centos 安裝apache + ssl證書
免費(fèi)證書申請(qǐng)和安裝
申請(qǐng)證書
去阿里云平臺(tái)找證書管理
然后證書購(gòu)買 第二項(xiàng)就是免費(fèi)申請(qǐng)證書出牧,每個(gè)用戶最多可以申請(qǐng)20個(gè)纵柿。
申請(qǐng)的同時(shí)需要你驗(yàn)證域名的有效性捎泻。配置CNAME 到你的域名解析檩禾,然后自動(dòng)驗(yàn)證刹勃。
驗(yàn)證服務(wù)在國(guó)外你可以通過dig命令來驗(yàn)證你的CNAME是否生效
#國(guó)外環(huán)境,aliyun-賽門鐵克 根據(jù)這個(gè)驗(yàn)證的柄错。
dig sg7tskhqag0k9be2jdjapn7ej7oc04uc.cellinfor.com @8.8.8.8
#國(guó)內(nèi)環(huán)境
dig sg7tskhqag0k9be2jdjapn7ej7oc04uc.cellinfor.com
如果生效他會(huì)通知
Linux 模塊
yum -y install openssl mod_ssl apache
[root@host conf.d]# pwd
/etc/httpd/conf.d
[root@host conf.d]# ll
total 24
-rw-r--r-- 1 root root 392 Jan 12 12:10 README
-rw-r--r-- 1 root root 674 Aug 11 2016 php.conf
-rw-r--r-- 1 root root 9749 Feb 13 02:30 ssl.conf
-rw-r--r-- 1 root root 299 Dec 13 04:27 welcome.conf
[root@host conf.d]# vi ssl.conf
配置你的證書就可以了
#SSLProtocol all -SSLv2
SSLProtocol TLSv1 TLSv1.1 TLSv1.2
#SSLCipherSuite DEFAULT:!EXP:!SSLv2:!DES:!IDEA:!SEED:+3DES
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
#SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateFile /etc/httpd/cert/public.pem
#SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
SSLCertificateKeyFile /etc/httpd/cert/214015393150976.key
#SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt
SSLCertificateChainFile /etc/httpd/cert/chain.pem
安裝證書
文件說明:
證書文件214015393150976.pem剩蟀,包含兩段內(nèi)容催蝗,請(qǐng)不要?jiǎng)h除任何一段內(nèi)容。
如果是證書系統(tǒng)創(chuàng)建的CSR育特,還包含:證書私鑰文件214015393150976.key丙号、證書公鑰文件public.pem、證書鏈文件chain.pem缰冤。
( 1 ) 在Apache的安裝目錄下創(chuàng)建cert目錄犬缨,并且將下載的全部文件拷貝到cert目錄中。如果申請(qǐng)證書時(shí)是自己創(chuàng)建的CSR文件棉浸,請(qǐng)將對(duì)應(yīng)的私鑰文件放到cert目錄下并且命名為214015393150976.key遍尺;
( 2 ) 打開 apache 安裝目錄下 conf 目錄中的 httpd.conf 文件,找到以下內(nèi)容并去掉“#”:
#LoadModule ssl_module modules/mod_ssl.so (如果找不到請(qǐng)確認(rèn)是否編譯過 openssl 插件)
#Include conf/extra/httpd-ssl.conf
( 3 ) 打開 apache 安裝目錄下 conf/extra/httpd-ssl.conf 文件 (也可能是conf.d/ssl.conf涮拗,與操作系統(tǒng)及安裝方式有關(guān))乾戏, 在配置文件中查找以下配置語句:
# 添加 SSL 協(xié)議支持協(xié)議,去掉不安全的協(xié)議
SSLProtocol TLSv1 TLSv1.1 TLSv1.2
# 修改加密套件如下
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
# 證書公鑰配置
SSLCertificateFile cert/public.pem
# 證書私鑰配置
SSLCertificateKeyFile cert/214015393150976.key
# 證書鏈配置三热,如果該屬性開頭有 '#'字符鼓择,請(qǐng)刪除掉
SSLCertificateChainFile cert/chain.pem
( 4 ) 重啟 Apache。
( 5 ) 通過 https 方式訪問您的站點(diǎn),測(cè)試站點(diǎn)證書的安裝配置就漾,如遇到證書不信任問題呐能,請(qǐng)查看相關(guān)文檔。
