专栏首页野路子程序员给网站配置上HTTPS加密访问(Centos7+Apache+SSL证书)

给网站配置上HTTPS加密访问(Centos7+Apache+SSL证书)

叙话

今天给一个网站配置了ssl证书,过程中踩到很多坑,前前后后耗时6个小时才查明问题,在此记录下,以作后续参考。

准备

已有网站 http://www.example.com,给其配置ssl证书,使得访问 https://www.example.com。

SSL证书申请

SSL证书申请方式,网上有很多免费的个人证书直接申请。也可自己使用工具手动生成,但会产生 “未授权访问被拒绝,或者安全性设置已到期 / :ERR_CERT_AUTHORITY_INVALID ”,不建议使用。

一般申请到的证书,会给你三个文件。先将以上文件全部上传到服务器。

上传到任何目录均可,不限制,可按照文中来,后续修改

*.cer   上传到 /etc/pki/tls/certs/目录   文件名:www.explame.com.cer

*.crt    上传到 /etc/pki/tls/certs/ 目录 www.explame.com.crt

*.key   上传到/etc/pki/tls/private/目录 www.explame.com.key

很失败的,我第一个坑踩到了证书文件上,后面讲下具体原由。

编译安装mod_ssl.so

之前的环境是yum安装的httpd方式,编译安装的请搜索编译安装mod_ssl.so方法。

yum安装方式:

yum install mod_ssl

安装完毕后,默认会给你生成一堆配置及mod_ssl.so 且已加载。

/etc/httpd/conf.d/ssl.conf SSL默认配置文件

网上很多教程都会教你在当前这个默认文件里修改配置使用,其实这个文件完全可以不用修改的,忽略他,在你本身存在的网站配置上修改也一样起效。这个坑,很多人容易踩。

增加配置

原本配置

<VirtualHost *:80>
    ServerName default
    DocumentRoot "/var/WEB/default/wwwroot"
    ServerAlias www.example.com www.local116.com
    ErrorLog "/var/WEB/default/log/error.log"
    CustomLog "/var/WEB/default/log/access.log" common
</VirtualHost>

追加配置

<VirtualHost *:443>
    ServerName www.example.com:443
    DocumentRoot "/var/WEB/default/wwwroot"
    ServerAlias www.example.com www.local116.com 
    ErrorLog "/var/WEB/default/log/error.log"
    CustomLog "/var/WEB/default/log/access.log" common
    SSLEngine on
    SSLCertificateFile "/etc/pki/tls/certs/www.example.com.crt"
    SSLCertificateKeyFile "/etc/pki/tls/private/www.example.com.key"
</VirtualHost>


###详解配置###
<VirtualHost *:443>  主要是443的匹配作用,决定该网站接收端口


ServerName www.example.com:443 域名后面的:443 可有可无

ServerAlias 这里配置的所有域名都将可以使用https访问,前提是证书支持这些域名

SSLEngine on 开启SSL
SSLCertificateFile 配置证书文件
SSLCertificateKeyFile 配置证书秘钥文件

配置追加完毕后,重启httpd(很重要)。

方式一:

httpd -k stop

httpd -k start (无错误及其他任何信息提示,以为是启动成功了,访问网页发现是决绝访问,查看进程之后发现httpd根本没有启动)

方式二:

systemctl restart httpd.service 

查看错误发现基本是找不到什么具体错误的

经过反反复复测试,改删配置才搞清出问题。

CRT - CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码,相信你已经知道怎么辨别.

CER - 还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码.

KEY - 通常用来存放一个公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER.

因为当前使用的centos(LINUX系),使用的证书并不是.crt还是csr。

意识到配置中的证书文件选择错了,将其修改过来。

<VirtualHost *:443>
    ServerName www.example.com:443
    DocumentRoot "/var/WEB/default/wwwroot"
    ServerAlias www.example.com www.local116.com 
    ErrorLog "/var/WEB/default/log/error.log"
    CustomLog "/var/WEB/default/log/access.log" common
    SSLEngine on
    SSLCertificateFile "/etc/pki/tls/certs/www.example.com.csr" #此处修改为csr文件
    SSLCertificateKeyFile "/etc/pki/tls/private/www.example.com.key"
</VirtualHost>

再次重新启动httpd

systemctl restart httpd.service

此次终于启动成功,还有很多问题,譬如配置证书,http可以访问,https无法访问文件(404)大多都是因为证书引起的,必须确认访问的域名配置的域名以及申请证书的域名是一致的。

443端口监听失败

注意,默认ssl.conf里面已经配置监听443端口的操作。不能再httpd.conf或者其他虚拟主机.conf里面增加监听,否则也会引起无法启动httpd。

ssl.conf

Listen 443 https

遇到一些用户说,将apache httpd升级到2.4之后需要修改这个配置。

Listen 127.0.0.1:443 https

给其增加IP绑定,我测试发现并不是必须的,ssl.conf是不需要改一个字符的。

当前版本: Apache/2.4.6 (CentOS)

如果遇到问题,可以尝试修改此处,测试是否得以解决。

查看相关日志

systemctl status httpd.service -l

tail /var/log/messages

如果发现是关于443的问题,检查后台是否有其他程序监听443。

netstat -nao|grep 443

或者检查所有被httpd引入的文件是否出现多个监听端口(Listen 443),如有修改后一般问题则解决。

可以使用httpd -S 查看当前httpd加载的文件配置,逐个进行排查。

总结

检查以下问题,保证无误,基本能解决问题。

  1. 证书申请的域名以及证书的文件无误
  2. 不同服务器加载的证书文件不同,根据不同服务器选择不同证书文件,且文件位置存在该文件。
  3. 保证所有被httpd加载的配置文件不能包含多个监听同一端口指令。如:Listen 443
  4. 保证无其他程序占用443及80等自行监听的虚拟主机端口。netstat 检测
  5. 网页无法显示完整,查看网页源码发现,如网页中出现http链接,由于https安全机制限制,则需要将其链接更改为https即可,如:https://example.com,另外可更改使用 //example.com,将自动识别当前协议,自动加载。

本文引用:

那些证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等) 

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • PHP 配合JSmin库进行压缩前端JS代码进行合并访问,减少前端访问请求。

    Eller
  • n2n内网穿透打洞部署全过程 + nginx公网端口映射

    Eller
  • 逆浏览器请求之JS跨域访问

    禁用跨域访问是浏览器保证安全访问的一项重要策略限制,很多跨域访问的操作都是违逆浏览器标准的。在一些场合不得不又需要用到,则本文大致说明下,在Nginx作为服务端...

    Eller
  • Chrome暗藏的恐龙跳一跳,已经被AI轻松掌握了

    作为一个Google Chrome浏览器的用户,当你看到上面那个页面时,不要沮丧。换个角度一想,墙内还能有更多的Play时间哦~

    量子位
  • cloudpass.com云类域名大五位结拍

    近年,云服务大热,受云服务影响,“云”类域名深受青睐。和“云”相关的域名自然也随着市场发展而变得抢手。近日,就有一枚英文组合米cloudpass.c...

    躲在树上的域小名
  • AQS源码分析之Elasticsearch BaseFuture

    Java多线程编程中,常用的多线程设计模式包括:Future模式、Master-Worker模式、Guarded Suspeionsion模式、不变模式和生产者...

    开发架构二三事
  • rootless Podman如何工作?【Programming】

    在上一篇有关用户名称空间和Podman的文章中,我讨论了如何使用Podman命令来启动具有不同用户名称空间的不同容器,从而更好地分隔容器。Podman还利用用户...

    Potato
  • Google Pixel 2拍照黑科技:单摄搞定背景虚化+内部潜伏神秘芯片

    安妮 夏乙 发自 凹非寺 量子位 出品 | 公众号 QbitAI ? Google最新亲儿子Google Pixel 2系列一发布,拍照效果的好评就已铺天盖地。...

    量子位
  • jbpm5.1介绍(2)

    快速开始  首先下载jBPM,http://sourceforge.net/projects/jbpm/files/ 可以有选择性的下载: bin:jBPM的二...

    cloudskyme
  • OCP-052考试题库汇总(14)-CUUG内部解答版

    Which three are true about the Automatic Workload Repository (AWR)?

    用户5892232

扫码关注云+社区

领取腾讯云代金券