• https多网站1个IP多个SSL证书的Apache设置办法


    简单记录了Apache的设置,后来又涉及到多个域名、泛域名解析、通配符SSL证书、单服务器/多服务器、IP、端口等方方面面,去查了一些资料才在Apache上配置成功,干脆重新写一篇博文来记录。

    多种情况

      先写各种可能的情况:

    • 老式的SSL证书是一个证书一个站点一个IP的一一对应,但后来有了改进;
    • 可以配置为一台服务器多个IP,分别对应不同的站点、不同的证书;
    • 还可以配置为一台服务器一个IP,多个端口号对应不同的站点、不同的证书;
    • 后来出现SNI(Server Name Indication服务器名称指示)技术,让https与http一样实现一台服务器多个虚拟站点,每个站点都可以对应不同的证书,无需多个IP、无需多个端口(全部都用https标准的端口号443),多个域名、泛域名都支持。

    设置过程

      设置的过程:

    • 首先SSL证书提供商,根据自己的需要及预算选择,如果自己的站点多,最好是选择支持多域名、通配符的证书,例如StartCom(link is external)的EV、OV、IV认证支持的证书(DV认证不支持通配符);
    • 购买需要的证书,这个过程中需要上传或者粘贴CSR(PEM格式),这个CSR可以用startcomtool.exe来生成(同时保存Private Key文件startssl.key和CSR文件startssl.csr到本机),也可以在Linux下运行openssl req -new -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr来生成key和csr;
    • 下载生成的证书压缩包文件example.com.zip,解压后有ApacheServer.zip、IISServer.zip、NginxServer.zip、OtherServer.zip四个压缩文件,再解压其中的ApacheServer.zip得到两个证书文件1_root_bundle.crt、2_example.com.crt;
    • 上传startssl.key和startssl.csr两个文件以及两个证书文件1_root_bundle.crt、2_example.com.crt到apache/conf目录下,将startssl.csr加到2_example.com.crt文件后面形成一个新的文件startssl.crt;
    • 修改httpd.conf或者包含的extra/httpd-ssl.conf文件,在ssl站点中设置key为上传的startssl.key,crt为合并的startssl.crt,证书链crt为1_root_bundle.crt(每个证书的这三个文件内容都不一样,即使文件名一样);
    • 如果需要设置多个SSL站点,在Apache 2.2以上版本中是开启SSL模块后是直接支持SNI的,添加NameVirtualHost *:443和SSLStrictSNIVHostCheck off两句后,就可以像http虚拟站点一样设置多个https虚拟站点;
    • 多个https虚拟站点可以分别指向多个不同的证书文件,其中第一个默认https站点是在后续https站点配置找不到的时候自动使用的默认配置;
    • https虚拟站点与http虚拟站点配置一样,可以使用ServerAlias来将多个子域名指向同一个目录、采用相同的SSL证书;
    • 重启apache,上面修改的配置就可以生效,再用浏览器检查是否有问题,特别是查看一下安全证书是否与申请的一致,如果提示网页中有部分非安全内容,则要检查嵌入的非安全部分内容,改为安全的内容;
    • 没有问题了可以修改站点中的链接,让http都改为https,如果是内部链接则与http或者https无关,可以不修改,如果是写死的http,可以改为https或者内部链接,还可以改为//example.com这样的URL形式;
    • 最后修改apache配置文件或者.htaccess,让以前的http访问全部301跳转到https对应的网页。

    代码示范

      下面是一个修改httpd-ssl.conf文件的例子:

    Listen 443
    #Listen 8081
    NameVirtualHost *:443
    SSLStrictSNIVHostCheck off
    
    <VirtualHost _default_:443>
    DocumentRoot "/usr/local/apache/htdocs/example.com"
    ServerName example.com
    ServerAlias subdomain.example.com
    ServerAdmin you@example.com
    SSLEngine on
    SSLProtocol all -SSLv2
    SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
    SSLCertificateFile "/usr/local/apache/conf/server.crt"
    SSLCertificateKeyFile "/usr/local/apache/conf/server.key"
    SSLCertificateChainFile "/usr/local/apache/conf/1_root_bundle.crt"
    <FilesMatch ".(cgi|shtml|phtml|php)$">
        SSLOptions +StdEnvVars
    </FilesMatch>
    <Directory "/usr/local/apache/htdocs/example.com">
        AllowOverride All
        SSLOptions +StdEnvVars
    </Directory>
    </VirtualHost>
    
    <VirtualHost *:443>
    DocumentRoot "/usr/local/apache/htdocs/example2.com"
    ServerName example2.com
    ServerAlias subdomain.example2.com
    SSLEngine on
    SSLProtocol all -SSLv2
    SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
    SSLCertificateFile "/usr/local/apache/conf/server2.crt"
    SSLCertificateKeyFile "/usr/local/apache/conf/server2.key"
    SSLCertificateChainFile "/usr/local/apache/conf/1_root_bundle2.crt"
    <FilesMatch ".(cgi|shtml|phtml|php)$">
        SSLOptions +StdEnvVars
    </FilesMatch>
    <Directory "/usr/local/apache/htdocs/example2.com">
        AllowOverride All
        SSLOptions +StdEnvVars
    </Directory>
    </VirtualHost>
    

      修改.htaccess文件实现301永久重定向的例子:

    RewriteCond %{HTTPS} off
    RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
    

      补充:日志问题,为了简化可以把httpd-ssl.conf中的日志都关闭:

    #ErrorLog "/usr/local/apache/logs/error_log"
    #TransferLog "/usr/local/apache/logs/access_log"
    #CustomLog "/usr/local/apache/logs/ssl_request_log" 
    #          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b"
    

      然后修改httpd.conf中的设置,添加port:%p,从端口号是80还是443来分辨http和https:

    LogFormat "%h %l %u %t port:%p "%{Host}i" "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" combined
    CustomLog "|/usr/local/apache/bin/rotatelogs /usr/local/apache/logs/access_%Y-%m-%d.log 86400 480" combined
    

      重启httpd服务后生效,日志文件依然是以前的。

    再补充:在部分阿里云国内服务器上使用get_headers('https://www.baidu.com/',1(link is external));这样的语句报错:

    Warning: get_headers(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed 在 eval() (行 6 在 /mnt/gb/www/drupal.chahaoba.com/modules/php/php.module(80) : eval()'d code).
    Warning: get_headers(): Failed to enable crypto 在 eval() (行 6 在 /mnt/gb/www/drupal.chahaoba.com/modules/php/php.module(80) : eval()'d code).
    Warning: get_headers(https://www.baidu.com/node/4): failed to open stream: operation failed 在 eval() (行 6 在 /mnt/gb/www/drupal.chahaoba.com/modules/php/php.module(80) : eval()'d code).
    

      用print_r(openssl_get_cert_locations());打印出来是这样的:

    (
        [default_cert_file] => /usr/local/ssl/cert.pem
        [default_cert_file_env] => SSL_CERT_FILE
        [default_cert_dir] => /usr/local/ssl/certs
        [default_cert_dir_env] => SSL_CERT_DIR
        [default_private_dir] => /usr/local/ssl/private
        [default_default_cert_area] => /usr/local/ssl
        [ini_cafile] => 
        [ini_capath] => 
    )
    

      而不报错的国外服务器上打印出来是这样的:

    (
        [default_cert_file] => /etc/pki/tls/cert.pem
        [default_cert_file_env] => SSL_CERT_FILE
        [default_cert_dir] => /etc/pki/tls/certs
        [default_cert_dir_env] => SSL_CERT_DIR
        [default_private_dir] => /etc/pki/tls/private
        [default_default_cert_area] => /etc/pki/tls
        [ini_cafile] => 
        [ini_capath] => 
    )
    

      原因可能是安装的Centos版本及php版本上有小的差别,修改/alidata/server/php5/etc/php.ini强制设置证书路径:

    [curl]
    ; A default value for the CURLOPT_CAINFO option. This is required to be an
    ; absolute path.
    ;curl.cainfo =
    
    [openssl]
    ; The location of a Certificate Authority (CA) file on the local filesystem
    ; to use when verifying the identity of SSL/TLS peers. Most users should
    ; not specify a value for this directive as PHP will attempt to use the
    ; OS-managed cert stores in its absence. If specified, this value may still
    ; be overridden on a per-stream basis via the "cafile" SSL stream context
    ; option.
    ;openssl.cafile=
    openssl.cafile="/etc/pki/tls/cert.pem"
    
    ; If openssl.cafile is not specified or if the CA file is not found, the
    ; directory pointed to by openssl.capath is searched for a suitable
    ; certificate. This value must be a correctly hashed certificate directory.
    ; Most users should not specify a value for this directive as PHP will
    ; attempt to use the OS-managed cert stores in its absence. If specified,
    ; this value may still be overridden on a per-stream basis via the "capath"
    ; SSL stream context option.
    ;openssl.capath=
    openssl.capath="/etc/pki/tls/certs"
    

      重启apache后解决。Drupal网站状态报告中的“HTTP 请求状态 失败”也一并解决。

  • 相关阅读:
    linux 从入门到跑路-目录结构的理解
    linux 从入门到跑路-ls,cp,mkdir命令练习
    linux 从入门到跑路-电源管理
    java 图形界面 Socket编程
    java 图形界面 mvc模式控制
    java 邮件
    java 图形界面
    java 文件的基本操作
    java基础算法题
    java 字符串
  • 原文地址:https://www.cnblogs.com/mracale/p/8349733.html
Copyright © 2020-2023  润新知