如何设置带SSL证书的Apache HTTP服务器?

作者姚伟斌

让我们使用SSL/TLS证书保护Apache。

一旦证书被应用,配置的域名/IP将可以通过HTTPS访问。

让我们开始吧。

总体来说,我们将执行以下步骤。

  • 编译带有SSL模块的Apache HTTP 2.4.5
  • 获取 SSL Certificate
  • 配置Apache以支持SSL

从源代码安装带有SSL的Apache

要配置SSL,Apache HTTP必须使用mod_ssl进行编译。我将使用CentOS 7虚拟机 Digital Ocean 来演示。

  • 使用root登录Linux服务器,下载最新版本的Apache
wget http://www-us.apache.org/dist//httpd/httpd-2.4.25.tar.gz .

注意:您可以 check here 获取最新版本。

  • 使用gunzip命令解压缩
gunzip -c httpd-2.4.25.tar.gz | tar xvf -
  • 您将得到一个名为“httpd-2.4.25”的新文件夹
  • 进入文件夹并执行以下配置命令
./configure --enable-ssl –-enable-so

注意:如果您在全新的服务器上执行此操作,可能会遇到与APR、PCRE、OpenSSL相关的问题,您可以参考 troubleshooting guide

确保您在上述配置命令中没有收到任何错误提示,然后使用make命令进行安装。

make 
make install

和往常一样,确保上述命令没有出现任何错误。这样您就安装了支持SSL的Apache web服务器。

获取SSL证书

有多种方法可以生成和获取由证书颁发机构签名的SSL证书。

如果您希望在Intranet Web服务器中实施SSL,那么大多数组织都有一个内部证书发行团队,所以您需要与他们核实。但是您仍然需要生成CSR(证书签名请求),可以使用 OpenSSL 进行操作。

但是,如果您希望保护一个 面向互联网的URL,那么您可以从VeriSign,GoDaddyNamecheapZeroSSL等处购买证书,或者从 Let’s Encrypt 获取免费证书。

Let’s Encrypt 是一个Linux基金会合作项目,提供免费的SSL/TLS证书。我将使用 Let’s Encrypt 为我的域名 – Chandan.io 获取一个证书。

生成CSR有多种方法,但我发现使用“SSL For FREE”在线工具是最简单的方法。

输入您想要保护的URL

通过列出的方法之一验证域名所有权,并下载您的域名证书文件。

您将获得三个文件,我们将在下一步中使用它们来配置Apache Web服务器。

  1. key – 这是您的密钥文件,不应该公开共享
  2. Certificate – 您的域名的实际SSL证书
  3. Ca_bundle – 发行者的根/中间证书

将下载的文件传输到Web服务器。我们马上需要用到它们。

Apache SSL配置

最后一步是配置Apache,以便它可以通过HTTPS提供请求。

  • 登录Apache Web服务器
  • 备份httpd.conf文件(默认位置为 /usr/local/apache2/conf/)
  • 使用vi编辑器打开文件,并确保mod_ssl模块和httpd-ssl.conf存在且未被注释掉
LoadModule ssl_module modules/mod_ssl.so 
Include conf/extra/httpd-ssl.conf

我们将使用httpd-ssl.conf文件来配置证书详细信息。您需要确保它存在正确的参数。

  1. SSLCertificateFile – 您之前下载的证书文件路径CRT
  2. SSLCertificateKeyFile – 私钥文件路径
  3. SSLCertificateChainFile – ca_bundle.crt 文件路径

提示:您可能希望创建一个名为“ssl”的新文件夹,并将所有与证书相关的文件放在其中。

  • 如果需要,先备份文件,然后使用vi编辑器修改文件。
SSLCertificateFile "/usr/local/apache2/conf/ssl/certificate.crt"
SSLCertificateChainFile "/usr/local/apache2/conf/ssl/ca_bundle.crt"
SSLCertificateKeyFile "/usr/local/apache2/conf/ssl/private.key"

接下来,您需要配置“ServerName”指令。通常,这是您的域名/URL名称。

ServerName chandan.io
  • 保存文件并重新启动Apache Web服务器。
cd /usr/local/apache2/bin 
./apachectl stop 
./apachectl start

最后,您需要确保您的域名映射到新配置的Web服务器IP。完成后,尝试使用HTTPS访问您的域名。

正如您所看到的,Chandan.io可以通过我配置的证书通过HTTPS访问

上述步骤对于设置SSL证书至关重要,您还必须进一步调整SSL以harden and secure which I explained here。在正式上线之前,您可能还希望进行test your web server SSL/TLS,以确保它不会受到常见安全漏洞的威胁。

我希望这给您提供了在Apache Web服务器上实现SSL证书以使URL通过HTTPS访问的思路。

姚伟斌

程序猿

我是姚伟斌,也被称为文景。我的专业领域涵盖了开放源代码的深度探索、网络编程和网络建站。我热衷于分享我的编程和建站实践经验,尤其擅长于Nginx和Proxy服务器的管理。此外,我还对Python和NodeJS这两种编程语言有着深刻的理解和独到的见解。

最近,我致力于爬虫技术的研究,探索如何通过高效的数据抓取为项目增添价值。我的目标是通过持续的学习和创新,为开放源代码社区贡献我的力量,并帮助那些对网络编程和网站建设感兴趣的人士。

类似文章

如何作为学生和招聘者使用AWS Educate

如何作为学生和招聘者使用AWS Educate

作者姚伟斌

for you. AWS Educate provides students and educators with the resources they need to build skills for the cloud-enabled workforce. It offers free access to learning content, training, and collaboration resources to help you advance your career in cloud computing. Whether you are new to the field or an experienced professional, AWS Educate can help you gain the knowledge and expertise you need to succeed in the IT industry. Join AWS Educate today and take the next step towards your future in the cloud.