阿里云HTTPS网站配置和apache的主httpd.conf文件详解

配置HTTPS

一、SSL证书申请:

如果是阿里云可以申请免费证书:
如果不是阿里云:

二、开通证书:购买位置:打开阿里云找到“产品”-“安全”-“CA证书服务”-点击“立即购买”;

选择方法:证书类型选择”专业版OV SSL”->”1个域名”->”Symantec”(这里选择完成后上面证书类型出现了“免费型DV SSL”)->证书类型选择”免费型DV SSL”->然后继续购买就可以了;
此处注意不要填xxx.xxx的形式, 因为这种证书只能绑定一个域名

域名验证类型:一路点击后来到后台中的CA证书服务(也可以自己从阿里后台找),在”进度”栏目中有”补全”,点击”补全”,一直输入一直往下点击,直到有个”域名验证类型”,这里选择DNS。

全部填写完成后等待一会就开通了。

DNS解析配置:紧接上步,开通成功会有要求添加txt的解析记录,解析记录的值也会给你,然后去添加

三、部署服务器:

由于我的环境是apache, 这里主要是有关apche的配置项nignx的参考

第一 、php开启php-openssl拓展

如果没开启的话, 如果是yum方式安装的apache, 则运行yum install mod_ssl

第二、

一、进入到apache目录下在conf 文件夹下 httpd.conf中找到
LoadModule ssl_module modules/mod_ssl.so
去掉前面的注释符,使得ssl模块生效(如果该模块已去掉注释,请不用操作)。

如果重启用status查看得知mod_ssl.so无法加载, 并且是通过安装包方式安装的apache需要t通过以下方法加入该模块:
如果是通过yum方式安装的httpd, 则只需要执行 yum install mod_ssl

1、根据服务器apache版本下载对应版本:apache历史版本下下载
2、解压下载的版本文件 将modules下的loggers,ssl两个文件【一定是两个文件否则出错】放到服务器端apache的modules下
3、执行 /usr/bin/apxs -a -i -c mod_ssl.c (/usr/bin/apxs为find出来的apxs路径)
apxs是一个apache模块安装工具
4、如果出现错误:
In file included from mod_ssl.c:27:0:
ssl_private.h:85:30: fatal error: openssl/opensslv.h: No such file or directory

5、则要先sudo yum install openssl-devel

6、再次执行/usr/bin/apxs -a -i -c mod_ssl.c 发现已经生成mod_ssl.so文件

如果到第6步, so文件生成了但是还是无法加载, 则执行yum install mod_ssl

二、在加载虚拟域名的配置文件下增加加载hosts_ssl.conf的配置文件,如果已有则去掉注销#

Include conf/http_ssl.conf

(也有版本是在文件ssl.load文件中对模块进行管理)

第三,在apche安装目录新增cert文件夹放入在阿里云申请成功并下载下来的证书文件。
第四、配置http_ssl.conf文件

阿里云推荐配置:

 打开 apache 安装目录下 conf/extra/httpd-ssl.conf 文件 (也可能是conf.d/ssl.conf,与操作系统及安装方式有关), 在配置文件中查找以下配置语句:
# 添加 SSL 协议支持协议,去掉不安全的协议
SSLProtocol all -SSLv2 -SSLv3
# 修改加密套件如下
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLHonorCipherOrder on
# 证书公钥配置
SSLCertificateFile cert/public.pem
# 证书私钥配置
SSLCertificateKeyFile cert/215016420810269.key
# 证书链配置,如果该属性开头有 '#'字符,请删除掉
SSLCertificateChainFile cert/chain.pem

自己的VirtualHost 节点需要额外实现:


    ServerAdmin your.com      
    ServerName your.com                    
    DocumentRoot  /data/www/hbappserver/public          
    SSLEngine on
    # 添加 SSL 协议支持协议,去掉不安全的协议
    SSLProtocol all -SSLv2 -SSLv3
    # 修改加密套件如下
    SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
    SSLHonorCipherOrder on
    # 证书公钥配置
    SSLCertificateFile cert/public.pem
    # 证书私钥配置
    SSLCertificateKeyFile cert/215013163210269.key(拿到的key)
    # 证书链配置,如果该属性开头有 '#'字符,请删除掉
    SSLCertificateChainFile cert/chain.pem

第五、重要!!!!!配置httpd-vhosts.conf文件

除了在http_ssl.conf中增加域名节点外,原有虚拟域名配置文件httpd-vhosts.conf也要增加结点否则httpds不会生效,我看大部分参考资料都没有这一步,可能环境不同吧, 我这里是LAMP且yum源安装。


    ServerAdmin your.com      
    ServerName your.com                    
    DocumentRoot  /data/www/hbappserver/public          
    SSLEngine on
    # 添加 SSL 协议支持协议,去掉不安全的协议
    SSLProtocol all -SSLv2 -SSLv3
    # 修改加密套件如下
    SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
    SSLHonorCipherOrder on
    # 证书公钥配置
    SSLCertificateFile cert/public.pem
    # 证书私钥配置
    SSLCertificateKeyFile cert/215013163210269.key(拿到的key)
    # 证书链配置,如果该属性开头有 '#'字符,请删除掉
    SSLCertificateChainFile cert/chain.pem

第六:在阿里云服务器中安全组设置中开放服务器的443端口,选择开放类型为https
第七:重启apache

注意事项:

1、阿里云申请域名是,是填一个顶级域名和子域名, 填xxx.xxx.xxx的格式(只能保护一个域名)
2、apche的httpd.conf文件中如果没有mod_ssl模块, 要额外运行yum安装mod_ssl模块,
这样它就会生成mod_ssl.so和httpd-ssl.conf文件了
3、同理如果第二步找不httpd-ssl.conf,在运行完安装mod_ssl后直接把Include conf/hosts_ssl.conf加最后一行
4、阿里云建议的apache设置并不对
记得在hosts_ssl.conf文件中设置本服务ip和ServerName设置域名(与申请ssl时所填一致)。
并且除了在VirtualHost外的设置项
SSLProtocol SSLCipherSuite SSLHonorCipherOrder 这几项也在VirtualHost 中需要加入。
5、配置http.conf文件时,需要清除它的加载原理,参考如下


Apache主配置文件httpd.conf 详解:

Apache服务器的配置信息全部存储在主配置文件/etc/httpd/conf/httpd.conf中,这个文件中的内容非常多,用wc命令统计一共有1009行,其中大部分是以#开头的注释行。
一般, 如果你centos通过yum源安装一般是在 /etc/httpd/conf/httpd.conf 目录下,,有些系统的镜像也安装在apache目录下 ,具体可以通过find / -name命令查找。

配置文件包括三部分:

Section 1: Global Environment 服务器参数和加载模块设置

Listen 80 端口 如有多块网卡,默认监听所有网卡

StartServers 8 开始服务时启动8个进程

MinSpareServers 5 限制同一时刻客户端的最大连接请求数量超过的要进入等候队列

MaxSpareServers 20 每个进程生存期内允许服务的最大请求数量,0表示永不结束

ServerLimit 256 服务器允许配置进程数的上限。

MaxClients 256 同时最多能发起250个访问,
User apache
Group apache

启动服务后转换的身份,在启动服务时通常以root身份,然后转换身份,这样增加系统安全

DocumentRoot

网站文件根目录和对根目录的一个权限的设置

DocumentRoot "/var/www/html"
 317  
 331    Options Indexes FollowSymLinks   当网页不存在的时候允许索引显示目录中的文件,
 338    AllowOverride None 是否允许访问符号链接文件。
 343    Order allow,deny  表示不允许这个目录下的访问控制文件来改变这里的配置
 344    Allow from all 对页面的访问控制顺序
 346 
网页支持:
AddType application/x-tar .tgz 支持的应用如果想支持对`php`的解析添加这样一行

AddType text/html .shtml 

AddOutputFilter INCLUDES .shtml
添加动态处理类型为server-parsed由服务器预先分析网页内的标记,将标记改为正确的HTML标识

添加动态处理类型为server-parsed由服务器预先分析网页内的标记,将标记改为正确的HTML标识

ServerName

默认是不需要指定的,服务器通过名字解析过程来获得自己的名字,但如果解析有问题(如反向解析不正确),或者没有DNS名字,也可以在这里指定IP地址,当这项不正确的时候服务器不能正常启动。前面启动Apache时候提示正在启动 httpd:httpd: apr_sockaddr_info_get() failed forjustin httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1forServerName,解决方法就是启动该项把www.example.com:80修改为自己的域名或者直接修改为localhost

服务器模块加载

注意以下几个模块,涉及到httpd服务器能否正确跑起来
LoadModule dir_module modules/mod_dir.so
LoadModule systemd_module modules/mod_systemd.so
LoadModule mpm_prefork_module modules/mod_mpm_prefork.so


Section 2: 'Main' server configuration

-主服务配置,相当于是Apache中的默认Web站点,如果我们的服务器中只有一个站点,那么就只需在这里配置就可以了。
一般服务器这部分的配置可以省略


Section 3: Virtual Hosts []

虚拟主机不能与Main Server主服务器共存,当启用了虚拟主机之后,Main Server就不能使用了。

Virtual Hosts文件加载:

vhost_alias_module(引入mod_vhost_alias.so)模块加载时允许配置一个http的虚拟主机文件(httpd-vhost.conf),
ssl_module(引入mod_ssl.so)模块加载时允许配置一个https的虚拟主机文件包括http域名的虚拟主机httpd-sll.conf
在以上两个文件,都通过添加类似:


    ServerName example.com
    ServerAlias example.com
    DocumentRoot /data/www/Shop



#   https需要额外配置证书信息
DocumentRoot "/data/www/public"
ServerName example.com
ErrorLog "/usr/local/apache/logs/error_log"
TransferLog "/usr/local/apache/logs/access_log"
#   SSL Engine Switch:
#   Enable/Disable SSL for this virtual host.
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on 
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLCertificateFile cert/public.pem

SSLCertificateKeyFile cert/215016596360269.key

SSLCertificateChainFile cert/chain.pem

的结点来配置虚拟域名,重启生效。

你可能感兴趣的:(阿里云HTTPS网站配置和apache的主httpd.conf文件详解)