注意本篇内容謝絕轉載
七、給Apache添加SSL證書
還記得在前邊提到的MySQL伺服器如何使用自建CA(證書管理機構),自己建立伺服器和用戶端證書的步驟吧。在Apache伺服器上,如果我們的網站的通路者是一個有限的封閉的幾個人或公司内部,那麼用自己建立的CA簽發SSL伺服器和客戶機證書就好了。
而如果網站的通路者是面向網際網路大衆的,最好還是向專業的C如申請并購買伺服器證書,這樣用戶端的浏覽器會自動向CA或ICA(授權證書管理機構)驗證你伺服器證書的有效性。
這一部分主要來說明一下如何添加已經購買好的伺服器證書。
本篇内容大部分系翻譯内容。
---翻譯内容開始--
從你的客戶專區下載下傳ICA(即 Intermediate Certificate Authority)證書檔案(DigiCertCA.crt)和你的伺服器證書檔案( <你的域名>.crt),然後把它們拷貝到你的伺服器上要存放證書和私鑰檔案的路徑,并確定root使用者可讀。
2.查找Apache的配置檔案并編輯
這個檔案的位置因伺服器而異,特别是你用了一個指定的路徑(special interface)來管理你的伺服器配置。
如果你拿文本編譯器打開這個檔案,你可以找到包含了Apache的設定的<VirtuaHost>塊。
3.配置<VirtualHost>塊識别SSL
如果你需要自己的站點通過加密的(https)和非加密(http)連接配接都能夠通路的話,你需要每種連接配接類型配置一個虛拟主機(virtual host)。一定要拷貝一份已存在的非加密的虛拟主機,而後按照步驟4的描述把它配置成支援SSL。
如果你僅僅需要網站通過安全機制通路,按照步驟4的描述配置已經存在的虛拟主機支援SSL。
4.配置<VirtualHost>塊為站點啟用SSL安全機制
下面是一個簡單的配置成支援SSL的虛拟主機例子。其中列出的粗體部分是必須添加的SSL配置。
SSLCertificateFile <這裡應該是你的伺服器證書檔案> (例如:your_domain_name.crt)
SSLCertificateKeyFile <這裡應該是你在建立CSR時候生成的的密鑰檔案>
5.在重新啟動Apache前先測試你的配置
通常,最好在重新啟動Apache之前測試你的Apache配置檔案以防有錯,這是因為一旦你的配置檔案存在文法錯誤,Apache就再啟動不起來了。運作下面的指令:(在一些系統上可能是apache2ctl)
6.重新啟動Apache
排除故障:
SSLCipherSuite HIGH:+MEDIUM:!SSLv2:!EXP:!ADH:!aNULL:!eNULL:!NULL
如果這條指令已經存在,你很可能需要修改這條指令來禁用SSL version 2。
---翻譯内容結束--
下一個連載的内容将是如何編譯PHP以及要注意的一些事項。到現在,連載内容已經接近尾聲。
本文轉自xiaoyuwang 51CTO部落格,原文連結:http://blog.51cto.com/wangxiaoyu/201522,如需轉載請自行聯系原作者