本文介紹如何在Ubuntu系統下的Apache2伺服器配置SSL認證,具體包括下載和上傳認證檔案的方法,在Apache2上配置認證檔案、憑證鏈結和認證密鑰等參數介紹,以及安裝認證後效果的驗證。成功配置SSL認證後,您將能夠通過HTTPS加密通道安全訪問Apache2伺服器,確保資料轉送的安全性。
前提條件
環境準備
作業系統:Ubuntu
Web伺服器:Apache2
不同版本的作業系統或Web伺服器,部署操作可能有所差異,如有問題,請聯絡商務經理進行諮詢。
步驟一:下載SSL認證
登入數位憑證管理服務控制台。
在左側導覽列,選擇。
在SSL 憑證頁面,定位到目標認證,在操作列,單擊下載。
在伺服器類型為Apache的操作列,單擊下載。
解壓縮已下載的SSL認證壓縮包。
根據您在提交認證申請時選擇的CSR產生方式,解壓縮獲得的檔案不同,具體如下表所示。
CSR產生方式
認證壓縮包包含的檔案
系統產生
認證檔案(CRT格式):預設以認證綁定網域名稱_public命名。CRT格式的認證檔案採用Base64-encoded編碼的文字檔。
憑證鏈結檔案(CRT格式):預設以認證綁定網域名稱_chain命名。
私密金鑰檔案(KEY格式):預設以認證綁定網域名稱命名。
手動填寫
如果您填寫的是通過數位憑證管理服務控制台建立的CSR,下載後包含的認證檔案與系統產生的一致。
如果您填寫的不是通過數位憑證管理服務控制台建立的CSR,下載後只包括認證檔案(PEM格式),不包含認證密碼或私密金鑰檔案。您可以通過認證工具,將認證檔案和您持有的認證密碼或私密金鑰檔案轉換成所需格式。轉換認證格式的具體操作,請參見認證格式轉換。
步驟二:在Apache2伺服器安裝認證
執行以下命令,在Apache2的安裝目錄下建立一個用於存放認證的ssl目錄。
mkdir /etc/apache2/ssl
將認證檔案和私密金鑰檔案上傳到Apache2認證目錄(
/etc/apache2/ssl
)。說明您可以使用遠程登入工具附帶的本地檔案上傳功能,上傳檔案。例如PuTTy、Xshell或WinSCP等。如果您使用的阿里雲Elastic Compute Service,上傳檔案具體操作,請參見上傳或下載檔案(Windows)或上傳檔案到Linux雲端服務器。
執行以下命令,啟用SSL模組。
sudo a2enmod ssl
SSL模組啟用後,會在
/etc/apache2/sites-available
目錄產生SSL認證設定檔default-ssl.conf。說明default-ssl.conf檔案可能存放在
/etc/apache2/sites-available
或/etc/apache2/sites-enabled
目錄中。sites-available
目錄存放的是可用的虛擬機器主機。sites-enabled
目錄存放的是已經啟用的虛擬機器主機。
SSL模組啟用後,會自動允許存取用於HTTPS服務的443連接埠。若443連接埠未自動允許存取,可在
/etc/apache2/ports.conf
設定檔中添加Listen 443,手動允許存取443連接埠。
編輯default-ssl.conf檔案,修改與認證相關的配置。
執行以下命令,開啟default-ssl.conf檔案。
vim /etc/apache2/sites-available/default-ssl.conf
在default-ssl.conf設定檔中,定位到以下參數,按照中文注釋修改。
ServerName example.com #請將example.com替換為您認證綁定的網域名稱。部分伺服器,沒有該配置參數,您需要手動添加。 SSLCertificateFile /etc/apache2/ssl/domain_name_public.crt #認證檔案路徑。請替換為實際認證檔案路徑。 SSLCertificateKeyFile /etc/apache2/ssl/domain_name.key #認證私密金鑰檔案路徑。請替換為實際認證私密金鑰檔案路徑。 SSLCertificateChainFile /etc/apache2/ssl/domain_name_chain.crt #憑證鏈結檔案路徑。請替換為實際憑證鏈結檔案路徑。
執行以下命令,將default-ssl.conf映射至
/etc/apache2/sites-enabled
目錄,實現兩者之間的自動關聯。sudo ln -s /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-enabled/001-ssl.conf
執行以下命令,重新載入Apache2設定檔。
sudo /etc/init.d/apache2 force-reload
執行以下命令,重啟Apache2服務。
sudo /etc/init.d/apache2 restart
步驟三:驗證SSL認證是否安裝成功
認證安裝完成後,您可通過訪問認證的綁定網域名稱驗證該認證是否安裝成功。
https://yourdomain #需要將yourdomain替換成認證綁定的網域名稱。
如果網頁地址欄出現小鎖標誌,表示認證已經安裝成功。