总结一下Linux(样例为 centos)上 apache 为多台虚拟主机启用 ssl 连接的设置。
生成 SSL 证书
我选择的是 Let’s Encrypt 的免费 ssl 证书。贴个Let’s Encrypt 的说明。
首先使用
wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.conf wget https://raw.githubusercontent.com/xdtianyu/scripts/master/lets-encrypt/letsencrypt.sh chmod +x letsencrypt.sh
将两个文件下载到本地并设置执行权限。
修改 letsencrypt.conf 文件中的 DOMAIN_KEY、DOMAIN_DIR 和 DOMAINS 字段值为自己的域名和域名目录。修改完毕后执行 “./letsencrypt.sh letsencrypt.conf” 来生成证书文件,执行需要 python 的运行环境,如果有提示有包缺失的话升级 python 或直接复制一份放到 python 的 lib 目录即可。一般域名目录设置正确,且有权限访问域名子目录下的文件的话基本会成功生成证书。成功后得到下列文件:
- example.crt
- example.csr
- example.chained.crt
- example.com.key
- letsencrypt-account.key
- lets-encrypt-x3-cross-signed.pem
其中 example.crt example.chained.crt 和 example.com.key 是需要写到 apache 的配置中去的。
设置 Apache 配置
假设在主机上已经完成了 VirtualHost 的配置。
首先如果 apache 的 lib 中没有 mod_ssl.so 的话使用 “yum install mod_ssl” 进行下载。随后在配置文件 httpd.conf 中加入 “LoadModule ssl_module /usr/lib/httpd/modules/mod_ssl.so” 即可。
如果你的主机没有像 httpd-ssl.conf 这样的文件的话,在配置文件中加入如下的配置内容:
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite HIGH:MEDIUM:!MD5:!RC4
SSLProxyCipherSuite HIGH:MEDIUM:!MD5:!RC4
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLSessionCache "shmcb:/path/to/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLPassPhraseDialog builtin
SSLMutex default
Listen 443
NameVirtualHost *:443
<VirtualHost *:443>
ServerAdmin webmaster@example.com
DocumentRoot “/path/to/example.com”
ServerName example.com:443
<Directory “/path/to/example.com”>
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
Order allow,deny
Allow from all
DirectoryIndex index.html index.php
</Directory>
SSLEngine on
SSLCertificateFile /path/to/example.crt
SSLCertificateKeyFile /path/to/example.com.key
SSLCertificateChainFile /path/to/example.chained.crt
</VirtualHost>
以上路径自行替换成正确的路径,这样就完成了基本的 ssl 设置了。
如果你的主机存在上述文件(httpd-ssl.conf)的话,一般只要在主配置文件中去掉 “Include conf/extra/httpd-ssl.conf” 前的注释符号即可,同时也要去掉 “LoadModule ssl_module modules/mod_ssl.so” 前的注释。并将其中的默认虚拟主机配置修改为自己的配置,或者就这样将所有路径设为不可访问后留作默认响应的主机。
设置 .htaccess 转发
在 .htaccess 中添加转发规则
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*) https://%{SERVER_NAME}/$1 [R,L]
最后重启 apache 服务。
可以加个cron 定时任务,每个月自动更新一次证书,可以在脚本最后加入 /etc/init.d/httpd restart 等重新加载服务。
0 0 1 * * /etc/nginx/certs/letsencrypt.sh /etc/nginx/certs/letsencrypt.conf >> /var/log/lets-encrypt.log 2>&1
——————————-贴一个 apache 虚拟主机匹配的参考:深入研究虚拟主机的匹配
