/extra/httpd-ssl.conf
修改文件名分別爲：a_public.crt，a.key，a_chain.crt
打開 apache 安裝目錄下 conf/extra/httpd-ssl.conf 文件 (也多是conf.d/ssl.conf，與操做系統及安裝方式有關)，在配置文件中查找如下配置語句

# 添加 SSL 協議支持協議，去掉不安全的協議
SSLProtocol all -SSLv2 -SSLv3
# 修改加密套件以下
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLHonorCipherOrder on
# 證書公鑰配置
SSLCertificateFile cert/a_public.crt
# 證書私鑰配置
SSLCertificateKeyFile cert/a.key
# 證書鏈配置，若是該屬性開頭有 '#'字符，請刪除掉
SSLCertificateChainFile cert/a_chain.crt
複製代碼

打開 apache 安裝目錄下 conf 目錄中的 httpd.conf 文件，加入如下代碼

<Directory />
    AllowOverride none
    Require all granted
</Directory>
複製代碼

打開 apache 安裝目錄下 conf/extra/httpd-ssl.conf 文件 (也多是conf.d/ssl.conf，與操做系統及安裝方式有關)

<VirtualHost _default_:443>
SSLEngine on
</VirtualHost>
複製代碼

阿里雲自動配置

如今阿里雲有自動配置功能，可是配置完成後須要作相應的修改。阿里雲

打開 apache 安裝目錄下 conf/extra/httpd-ssl.conf 文件 (也多是conf.d/ssl.conf，與操做系統及安裝方式有關)，文件最後添加如下代碼。 這裏假設你的域名爲「yuming.cn」加密

<VirtualHost *:443>
SSLEngine On
SSLHonorCipherOrder on
DocumentRoot "/home/www/htdocs"
ServerName yuming.cn:443
ServerAdmin admin@yuming.cn
SSLCertificateFile conf/ssl.crt/yuming.cn/cert.pem
SSLCertificateKeyFile  conf/ssl.crt/yuming.cn/cert.key
#SSLCertificateChainFile conf/ssl.crt/yuming.cn/chain.pem
BrowserMatch "MSIE [2-5]" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
</VirtualHost>
複製代碼