1、SSL證書(shū)下載
證書(shū)成功頒發後,登陸www.bchost.cn->業務管理(lǐ)->SSL證書(shū)服務, 查詢->下載證書(shū)。
2、防火(huǒ)牆端口開放(fàng)說(shuō)明
(1) https默認端口爲443。根據實際需求,您可(kě)以選擇其他(tā)端口,Apache配置、防火(huǒ)牆等請(qǐng)同步修改。
(2) 如(rú)果您使用的是雲服務器,請(qǐng)登錄雲平台系統,安全組增加TCP-443 端口的入站(zhàn)規則。
(3) 如(rú)果iptables/firewall防火(huǒ)牆有啓用,增加開放(fàng)TCP-443 端口的入站(zhàn)規則。
3、關于Apache的安裝
安裝apache請(qǐng)支持ssl模塊。
4、配置文件(jiàn)備份
備份Apache目錄的以下配置文件(jiàn),推薦增加時間戳命名:
conf/httpd.conf -> httpd.conf.20210101
conf/extra/httpd-ssl.conf -> httpd-ssl.conf.20210101
conf/extra/httpd-vhosts.conf -> httpd-ssl.conf.20210101
5、證書(shū)上傳到服務器
進入Apache目錄/conf, 創建子目錄ssl;
解壓證書(shū)包,上傳apache目錄下的3個文件(jiàn):
域名.key:私鑰
域名.crt:公鑰
域名.ca.crt:中級證書(shū)+ROOT證書(shū)
6、編輯httpd.conf
打開Apache目錄/conf/httpd.conf配置文件(jiàn),去(qù)掉以下三行的開頭注釋符号#:
LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf
7、編輯httpd-ssl.conf
打開Apache目錄/conf/httpd-ssl.conf配置文件(jiàn)
(1) 去(qù)掉默認配置:
Listen 443,如(rú)果開頭有注釋符号#,删除掉
删除默認的
從(cóng)httpd-vhosts.conf拷貝對應站(zhàn)點的VirtualHost配置過來(lái),80改爲443
(2) VirtualHost配置段内增加SSL相(xiàng)關配置:
藍色部分(fēn)爲增加的SSL配置
域名.crt、域名.key、域名.ca.crt請(qǐng)注意替換您的實際文件(jiàn)名
# 前面這些同HTTP/80的站(zhàn)點配置
DocumentRoot "/usr/local/apache/htdocs"
ServerName www.bchost.cn
ServerAlias bchost.cn www.bchost.com
# 以下爲新增的SSL配置
SSLEngine on
SSLProtocol all -SSLv3 -SSLv2 # 禁用不安全協議(yì)SSL2.0、SSL3.0
SSLCertificateFile "conf/ssl/域名.crt" # 公鑰證書(shū)
SSLCertificateKeyFile "conf/ssl/域名.key" # 私鑰
SSLCertificateChainFile conf/ssl/域名.ca.crt" # 中級證書(shū)+ROOT證書(shū)
8、配置測試
執行如(rú)下命令,測試配置文件(jiàn)是否正确:
輸入:Apache目錄/bin/apachectl -t
例如(rú):/usr/local/apache/bin/apachectl -t
如(rú)果提示Syntax Ok,說(shuō)明站(zhàn)點配置正确;如(rú)果返回錯誤,請(qǐng)根據錯誤信息調整配置文件(jiàn)。
9、啓動/重啓Apache,浏覽器輸入https://域名訪問(wèn)測試。
10、http自(zì)動跳(tiào)轉https配置
(1) 配置自(zì)動跳(tiào)轉前,請(qǐng)先用https訪問(wèn)您的網站(zhàn),确認網站(zhàn)正常顯示。
(2) httpd-vhosts.conf修改:
打開extra/httpd-vhosts.conf,找出對應的VirtualHost站(zhàn)點配置,增加如(rú)下配置:
RewriteEngine on
RewriteRule ^/?(.*)$ https://%{SERVER_NAME}/$1 [R=301,L]
(3) 參考前面說(shuō)明,測試配置文件(jiàn)是否正确
(4) 重啓Apache服務,輸入http://域名,觀察是否自(zì)動跳(tiào)轉到https://域名。