全部產品
Search

搜尋本產品

    Certificate Management Service:在Ubuntu系統下的Apache2安裝SSL認證

    文件中心

    Certificate Management Service:在Ubuntu系統下的Apache2安裝SSL認證

    更新時間:Jun 30, 2024

    本文介紹如何在Ubuntu系統下的Apache2伺服器配置SSL認證,具體包括下載和上傳認證檔案的方法,在Apache2上配置認證檔案、憑證鏈結和認證密鑰等參數介紹,以及安裝認證後效果的驗證。成功配置SSL認證後,您將能夠通過HTTPS加密通道安全訪問Apache2伺服器,確保資料轉送的安全性。

    前提條件

    • 已通過數位憑證管理服務控制台簽發認證。具體操作,請參見購買SSL認證提交認證申請

    • SSL認證綁定的網域名稱已完成DNS解析,即您的網域名稱與主機IP地址相互映射。您可以通過DNS驗證認證工具,檢測網域名稱DNS解析是否生效。具體操作,請參見DNS生效驗證

    • 已在Web伺服器開放443連接埠(HTTPS通訊的標準連接埠)。

      如果您使用的是阿里雲ECS伺服器,請確保已經在安全性群組規則入方向添加TCP 443連接埠。具體操作,請參見添加安全性群組規則

    環境準備

    • 作業系統:Ubuntu

    • Web伺服器:Apache2

    重要

    不同版本的作業系統或Web伺服器,部署操作可能有所差異,如有問題,請聯絡商務經理進行諮詢

    步驟一:下載SSL認證

    1. 登入數位憑證管理服務控制台

    2. 在左側導覽列,選擇認證管理 > SSL認證管理

    3. SSL 憑證頁面,定位到目標認證,在操作列,單擊下載

    4. 伺服器類型為Apache的操作列,單擊下載

      image.png

    5. 解壓縮已下載的SSL認證壓縮包。

      根據您在提交認證申請時選擇的CSR產生方式,解壓縮獲得的檔案不同,具體如下表所示。in

      CSR產生方式

      認證壓縮包包含的檔案

      系統產生

      • 認證檔案(CRT格式):預設以認證綁定網域名稱_public命名。CRT格式的認證檔案採用Base64-encoded編碼的文字檔。

      • 憑證鏈結檔案(CRT格式):預設以認證綁定網域名稱_chain命名。

      • 私密金鑰檔案(KEY格式):預設以認證綁定網域名稱命名。

      手動填寫

      • 如果您填寫的是通過數位憑證管理服務控制台建立的CSR,下載後包含的認證檔案與系統產生的一致。

      • 如果您填寫的不是通過數位憑證管理服務控制台建立的CSR,下載後只包括認證檔案(PEM格式),不包含認證密碼或私密金鑰檔案。您可以通過認證工具,將認證檔案和您持有的認證密碼或私密金鑰檔案轉換成所需格式。轉換認證格式的具體操作,請參見認證格式轉換

    步驟二:在Apache2伺服器安裝認證

    1. 執行以下命令,在Apache2的安裝目錄下建立一個用於存放認證的ssl目錄。

      mkdir /etc/apache2/ssl

    2. 將認證檔案和私密金鑰檔案上傳到Apache2認證目錄(/etc/apache2/ssl)。

      說明

      您可以使用遠程登入工具附帶的本地檔案上傳功能,上傳檔案。例如PuTTy、Xshell或WinSCP等。如果您使用的阿里雲Elastic Compute Service,上傳檔案具體操作,請參見上傳或下載檔案(Windows)上傳檔案到Linux雲端服務器

    3. 執行以下命令,啟用SSL模組。

      sudo a2enmod ssl

      image.png

      • SSL模組啟用後,會在/etc/apache2/sites-available目錄產生SSL認證設定檔default-ssl.conf。

        說明

        default-ssl.conf檔案可能存放在/etc/apache2/sites-available/etc/apache2/sites-enabled目錄中。

        • sites-available目錄存放的是可用的虛擬機器主機。

        • sites-enabled目錄存放的是已經啟用的虛擬機器主機。

      • SSL模組啟用後,會自動允許存取用於HTTPS服務的443連接埠。若443連接埠未自動允許存取,可在/etc/apache2/ports.conf設定檔中添加Listen 443,手動允許存取443連接埠。

    4. 編輯default-ssl.conf檔案,修改與認證相關的配置。

      1. 執行以下命令,開啟default-ssl.conf檔案。

        vim /etc/apache2/sites-available/default-ssl.conf

      2. 在default-ssl.conf設定檔中,定位到以下參數,按照中文注釋修改。

        ServerName example.com  #請將example.com替換為您認證綁定的網域名稱。部分伺服器,沒有該配置參數,您需要手動添加。
SSLCertificateFile /etc/apache2/ssl/domain_name_public.crt  #認證檔案路徑。請替換為實際認證檔案路徑。
SSLCertificateKeyFile /etc/apache2/ssl/domain_name.key   #認證私密金鑰檔案路徑。請替換為實際認證私密金鑰檔案路徑。
SSLCertificateChainFile /etc/apache2/ssl/domain_name_chain.crt  #憑證鏈結檔案路徑。請替換為實際憑證鏈結檔案路徑。

    5. 執行以下命令,將default-ssl.conf映射至/etc/apache2/sites-enabled目錄,實現兩者之間的自動關聯。 

      sudo ln -s /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-enabled/001-ssl.conf

    6. 執行以下命令,重新載入Apache2設定檔。

      sudo /etc/init.d/apache2 force-reload

      image.png

    7. 執行以下命令,重啟Apache2服務。

      sudo /etc/init.d/apache2 restart

      image.png

    步驟三:驗證SSL認證是否安裝成功

    認證安裝完成後,您可通過訪問認證的綁定網域名稱驗證該認證是否安裝成功。 

    https://yourdomain   #需要將yourdomain替換成認證綁定的網域名稱。

    如果網頁地址欄出現小鎖標誌,表示認證已經安裝成功。

    image.png

    相關文檔

    如何解決SSL認證部署後未生效或網站顯示不安全