ubuntu apache2 ssl配置

Ubuntu下HTTPS配置非常简单，对大部分用户而言，使用普通的自签名证书，只需按照步骤进行就可以了，无需了解密钥、证书的更多知识，更深的背景知识还有RSA算法、DES算法、X509规范、CA机构...等等，随便哪个方向都够学习一阵子的，所幸的是有了OpenSSL、OpenSSH等这些开源免费的软件，把很多底层的算法、规范都集成了，对上层应用而言，只需一二三操作即可，至多到官网去查查一些特殊的命令集。

一、安装Apache

$sudo apt-get install apache2

使用此方式安装的APACHE，配置比较分散，一般如下：

默认站点在 /var/www/
配置文件在 /etc/apache2/
日志在 /var/log/apache/
启动脚本是 /usr/bin/apache2ctl 或者 /etc/init.d/apache2

二、安装openssl

Ubuntu默认已经安装了OPENSSL，如果没安装，

$sudo apt-get install openssl

三、开启SSL模块

$sudo a2enmod ssl

这条命令相当于
sudo ln -s /etc/apache2/mods-available/ssl.load /etc/apache2/mods-enabled
sudo ln -s /etc/apache2/mods-available/ssl.conf /etc/apache2/mods-enabled

如果没有a2enmod指令，也可直接在apache2.conf中设置SSL模块加载：

LoadModule ssl_module /usr/lib/apache2/modules/mod_ssl.so

四、创建证书

创建证书有两种：一种是自签名证书，另外一种是第三方CA机构签名证书。第一种随便使用，只是没有经过官方认可的机构认证而已，后一种则是正规的签名证
书，有发证机构签名。其实很多所谓的大网站上使用的SSL证书，一样都是自签名的，主要是因为这个证书只做为在线验证使用，保证传输数据安全即可，不过使
用这种证书，对常规浏览器和一些软件而言，一般均会弹出警告，让你确认这个签名证书的有效性。正规签名证书也不过只是多了一重保障而已，而且浏览器、软件
等可以自己鉴别。

1、自签名证书

可使用apache内置的工具创建默认的自签名证书，通过-days参数指定有效期。

$sudo apache2-ssl-certificate

注意：上述命令可能在最新的apache中默认未安装，如果使用的是LAMP套件，一般会有这个模块。

不过我们还可以使用openssl命令（如果openssl是自编译安装的，没有注册该命令的话，可以使用绝对路径，比如类似/usr/local/openssl/openssl这样）创建：

`1`	`$sudo` `openssl req -x509 -newkey rsa:1024 -keyout apache.pem -out apache.pem -nodes -days 999`

2

`3`	`Country Name (2 letter code) [AU]:CN`

`4`	`State` `or` `Province Name (full name) [Some-State]:SH`

`5`	`Locality Name (eg, city) []:SH`

`6`	`Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC`

`7`	`Organizational Unit Name (eg, section) []:RD`

`8`	`Common Name (eg, YOUR name) []:myservername`

`9`	`Email Address []:test@gmail.com`

注意：在要求输入Common Name (eg, YOUR name) 时，输入你的主机名(授权主机)。

创建完成后，当前目录下有个apache.pem文件，已经包含密钥和证书。可以把这个证书拷贝到/etc/apache2/下创建一个ssl目录然后拷贝到：

/etc/apache2/ssl/apache.pem

2、第三方CA机构签署证书

生成此证书，需要向第三方提交一个“生成证书请求文件(CSR)”，生成这个CSR需要两步：

生成私钥KEY
生成请求CSR

A、运行如下命令生成私钥：

`01`	`[root@localhost tmp]# openssl genrsa -des3 1024 -out server.key`

`02`	`Generating RSA` `private` `key, 1024 bit long modulus`

`03`	`...++++++`

`04`	`.......................................................++++++`

`05`	`e is 65537 (0x10001)`

`06`	`Enter pass phrase:`

`07`	`Verifying - Enter pass phrase:`

`08`	`-----BEGIN RSA PRIVATE KEY-----`

`09`	`Proc-Type: 4,ENCRYPTED`

`10`	`DEK-Info: DES-EDE3-CBC,32BDD10A4F977F7E`

11

`12`	`A7FOhETnGpQnRcCoe1VtOtb8yq12xi6ljq/6wYB6MsGGdGjhftF1FxnSMd9Jx4o2`

`13`	`gjyUJNQs4zYkrtAaY6WYdOMiswymxiSYlKnX3l3uA6d6NqUpoyFxN7mgxqvbrdjq`

`14`	`EaGSLo1d63B6THIq9mOGNm3l1xKtiUZVwHqVaHdb1F/RD6YshwE9yE5bAXjKJKat`

`15`	`sTewoVPxj0bjEDBz49K4m+epUrh7UQ7ZyjMiefvCgg0OxFB3H8zdG0SHa1sV4fG4`

`16`	`9R+4PPoIIlLty4oyAYRwNVUWV47qGV4Jub11s50azVwtS9CV31HZQt48zkcUZ9WF`

`17`	`2PBRQ3c4AMkewzfvjEUIF7bfHcBMl9ugu4fZfJTUxJbA4vHvoVczXhvcTaf6awHn`

`18`	`4YpEX/T3xWE8ObyOjvVh5Utl39INOqzxVKGoZF1ogLFm60SokYx0r+Y19jrz2084`

`19`	`Nri4mHlYNymY+tviTFUUIHZ+8FRnkq0vnW68ejiSzG0Xyr2DDzc7pi6J58bqQ3yR`

`20`	`eNJuK8KVjXxkRn1HXtGL/C6ZpJ4qs6VVzX291vPrr7luWrXGsAcRudLWRFZDSoUB`

`21`	`lFw1CY9ol2TOX2mvt6JryhoH08x3s2prlIen10N35sVELB/nb1/8kkpztCbPHiA/`

`22`	`IH2A3g/WexCAatmCMuqlxW8Cwe98AUZduuZsAZeDoyXk7VxD7YhPKZmKPKOx3gZv`

`23`	`2S1ZpzsNgZh9HhpXsRxjwbYnyICtcUY+dQZXk1w//BP2syjcffXqqhp2FPK3SG7l`

`24`	`PsvHIWQGeTUe5uILP7S/Bbi/KrFAkDguGJHge0mmHgL9gi8RvODtKQ==`

`25`	`-----END` `RSA PRIVATE KEY-----`

`26`	`[root@localhost tmp]#`

这里使用了-des3参数，将会需要输入一个密码对私钥进行加密，每次使用此私钥也需要输入此密码，如不需对私钥加密请不要使用-des3选项。输入两次密码后，将会生成server.key私钥文件。

B、生成请求文件

运行如下命令生成证书请求文件（CSR）

openssl req -new -key server.key –out server.csr

把这个CSR文件传给CA机构，然后他们会使用此请求文件生成证书。

3、主要命令

　　sudo a2enmod ssl //启用ssl模块

　　sudo apt-get install openssl //安装openssl

　　openssl genrsa -des3 -out server.key 1024 //创建CA签名(不使用密码去除-des3选项)

　　openssl req -new -key server.key -out server.csr //创建CSR(Certificate Signing Request)

　　openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt //自己签发证书

　　sudo cp server.crt /etc/ssl/certs

　　sudo cp server.key /etc/ssl/private

五、编辑HTTPS（SSL）配置

A、添加监听端口

编辑Apache端口配置（/etc/apache2/ports.conf），加入443端口（SSL缺省使用）：

Listen 80

Listen 443

B、设置site-enabled

上文安装完后，会在/etc/apache2/sites-available/目录下生成一个缺省的default-ssl文件。缺省的网页目录仍然是/var/www/。我们可以创建一个链接到site-enabled目录。

ln -s /etc/apache2/sites-available/default-ssl /etc/apache2/sites-enabled/001-ssl

C、修改配置文件

确认HTTP监听端口改为80

#vi /etc/apache2/sites-enabled/000-default

`1`	`NameVirtualHost *:80`

2

`3`	`ServerAdmin webmaster@localhost`

`4`	`#[......]`

HTTPS监听端口缺省443：

把端口改为443，在<Virtualhost>下加入SSL认证配置，其它的根据需要自己定制与普通配置无异：

#vi /etc/apache2/sites-enabled/001-ssl

`01`	`NameVirtualHost *:443`

02

`03`	`<VirtualHost *:443>`

`04`	`SSLEngine on`

`05`	`SSLCertificateFile /etc/apache2/ssl/apache.pem`

`06`	`ServerAdmin webmaster@localhost`

`07`	`DocumentRoot /var/www`

`08`	`ServerName myServerName`

`09`	`<Directory />`

`10`	`Options FollowSymLinks`

`11`	`AllowOverride All`

`12`	`</Directory>`

`13`	`<Directory /var/www/>`

`14`	`Options FollowSymLinks MultiViews`

`15`	`AllowOverride None`

`16`	`Order allow,deny`

`17`	`allow from all`

`18`	`# This directive allows us to have apache2's` `default` `start page`

`19`	`# in /apache2-default/, but still have / go to the right place`

`20`	`#RedirectMatch ^/$ /apache2-default/`

`21`	`</Directory>`

六、重启APACHE

# service httpd restart

或，

# /etc/init.d/apache2 restart

ubuntu apache2 ssl配置的更多相关文章

ubuntu apache ssl配置
参考连接: http://blog.csdn.net/sky_qing/article/details/44303221 http://blog.sina.com.cn/s/blog_6ad62438 ...
ubuntu下apache2 安装配置卸载 CGI设置 SSL设置
一.安装.卸载apache2 apache2可直接用命令安装 sudo apt-get install apache2 卸载比较麻烦,必须卸干净,否则会影响ap ...
【志银】Ubuntu Apache2配置SSL证书
1.准备工作证书文件:zain.crt.zain.key /etc/apache2/文件夹下新建ssl 文件夹,将证书文件放入/etc/apache2/ssl 2.配置SSL证书打开/etc/ap ...
Ubuntu下apache2安装配置（内含数字证书配置）
Ubuntu下apache2安装配置(内含数字证书配置)安装命令:sudo apt-get updatesudo apt-get install apache2 配置1.查看apache2安装目录命令 ...
Ubuntu Nginx下配置网站ssl实现https访问
最近在看 HTTP权威指南看到介绍了HTTPS的ssl,自己就动手测试了下,将步骤记录下 HTTPS简介什么是HTTPS?百科是这样解释的.HTTPS(全称:Hyper Text Trans ...
ubuntu 启用apache2 虚拟机配置
Ubuntu 启用apache2 虚拟机配置 http://jingyan.baidu.com/article/5d6edee20b78e999eadeecf7.html
ubuntu apache2配置详解(含虚拟主机配置方法)
ubuntu apache2配置详解(含虚拟主机配置方法) 在Windows下,Apache的配置文件通常只有一个,就是httpd.conf.但我在Ubuntu Linux上用apt-get inst ...
Ubuntu下的apache2的配置过程
参考apache2的中文文档:http://httpd.apache.org/docs/2.4/ 安装apache2: apt-get install apache2 安装apache2doc文档:a ...
ubuntu下安装配置apache2（含虚拟主机配置）
在Ubuntu14.14中安装apache 安装指令: sudo apt-get install apache2 安装结束后: 产生的启动和停止文件是: /etc/init.d/apache2 启动: ...

随机推荐

apistore接口调用demo
<!doctype html> <html lang="en"> <head> <meta charset="UTF-8&quo ...
HTML5要点（二）
 今天周一,呵呵呵呵呵... 斜体文字</i&g ...
如何解决jenkins中shell脚本明明执行失败却不自行退出，且构建结果仍然显示success的问题？？
首先,需要明确shell命令执行结果$?为0或者非0仅能代表此执行语句是否顺利执行了,例如: 执行语句:adb connect 192.168.XX.XX 执行结果:unable to connect ...
http server v0&period;1&lowbar;http&lowbar;reponse&period;c
#include <string.h> #include <sys/stat.h> #include <sys/mman.h> #include <fcntl ...
exchange邮箱的”单点登陆&OpenCurlyDoubleQuote;
在跟exchange集成登陆时,通常有这样的需求,用户需要点击邮件链接的时候直接打开,不再需要输入用户名密码,实现所谓的单点登陆. 通常有两种方式 1.form认证登陆原理:用js模拟表单登陆代码 ...
perl 公交车查询
<pre name="code" class="cpp">decode_json 必须是unicode形式的字符,Dump不支持显示unicode形 ...
CentOS 配置防火墙操作实例（启、停、开、闭端口）CentOS Linux-FTP/对外开放端口（接口）TomCat相关
链接地址:http://blog.csdn.net/jemlee2002/article/details/7042991 CentOS 配置防火墙操作实例(启.停.开.闭端口): 注:防火墙的基本操作 ...
运用JavaScript构建你的第一个Metro式应用程序（on Windows 8）（一）
原文 http://blog.csdn.net/zhangxin09/article/details/6784547 作者:Chris Sells 译: sp42 原文包括 HTML.CSS 和 ...
hexo博客MathJax公式渲染问题
这个问题自己很早以前便碰到了,用MathJax语法写的一些公式,在本地Markdown编译器上渲染是没问题的,可是部署到hexo博客中就出现问题了,之前我是使用图片代替公式应付过去了,今天从网上找了一 ...
L - Vases and Flowers HDU - 4614 线段树+二分
题意给出一排空花瓶有两种操作 1是从A花瓶开始放F朵花如果当前瓶有花就跳过前往下一个直到花用完或者瓶子到了最后一个为止输出成功放花的第一个和最后一个如果没有输出 can not. ...