2. 程式人生 > >https多網站1個IP多個SSL證書的Apache設置辦法

https多網站1個IP多個SSL證書的Apache設置辦法

阿新 發佈:2018-01-25
md5 httpd via pac 例如 ostc serve you mnt

簡單記錄了Apache的設置,後來又涉及到多個域名、泛域名解析、通配符SSL證書、單服務器/多服務器、IP、端口等方方面面,去查了一些資料才在Apache上配置成功,幹脆重新寫一篇博文來記錄。

多種情況

  先寫各種可能的情況:

  • 老式的SSL證書是一個證書一個站點一個IP的一一對應,但後來有了改進;
  • 可以配置為一臺服務器多個IP,分別對應不同的站點、不同的證書;
  • 還可以配置為一臺服務器一個IP,多個端口號對應不同的站點、不同的證書;
  • 後來出現SNI(Server Name Indication服務器名稱指示)技術,讓https與http一樣實現一臺服務器多個虛擬站點,每個站點都可以對應不同的證書,無需多個IP、無需多個端口(全部都用https標準的端口號443),多個域名、泛域名都支持。

設置過程

  設置的過程:

  • 首先SSL證書提供商,根據自己的需要及預算選擇,如果自己的站點多,最好是選擇支持多域名、通配符的證書,例如StartCom(link is external)的EV、OV、IV認證支持的證書(DV認證不支持通配符);
  • 購買需要的證書,這個過程中需要上傳或者粘貼CSR(PEM格式),這個CSR可以用startcomtool.exe來生成(同時保存Private Key文件startssl.key和CSR文件startssl.csr到本機),也可以在Linux下運行openssl req -new -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr來生成key和csr;
  • 下載生成的證書壓縮包文件example.com.zip,解壓後有ApacheServer.zip、IISServer.zip、NginxServer.zip、OtherServer.zip四個壓縮文件,再解壓其中的ApacheServer.zip得到兩個證書文件1_root_bundle.crt、2_example.com.crt;
  • 上傳startssl.key和startssl.csr兩個文件以及兩個證書文件1_root_bundle.crt、2_example.com.crt到apache/conf目錄下,將startssl.csr加到2_example.com.crt文件後面形成一個新的文件startssl.crt;
  • 修改httpd.conf或者包含的extra/httpd-ssl.conf文件,在ssl站點中設置key為上傳的startssl.key,crt為合並的startssl.crt,證書鏈crt為1_root_bundle.crt(每個證書的這三個文件內容都不一樣,即使文件名一樣);
  • 如果需要設置多個SSL站點,在Apache 2.2以上版本中是開啟SSL模塊後是直接支持SNI的,添加NameVirtualHost *:443和SSLStrictSNIVHostCheck off兩句後,就可以像http虛擬站點一樣設置多個https虛擬站點;
  • 多個https虛擬站點可以分別指向多個不同的證書文件,其中第一個默認https站點是在後續https站點配置找不到的時候自動使用的默認配置;
  • https虛擬站點與http虛擬站點配置一樣,可以使用ServerAlias來將多個子域名指向同一個目錄、采用相同的SSL證書;
  • 重啟apache,上面修改的配置就可以生效,再用瀏覽器檢查是否有問題,特別是查看一下安全證書是否與申請的一致,如果提示網頁中有部分非安全內容,則要檢查嵌入的非安全部分內容,改為安全的內容;
  • 沒有問題了可以修改站點中的鏈接,讓http都改為https,如果是內部鏈接則與http或者https無關,可以不修改,如果是寫死的http,可以改為https或者內部鏈接,還可以改為//example.com這樣的URL形式;
  • 最後修改apache配置文件或者.htaccess,讓以前的http訪問全部301跳轉到https對應的網頁。

代碼示範

  下面是一個修改httpd-ssl.conf文件的例子:

Listen 443
#Listen 8081
NameVirtualHost *:443
SSLStrictSNIVHostCheck off

<VirtualHost _default_:443>
DocumentRoot "/usr/local/apache/htdocs/example.com"
ServerName example.com
ServerAlias subdomain.example.com
ServerAdmin [email protected]
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCertificateFile "/usr/local/apache/conf/server.crt"
SSLCertificateKeyFile "/usr/local/apache/conf/server.key"
SSLCertificateChainFile "/usr/local/apache/conf/1_root_bundle.crt"
<FilesMatch "\.(cgi|shtml|phtml|php)$">
    SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/usr/local/apache/htdocs/example.com">
    AllowOverride All
    SSLOptions +StdEnvVars
</Directory>
</VirtualHost>

<VirtualHost *:443>
DocumentRoot "/usr/local/apache/htdocs/example2.com"
ServerName example2.com
ServerAlias subdomain.example2.com
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCertificateFile "/usr/local/apache/conf/server2.crt"
SSLCertificateKeyFile "/usr/local/apache/conf/server2.key"
SSLCertificateChainFile "/usr/local/apache/conf/1_root_bundle2.crt"
<FilesMatch "\.(cgi|shtml|phtml|php)$">
    SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/usr/local/apache/htdocs/example2.com">
    AllowOverride All
    SSLOptions +StdEnvVars
</Directory>
</VirtualHost>

  修改.htaccess文件實現301永久重定向的例子:

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

  補充:日誌問題,為了簡化可以把httpd-ssl.conf中的日誌都關閉:

#ErrorLog "/usr/local/apache/logs/error_log"
#TransferLog "/usr/local/apache/logs/access_log"
#CustomLog "/usr/local/apache/logs/ssl_request_log" #          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

  然後修改httpd.conf中的設置,添加port:%p,從端口號是80還是443來分辨http和https:

LogFormat "%h %l %u %t port:%p \"%{Host}i\" \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
CustomLog "|/usr/local/apache/bin/rotatelogs /usr/local/apache/logs/access_%Y-%m-%d.log 86400 480" combined

  重啟httpd服務後生效,日誌文件依然是以前的。

再補充:在部分阿裏雲國內服務器上使用get_headers(‘https://www.baidu.com/‘,1(link is external));這樣的語句報錯:

Warning: get_headers(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed 在 eval() (行 6 在 /mnt/gb/www/drupal.chahaoba.com/modules/php/php.module(80) : eval()‘d code).
Warning: get_headers(): Failed to enable crypto 在 eval() (行 6 在 /mnt/gb/www/drupal.chahaoba.com/modules/php/php.module(80) : eval()‘d code).
Warning: get_headers(https://www.baidu.com/node/4): failed to open stream: operation failed 在 eval() (行 6 在 /mnt/gb/www/drupal.chahaoba.com/modules/php/php.module(80) : eval()‘d code).

  用print_r(openssl_get_cert_locations());打印出來是這樣的:

(
    [default_cert_file] => /usr/local/ssl/cert.pem
    [default_cert_file_env] => SSL_CERT_FILE
    [default_cert_dir] => /usr/local/ssl/certs
    [default_cert_dir_env] => SSL_CERT_DIR
    [default_private_dir] => /usr/local/ssl/private
    [default_default_cert_area] => /usr/local/ssl
    [ini_cafile] => 
    [ini_capath] => 
)

  而不報錯的國外服務器上打印出來是這樣的:

(
    [default_cert_file] => /etc/pki/tls/cert.pem
    [default_cert_file_env] => SSL_CERT_FILE
    [default_cert_dir] => /etc/pki/tls/certs
    [default_cert_dir_env] => SSL_CERT_DIR
    [default_private_dir] => /etc/pki/tls/private
    [default_default_cert_area] => /etc/pki/tls
    [ini_cafile] => 
    [ini_capath] => 
)

  原因可能是安裝的Centos版本及php版本上有小的差別,修改/alidata/server/php5/etc/php.ini強制設置證書路徑:

[curl]
; A default value for the CURLOPT_CAINFO option. This is required to be an
; absolute path.
;curl.cainfo =

[openssl]
; The location of a Certificate Authority (CA) file on the local filesystem
; to use when verifying the identity of SSL/TLS peers. Most users should
; not specify a value for this directive as PHP will attempt to use the
; OS-managed cert stores in its absence. If specified, this value may still
; be overridden on a per-stream basis via the "cafile" SSL stream context
; option.
;openssl.cafile=
openssl.cafile="/etc/pki/tls/cert.pem"

; If openssl.cafile is not specified or if the CA file is not found, the
; directory pointed to by openssl.capath is searched for a suitable
; certificate. This value must be a correctly hashed certificate directory.
; Most users should not specify a value for this directive as PHP will
; attempt to use the OS-managed cert stores in its absence. If specified,
; this value may still be overridden on a per-stream basis via the "capath"
; SSL stream context option.
;openssl.capath=
openssl.capath="/etc/pki/tls/certs"

  重啟apache後解決。Drupal網站狀態報告中的“HTTP 請求狀態 失敗”也一並解決。

https多網站1個IP多個SSL證書的Apache設置辦法

相關推薦

https網站1IPSSL證書Apache辦法

md5 httpd via pac 例如 ostc serve you mnt 簡單記錄了Apache的設置,後來又涉及到多個域名、泛域名解析、通配符SSL證書、單服務器/多服務器、IP、端口等方方面面,去查了一些資料才在Apache上配置成功,幹脆重新寫一篇博文來記錄。

單網卡綁定ip, 網卡綁定成一塊虛擬網卡

0ms 模塊 通過 ip地址 ifcfg-eth script img 毫秒 外部 Linux網卡配置與綁定 Redhat Linux的網絡配置,基本上是通過修改幾個配置文件來實現的,雖然也可以用ifconfig來設置IP,用route來配置默認網關,用hostna

1小時搭建個人網站:購買虛擬主機,購買域名,繫結IP和申請SSL證書實現https

如果你是學生,擁有學生郵箱,可以在GITHUB教育版申請學生優惠,點選開啟連結。有免費的亞馬遜AWS 150刀優惠卡,以及namecheap免費.me域名和ssl證書一年。還有其他很多優惠。 注意:請不要濫用申請機會,不要以薅羊毛的精神對待GITHUB的學生優惠,申請理由寫

對屬性特性操作的三主要方法(創建,,刪除)

title fin 有一個 例如 徹底刪除 n) 清除 move 多個 每個元素都有一個或多個特性,這些特性給相應元素或內容附加信息。操作特性的DOM的方法主要有三種 分別是getAttribute()、setAttribute()、removeAttribute().

添加user_00-user09 10用戶,並且給他們一個隨機密碼,密碼要求10位包含大小寫字

-- bin echo toolbar 小寫字母 註意 數字 bash ech 添加user_00-user09 10個用戶,並且給他們設置一個隨機密碼,密碼要求10位包含大小寫字母以及數字,註意需要把每個用戶的密碼記錄到一個日誌文件裏答案:#! /bin/bash for

批量創建10系統帳號oldboy01-oldboy10並密碼,密碼為隨機數,要求字符和數字等混

shell#!/bin/sh function getpassword{ ##產生隨機密碼if [ -n "$1" ]then length=$1elselength=8 fi chars=‘abcdefghijkmnpqrstuvwxyzABCDEFGHJKMNPQRSTUVWXYZ23

為IIS服務器配置SSL,並為默認使用https協議訪問網站

msi 右鍵 服務管理 tar 管理 刪除 window 解壓 href 要使網站支持https協議,需要SSL證書,我的服務器和域名都是在阿裏雲購買的,所以這裏我演示阿裏雲獲取SSL證書的方法 我先說下我的服務器環境:windows server 2012 + IIS8.

批量創建10系統帳號oldboy01-oldboy10並密碼(密碼為隨機8位字符串)。

ren grep random true exit lse for use creat #!/bin/sh####create user by Dan Chen 2018-8-18##########[ -f /etc/init.d/functions ] &&am

網站實現https 申請Let's Encrypt永久免費SSL證書

Let's Encrypt簡介 Let's Encrypt作為一個公共且免費SSL的專案逐漸被廣大使用者傳播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等組織人員發起,主要的目的也是為了推進網站從HTTP向HTTPS過度的程序,目前已經有越來越多的商家加

Web網站錯誤提示頁面和默認訪問頁面

sco red tracking 優先 remote 記錄 sender code system 1、asp.net 定制簡單的錯誤處理頁面 通常web應用程序在公布後。為了給用戶一個友好界面和使用體驗,都會在發生錯誤時跳轉至一個自己定義的錯誤頁面,而不是as

解決AJAX跨域:1、利用JSONP;2、JSHeader

javascrip char 響應 ajax請求 cep foo ace 類型 stat 一、利用JSONP:   首先來看看在頁面中如何使用jQuery的ajax解決跨域問題的簡單版: $(document).ready(function(){ var url=

Confluence 6 通過 SSLHTTPS 運行 - 創建或請求一個 SSL 證書

explorer 自由 tomcat-8 基於 orm alt pro delete rep 在啟用 HTTPS 之前,你需要一個有效的證書,如果你已經有了一個有效的證書,你可以直接跳過這個步驟,進入 step 2。你可以創建一個自簽名的證書,或者從信任的 Certific

Android進階——Volley+Https給你的安卓應用加上SSL證書

背景       作為開發人員,我們需要對網路訪問的安全性加以保證,這樣才能在基本上保證我們的資料不受到修改和攻擊。筆者的專案之前用的是Volley框架訪問的網路,基於http協議。現在我們需要使用更為安全的https。https簡單的理解就是http+ssl,對於SSL證

IIS7.0上部署Https詳細步驟,包括域名申請、SSL證書申請、SSL證書部署

一、申請域名阿里雲伺服器申請個人域名或者使用公司域名二、申請SSL證書1、申請網站https://certmall.trustauth.cn/Home/FreeSSL/index.html2、申請步驟3、按照提示填寫相關資訊並提交,點選【下載證書】按鈕4、將下載的檔案儲存到本

apache部署域名,同ip部署網站

win ice document 重啟 ide 選擇 virtual bug rom 寫個總結筆記,讓以後的自己知道怎麽部署。 首先apache的版本是2.4.7,然後系統是Ubuntu 14.04.1 LTS。(因為好像配置文件和目錄有差異) 首先進到apache2目錄下

一個ip對應域名ssl證書配置-Nginx實現域名證書HTTPS

引用處: 一個ip對應多個域名多個ssl證書配置-Nginx實現多域名證書HTTPS Nginx配置多個HTTPS域名的方法 第一步:一臺伺服器,兩個或者多個域名對映。首先購買https,獲取到CA證書,兩個域名就得到兩套或多套證書 第二步:現在就是Nginx和OpenSSL的安裝與

linux下用Apache一個IP網站域名配置方法

# <VirtualHost 219.13.34.32> ServerAdmin [email protected] DocumentRoot /usr/local/apache/htdocs/upload ServerName desk.xker.com </VirtualHo

1ip中找出訪問次數最IP

問題一:怎麼在海量資料中找出重複次數最多的一個演算法思想:方案1:先做hash,然後求模對映為小檔案,求出每個小檔案中重複次數最多的一個,並記錄重複次數。        然後找出上一步求出的資料中重複次數最多的一個就是所求(如下)。問題二:        網站日誌中記錄了使用

1、(topK問題)海量日誌資料,提取出某日訪問百度次數最的10IP

#include <iostream>#include <fstream>#include <string.h>#include <ctime>#include <hash_map>#include <sys/socket.h>#incl

IIS伺服器釋出同一個IP域名網站

總體介紹: 1.      Dns新增區域及主機; 2.      Iis新增站點,配置主機頭,指向第一步的區域主機 一、準備工作: 1.      安裝iis6.0, 2.      安裝dns元件; 如果以上未安裝,請通過新增刪除程式的,新增刪除元件進行安裝 二、在DN