• 郑州网站建设-郑州网站制作-郑州网站设计-手机建站-郑州建站

  • 手机网站 专注网站建设 品牌的力量 值得信赖

    服务热线: 15136144056/15638281969

当前位置:首页 > 网站营销 > 行业资讯 > 正文

个服务器IP多个SSL证书(https多网站)的Apache设置办法

发布时间:2021年04月06日 01:46 | 发布者:新速科技 | 浏览次数:34次
可能出现的情况:
· 老式的SSL证书是一个证书一个站点一个IP的一一对应,但后来有了改进;


· 可以配置为一台服务器多个IP,分别对应不同的站点、不同的证书;


· 还可以配置为一台服务器一个IP,多个端口号对应不同的站点、不同的证书;


· 后来出现SNI(Server Name Indication服务器名称指示)技术,让https与http一样实现一台服务器多个虚拟站点,每个站点都可以对应不同的证书,无需多个IP、无需多个端口(全部都用https标准的端口号443),多个域名、泛域名都支持。


设置过程
· 首先SSL证书提供商,根据自己的需要及预算选择,如果自己的站点多,最好是选择支持多域名、通配符的证书,例如StartCom(link is external)的EV、OV、IV认证支持的证书(DV认证不支持通配符);


· 购买需要的证书,这个过程中需要上传或者粘贴CSR(PEM格式),这个CSR可以用startcomtool.exe来生成(同时保存Private Key文件startssl.key和CSR文件startssl.csr到本机),也可以在Linux下运行openssl req -new -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr来生成key和csr;


· 下载生成的证书压缩包文件example.com.zip,解压后有ApacheServer.zip、IISServer.zip、NginxServer.zip、OtherServer.zip四个压缩文件,再解压其中的ApacheServer.zip得到两个证书文件1_root_bundle.crt、2_example.com.crt;


· 上传startssl.key和startssl.csr两个文件以及两个证书文件1_root_bundle.crt、2_example.com.crt到apache/conf目录下,将startssl.csr加到2_example.com.crt文件后面形成一个新的文件startssl.crt;


· 修改httpd.conf或者包含的extra/httpd-ssl.conf文件,在ssl站点中设置key为上传的startssl.key,crt为合并的startssl.crt,证书链crt为1_root_bundle.crt(每个证书的这三个文件内容都不一样,即使文件名一样);


· 如果需要设置多个SSL站点,在Apache 2.2以上版本中是开启SSL模块后是直接支持SNI的,添加NameVirtualHost *:443和SSLStrictSNIVHostCheck off两句后,就可以像http虚拟站点一样设置多个https虚拟站点;


· 多个https虚拟站点可以分别指向多个不同的证书文件,其中第一个默认https站点是在后续https站点配置找不到的时候自动使用的默认配置;


· https虚拟站点与http虚拟站点配置一样,可以使用ServerAlias来将多个子域名指向同一个目录、采用相同的SSL证书;


· 重启apache,上面修改的配置就可以生效,再用浏览器检查是否有问题,特别是查看一下安全证书是否与申请的一致,如果提示网页中有部分非安全内容,则要检查嵌入的非安全部分内容,改为安全的内容;


· 没有问题了可以修改站点中的链接,让http都改为https,如果是内部链接则与http或者https无关,可以不修改,如果是写死的http,可以改为https或者内部链接,还可以改为//example.com这样的URL形式;


· 最后修改apache配置文件或者.htaccess,让以前的http访问全部301跳转到https对应的网页。


代码示范
下面是一个修改httpd-ssl.conf文件的例子:


Listen 443
#Listen 8081
NameVirtualHost *:443        #这一条在apache2.4以后就不需要了
SSLStrictSNIVHostCheck off
<VirtualHost _default_:443>
DocumentRoot "/usr/local/apache/htdocs/easway.net"
ServerName www.easway.net
ServerAlias easway.net
ServerAdmin you@easway.net
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5    #根据阿里云SSL证书安装示例中填写
SSLCertificateFile "/usr/local/apache/conf/server.crt"
SSLCertificateKeyFile "/usr/local/apache/conf/server.key"
SSLCertificateChainFile "/usr/local/apache/conf/1_root_bundle.crt"
<FilesMatch "\.(cgi|shtml|phtml|php)$">
    SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/usr/local/apache/htdocs/easway">
    AllowOverride All
    SSLOptions +StdEnvVars
</Directory>
</VirtualHost>


<VirtualHost *:443>
DocumentRoot "/usr/local/apache/htdocs/example2.com"
ServerName example2.com
ServerAlias subdomain.example2.com
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLCertificateFile "/usr/local/apache/conf/server2.crt"
SSLCertificateKeyFile "/usr/local/apache/conf/server2.key"
SSLCertificateChainFile "/usr/local/apache/conf/1_root_bundle2.crt"
<FilesMatch "\.(cgi|shtml|phtml|php)$">
    SSLOptions +StdEnvVars
</FilesMatch>
<Directory "/usr/local/apache/htdocs/example2.com">
    AllowOverride All
    SSLOptions +StdEnvVars
</Directory>
</VirtualHost>
修改.htaccess文件实现301永久重定向的例子:
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]