Apache配置服务器站点

Apache介绍

Apache VirtualHost是实现让一台机器搭建属于不同域名或者基于不同 IP 的多个网站服务的技术. 可以为运行在同一物理机器上的各个网站指配不同的 IP 和端口, 也可让多个网站拥有不同的域名.
apache一个ip配置多站点,有两种方法:

  1. 全部基于443(80 rewrite到443),各自的配置文件ServerName配置称各自的域名;apache会对域名解析,然后进行对应的配置文件中的对应处理;
  2. 基于不同端口号,用此方法,Listen的端口号,需添加在/etc/apache2/ports.conf中。

详细过程见文章下述。

apache的代理应用场景:当一些应用,如gerrit,jenkins分别占用一个端口(8080居多),通过[ip/domainname:port]一般可在浏览器访问该应用。
如果要配置只通过域名(不加端口号)来访问应用(gerrit, jenkins等),则需要用到反向代理(外部client访问局域网中的服务器时的中间件)。
代理可以使用代理服务器,也可以直接使用端口即端口转发。如将https的443端口处理转到8080端口处理,则在浏览器不输入端口号,则默认发送至(80/443),配置文件中指定将端口操作转发到8080,从而实现了域名直接到应用的访问,而不需端口号。
详细过程见文章下述。

Apache配置文件结构介绍:

Ubuntu:系统

/etc/apache2/
|-- apache2.conf
|-- ports.conf
|-- mods-enabled
   – *.load
   – *.conf
|-- mods-available
   – *.load
   – *.conf
|-- conf-enabled
   – *.conf
|-- conf-available
   – *.conf
|-- sites-enabled
   – *.conf
|-- sites-available
   – *.conf

其中apache2.conf为主配置文件,其中Include了将conf-enabled及sites-enabled文件夹下的 *.conf配置文件。(*.conf这里是指所有xxx.conf)。
/var/www/html/index.html为默认的测试页面。
000-default.conf为默认的测试站点配置文件,配置了上述页面,当000-default.conf被加载,则网页登录站点时,显示/var/www/html/index.html内容。
使用a2dissite 000-default.conf可以移除该默认配置站点。
conf用来配置apache的一些自身配置,如log一类。
site则是用来配置站点的配置文件。
mod则是apache加载的一些模块,如ldap,ssl等。
带available标签的文件夹存放的只是支持但是没有被加载的配置文件或模块。
带enabled标签的文件夹存放的是要被加载的配置文件及模块。

在conf-available及sites-available创建想要加载的配置文件,在conf-enabled及sites-enabled创建对应的软连接(ln -s xxx-available/xxx.conf xxx-enabled/xxx.conf),重启apache2即可加载。下面介绍的apache的命令也可实现软连接功能。

对于opensuse等一些系统,可能配置文件结构有所不同,apache的配置文件也在etc/apache2/下,但是主配置文件是http.conf。虚拟站点配置文件在vhost.d/下,但是配置文件的格式相同。

apache安装

sudo apt-get update
sudo apt-get install apache2
源码安装:
apr
apr-util
pcre
httpd
详细参考步骤见参考

配置文件管理命令

a2enmod用于加载指定模块
a2dismod用于移除指定模块
a2ensite用于加载站点配置文件
a2dissite用于移除指定站点配置
a2enconf用于加载指定配置文件
a2disconf用于移除指定配置
重启apache(加sudo)我用第一条指令,指令有差异,具体差异不是很清楚。
service apache2 restart
/etc/init.d/apache restart
apachectl restart

站点配置文件

一般http使用80端口;https使用433端口。
可以使用 netstat -antpu | grep 80来查看端口使用情况。 netstat -plntu
可在/etc/apache2/ports.conf中设置监听多个端口,使得访问多个虚拟主机,比如访问127.0.0.1:90和127.0.0.1:9001返回不同的内容
配置文件缩进一定要一致,否则会出现解析问题 一定 一定
example.conf

#配置默认host的443端口

        #设定服务端的联系邮箱
        ServerAdmin [email protected]
        #设定域名
        ServerName  xxx.com
        #网页端登录时,显示该目录下的index.html文件。没有下方可配置登录时显示服务器目录结构 
        DocumentRoot  "/xxx/xxx/"
        #ssl认证
        SSLEngine On
        SSLCertificateFile      /etc/apache2/ssl/xxx.crt
        SSLCertificateKeyFile   /etc/apache2/ssl/xxx.key
        #log存储及级别
        ErrorLog /var/log/apache2/xxx-error.log
        LogLevel warn
        CustomLog /var/log/apache2/xxx-access.log combined
        #配置web界面显示服务器上的文件及登录方式,下方是ldap登录认证
        
           Options Indexes FollowSymLinks
           允许登录
           Allow from all
	   AuthName "Login with your gerrit Account"
	   AuthType Basic
           AuthBasicProvider ldap
           #ldap登录认证
           AuthLDAPURL "ldap://ldap.xxx.com/xxx"
	   require ldap-filter |(gidNumber=xxx)(gidNumber=xxx)
        

主要需要配置ServerName及 DocumentRoot。
生成自签证书的命令:

sudo mkdir /etc/apache2/ssl
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt

common name要填域名要写域名(xxx.com)或通配域名(*.com)或多个域名(1.com,2.com).
服务器使用自签证书,在网页登录服务器时,会收到警告,添加例外才能进行访问。
如果要配置ldap则ldap的相关模块(authnz_ldap、ldap)需要加载(a2enmod ldap)。
之间的配置是一些比较细化的服务器配置选项,AllowOverride all是允许覆盖所有的文件,Order deny,allow是命令的两种类型,Allow from all是允许所有的客户端(或代理)访问本服务器,你也可以配置。
正反向代理服务器配置
在一般情况下,我们使用网络浏览器直接去连接其他Internet站点取得网络信息时,是直接联系到目的站点服务器,然后由目的站点服务器把信息传送回来。代理服务器是介于浏览器和Web服务器之间的另一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。参见百度百科。
apache 代理配置 https://www.jianshu.com/p/96e63686e374
关于正反向代理 https://www.linuxidc.com/Linux/2017-10/147378.htm
正向代理:局域网中的客户端通过正向代理服务器访问外网;
反向代理:外网客户端通过反向代理访问局域网中的服务器;
代理服务器也可以是一个端口。

ProxyRequests On:开启Apache正向代理
ProxyVia On:控制位于代理服务器链中的代理请求的流向
引用Apache2.2官方文档中对ProxyVia的解释如下:
如果设置为默认值Off ,将不会采取特殊的处理。如果一个请求或应答包含"Via:"头,将不进行任何修改而直接通过。
如果设置为On每个请求和应答都会对应当前主机得到一个"Via:"头。
如果设置为Full ,每个产生的"Via:"头中都会额外加入Apache服务器的版本,以"Via:"注释域出现。
如果设置为Block ,每个代理请求中的所有"Via:"头行都将被删除。且不会产生新的"Via:"头。
Allow from #IP或Deny from #IP来控制允许或者禁止特定的IP访问服务器。

…:用来控制谁可以访问你的代理
来自 https://jingyan.baidu.com/article/27fa7326bd1fdf46f9271f5a.html

正向代理


    ... ...
    #正向代理设置
    ProxyRequests On
    ProxyVia Full

    
        Order deny,allow
        #Deny from all
        Allow from all
    


反向代理


    # ServerAdmin [email protected]
    ... ...
    #反向代理设置
    ProxyPass / http://mywebsite.com/
    ProxyPassReverse / http://mywebsite.com/


同样可配置80端口


        ServerAdmin [email protected]
        ServerName xxx.com
        #rewrite将端口数据转发
        RewriteEngine On
        #http得到数据后,80端口监听处理,这里配置使用https访问,从而实现http到https的转发处理。
        RewriteRule (.*) https://%{SERVER_NAME}%{REQUEST_URI} [R=permanent,L]

配置步骤:

  1. 安装apache;
  2. 写要建立的站点的site 配置文件,放在site-available下;
  3. 利用a2ensite(a2ensite 直接加去后缀文件名 a2ensite image)或者ln -s在site-enabled下创建对应软连接,从而在下一次启动apache时加载配置文件。应该需要reload apache,按照提示操作;
  4. 重启apache,sudo service apache2 restart;
  5. 配置客户端/etc/hosts,浏览器输入域名登录查看。

补充:
Apache中同一IP多个HTTPS虚拟主机的实现:
在 Apache 文档中提到,不能在单个 IP 上同时有多个按名字识别的虚拟主机(“named virtual host”)。不完全是这样。

HTTPS协议的过程是:服务器首先与客户机之间进行服务器身份验证并协商安全会话,然后,客户端向服务器发送 HTTP 请求。这样一来,在客户端开始发送HTTP请求之前,服务器就已经把证书发给了客户端(客户端根据本地的根证书去验证证书链,等等)。而最重要的是,为了表明身份,这个证书的"Common Name"填写的应该是域名,否则浏览器会给出警告。
既然在这个过程中,客户端就所访问的域名所处的地位是"被告知"的地位,因此,客户端再发出的 Host: 请求头也就显得不那么有意义了。另一方面,如果客户请求的域名与Common Name不符,浏览器也会给出警告。至少,在表面上看是这样。

不过,对于自行签署的证书,以及一些发证机构而言,其实还可以签署一种普适HTTPS证书,这种证书的Common Name一栏是 *.domain.tld 这样的形式,即其主机名部分可以是任意字符串,而只有域名部分是确定的。
当然,这种证书的安全性有一定的负面影响:由于一个证书可以验证整个域下面的所有服务器,一旦其被破解,则所有加密通讯也就同时失密了(当然,可以每台服务器使用自己的单独的证书),不过这个问题并不是太严重,通常还算是尚可接受的范围。另一个潜在的影响是,某些手机上运行的浏览器不能正确处理这种证书,不过这个问题仅限于希望给手机提供服务的网站。

因此,简而言之,符合这样几个条件的前提下,是可以在同一个IP上部署多个HTTPS虚拟主机的:
a) 这些虚拟主机是同属于同一域名的子域名
b) 拥有普适证书
c) 正确地配置Apache。

在一个IP地址上需要部署多个SSL网站
(1)一种方法:如果要在同一个IP地址的443端口上部署多个网站,必须保证这些网站的域名都能匹配相同的一张SSL证书。这是因为SSL握手协议过程中,是通过IP+Port来进行通信,一个IP的一个端口只能返给客户一张SSL证书(即使有多张证书,也只能返回第一张,因为无法分辨用户会需要返回哪张证书),如果这张证书能够满足这些网站的主机名匹配要求(访问b.test.com时,使用a.test.com段的证书,证书中包含a.test.com,于虚拟主机中的主机名之一匹配),就可以使用。
一般能匹配多个主机名的证书有通配符证书*.domain.com和多域名证书(www.domain.com,ftp.domain.com 等),以下我们提供一个典型同一个IP上的多主机名部署配置,www.domain.com对应的根目录在WWW下,ftp.domain.com对应的根目录在FTP下,www.domain.com与ftp.domain.com使用相同的证书:

NameVirtualHost 11.22.33.44:443


DocumentRoot "C:/Apache2.2/htdocs/www"
ServerName www.domain.com
SSLEngine on
SSLCertificateFile "C:/Apache2.2/conf/server.cer"
SSLCertificateKeyFile "C:/Apache2.2/conf/server.key"



DocumentRoot "C:/Apache2.2/htdocs/ftp"
ServerName ftp.domain.com
SSLEngine on
SSLCertificateFile "C:/Apache2.2/conf/server.cer"
SSLCertificateKeyFile "C:/Apache2.2/conf/server.key"

(2)另一种办法就是给每个网站分配不同的端口号;


DocumentRoot "C:/Apache2.2/htdocs/www"
ServerName www.domain.com
SSLEngine on
SSLCertificateFile "C:/Apache2.2/conf/server.cer"
SSLCertificateKeyFile "C:/Apache2.2/conf/server.key"



DocumentRoot "C:/Apache2.2/htdocs/ftp"
ServerName ftp.domain.com
SSLEngine on
SSLCertificateFile "C:/Apache2.2/conf/server.cer"
SSLCertificateKeyFile "C:/Apache2.2/conf/server.key"

以上来自 https://blog.csdn.net/lengxin337/article/details/43987425
基于域名的虚拟主机只能使用同一个证书,或者说,即使有不同的证书,最终使用的都是排在前面的默认的第一个

其中遇到的问题

  1. AH00558: Could not reliably determine the server’s fully qualified domain name, using localhost.localdomain. Set the ‘ServerName’ directive globally to suppress this message.
    解决:
    把主配置文件apache2.conf(suse系统是httpd.conf)中的 ServerName 改成可用域名
    ServerName domain_name:80
    或者本地主机
    ServerName localhost:80
  2. 403 Forbidden
    Access to this resource on the server is denied!
    解决:
    1)DocumentRoot对应的路径权限不对,需为775
    chmod 775 DocumentRoot_path
    2)站点配置文件中 中的 Allow from all需配置
  3. AH00526: Syntax error on line 5 of /etc/apache2/sites-enabled/xxx.conf:
    Invalid command ‘RewriteEngine’, perhaps misspelled or defined by a module not included in the server configuration
    Action ‘configtest’ failed.
    解决:
    sudo a2enmod rewrite
    sudo service apache2 restart
  4. AH00526: Syntax error on line 34 of /etc/apache2/sites-enabled/xxx-ssl.conf:
    Unknown Authn provider: ldap
    Action ‘configtest’ failed.
    解决:
    a2enmod authnz_ldap
    sudo service apache2 restart
  5. AH00526: Syntax error on line 7 of /etc/apache2/sites-enabled/image-ssl.conf:
    Invalid command ‘SSLEngine’, perhaps misspelled or defined by a module not included in the server configuration
    Action ‘configtest’ failed.
    解决:
    a2enmode ssl
    sudo service apache2 restart
  6. AH01630: client denied by server configuration: /xxx/xxx
    解决:
    apache2.4 与 apache2.2 的虚拟主机配置写法不同导致。
    apache-2.4.x把NameVirtualHost给取消,现在配置虚拟主机不需要再配置NameVirtualHost了.
    删除了 Order deny,allow 和 Order allow,deny
    把 Deny from all 替换成了 Require all denied
    把Allow from all 替换成了 Require all granted
    然后还把 Allow from 192.168.10.21 这样的语句给替换成了 Require host 192.168.10.21。

TIPS:

  1. 系统的域名解析是通过/etc/hosts内容寻找ip与域名的对应关系的,出现unknown host,则一般是域名与ip对应关系,没有配置在/etc/hosts中。建好的站点,其他机器想访问该服务器的站点,只能在浏览器中输入服务器ip来访问,如果在客户机上/etc/hosts上写入对应关系,则在此客户机上直接域名访问服务器。如果要使一个局域网下都能解析,一般需要找IT有权限去配置。
  2. apache log存放在/var/log/apache2下,出现问题多看log。
  3. VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。使用加密技术实现专网远程通讯。参见百度百科。
  4. 公私钥
    公私钥是非对称加密方式,每个人都可以有自己的公私钥,私钥留给自己,公钥发给需要通讯的人。自己使用私钥加密文件,发送给有自己公钥的其他人,其他人通过发送文件人的公钥解密文件。其他人通过公钥加密文件,发送给对应私钥的人,收到邮件的人使用私钥解密查看。证书则是用来验证文件发送人的身份。

参考文献

使用apache搭建web网站
ubuntu14.04系统下搭建支持https的apache2服务器
ubuntu下apache2使用的简单总结
ubuntu下apache虚拟主机出现forbidden错误的解决办法
Ubuntu16.04+Apache虚拟主机配置详解
Ubuntu 中 Apache2 安装、配置、卸载
如何在Ubuntu 18.04上安装和配置Apache 2 Web服务器
Apache服务器配置多个站点的方法
基于Apache搭建HTTP/HTTPS/正向代理/反向代理服务器
Apache正向代理与反向代理
Apache2.4权限配置 https://blog.csdn.net/wangkepermit/article/details/72954976
Apache2.4配置(全) https://blog.csdn.net/u012291157/article/details/46492137
如何在 Ubuntu16.04 中用 Apache 部署 Jenkins 自动化服务器 https://linux.cn/article-8488-1.html enkins 默认使用的端口(端口 8080)。

你可能感兴趣的:(工具)