• 80阅读
  • 1回复

apache 配置安装ssl证书实现https安全访问全过程

楼层直达
apache 配置安装ssl证书实现https安全访问全过程 d*%-r2K  
zz ^2/l  
安装证书(贴上未来智库站配置ssl的代码内容),官方的配置复杂且不具有通用性。 B_FfXFQm<  
1.#修改httpd.conf文件 4:$?u}9[:[  
LoadModule ssl_module modules/mod_ssl.so gi::?ET/.  
pg3B^  
Include conf/extra/httpd-ssl.conf lk $S"OH!  
ZyE2=w7n  
#去掉上面两行前的"#" S5eQHef  
r>+Hwj0>  
. e2qa  
2.打开extra目录下的httpd-ahssl.conf文件 ayfZ>x{s*  
将下载的证书四个文件放置在conf下的ssl目录。 Xrnxpp!#^D  
httpd-ahssl.conf添加如下代码 'T54k  
VFN\ Ryd  
Listen 443 https .Z=D|&!  
<VirtualHost _default_:443> -a`EL]NX  
  SSLEngine on 7p"" 5hw  
  ServerName www.7428.cn:443 J~z;sTR  
  SSLCertificateFile "${SRVROOT}/conf/ssl/214329625123456.pem" /ZAS%_as  
  SSLCertificateKeyFile "${SRVROOT}/conf/ssl/214329625123456.key" 3 wVN:g7  
php_admin_value open_basedir "${SRVROOT}/htdocs/www7428cn;C:/windows/TEMP" 41%B%K*  
  DocumentRoot "${SRVROOT}/htdocs/www7428cn" Ij>x3L\-  
  ErrorDocument 404 "/404/" i][7S mN  
# DocumentRoot access handled globally in httpd.conf >So)KB  
#    CustomLog "${SRVROOT}/logs/ssl_request.log" \ [T', ZLR|  
#          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" 2-821Sf#h  
<Directory "${SRVROOT}/htdocs/7428cnwww"> w5"C<5^  
# Options Indexes Includes FollowSymLinks {N+N4*  
Options Includes FollowSymLinks Yo:l@(  
AllowOverride AuthConfig Limit FileInfo =p>"PqJ/7n  
    Require all granted  "m3:HS  
</Directory> 5,!,mor$]  
</virtualhost> 89KX.d  
<VirtualHost _default_:443> d,au&WZ;_  
  SSLEngine on $NP5Z0v7  
  ServerName 7428.cn:443 tx;DMxN!W  
  SSLCertificateFile "${SRVROOT}/conf/ssl/214329625123456.pem" ;J pdnV  
  SSLCertificateKeyFile "${SRVROOT}/conf/ssl/214329625123456.key" 10 dVV[=  
 <IfModule rewrite_module> UM%[UyYQ  
    RewriteEngine On S1^u/$*6  
    RewriteCond %{http_host} ^7428.cn [NC] -bSe=09;S|  
    RewriteRule ^(.*)$ https://www.7428.cn/$1 [L,R=301] 2X2,( D!  
    </IfModule> QZk:G+ $  
php_admin_value open_basedir "${SRVROOT}/htdocs/www7428cn;C:/windows/TEMP" MjC;)z  
  DocumentRoot "${SRVROOT}/htdocs/www7428cn" ?}%Gr,tj2  
  ErrorDocument 404 "/404/" b3e:F{n ^  
# DocumentRoot access handled globally in httpd.conf k;:v~7VF  
#    CustomLog "${SRVROOT}/logs/ssl_request.log" \ S4kGy}{+i  
#          "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" L f[>U  
<Directory "${SRVROOT}/htdocs/www7428cn"> [@[!esC  
# Options Indexes Includes FollowSymLinks 7\ d{F)7E  
Options Includes FollowSymLinks  hi,!  
AllowOverride AuthConfig Limit FileInfo { 'Hi_b3  
    Require all granted |E!()j=  
</Directory> DR/qe0D  
</virtualhost> R3F>"(P@tS  
保存后重启apache ';??0M  
其中的php_admin_value open_basedir两行代码作用是防止同一个服务器下其他域名站跨站访问。安全至上。 qEKTSet?  
ErrorDocument 是配置找不到页面的时候跳转的404页面信息。 !cw<C*  
<IfModule rewrite_module>里面的内容是实现https://7428.cn重定向到https://www.7428.cn,即不带www的跳转到 wo7.y["$  
K|];fd U  
带www的下。 &oiX/UaY  
)eGGA6G  
>b,o yM  
)7=B]{B_  
官方文件说明: (w]w 2&Y D  
1. 证书文件214329625123456.pem,包含两段内容,请不要删除任何一段内容。 ,Ihuo5>/z  
2. 如果是证书系统创建的CSR,还包含:证书私钥文件214329625123456.key、证书公钥文件public.pem、证书链文件chain.pem。 tC\x9&:  
( 1 ) 在Apache的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件,请将对应的私钥文件放到cert目录下并且命名为214329625123456.key; dra'1E  
( 2 ) 打开 apache 安装目录下 conf 目录中的 httpd.conf 文件,找到以下内容并去掉“#”: b$[_(QUw  
#LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件) Dqe)8 r  
#Include conf/extra/httpd-ssl.conf y#HD1SZ  
( 3 ) 打开 apache 安装目录下 conf/extra/httpd-ssl.conf 文件 (也可能是conf.d/ssl.conf,与操作系统及安装方式有关), 在配置文件中查找以下配置语句: o^4qY  
# 添加 SSL 协议支持协议,去掉不安全的协议 E!Hq%L!/  
SSLProtocol all -SSLv2 -SSLv3 .=rv,PWjZ  
# 修改加密套件如下 3/:O8H  
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM Rp A76ug  
SSLHonorCipherOrder on x@2rfs  
# 证书公钥配置 vX)6N#D!  
SSLCertificateFile cert/public.pem B P"PUl:  
# 证书私钥配置 /V~L:0%  
SSLCertificateKeyFile cert/214486743260863.key (y^oGY;  
# 证书链配置,如果该属性开头有 '#'字符,请删除掉 i2.y)K)  
SSLCertificateChainFile cert/chain.pem q?8MKf[N  
( 4 ) 重启 Apache。 l}335;(  
--------------------- @iUzRsl  
作者:my0592   V-A^9AAPm  
只看该作者 安逸沙发  发表于: 11-30
近来,有个项目跑在WAMP环境下,可是当多个人访问时候,总是容易卡死。 3pzOt&T|w  
0honHP  
查看apache的错误日志,几乎每一次卡死都是报同一个错:[mpm_winnt:warn] [pid 6508:tid 5008] (OS 64)指定的网络名不再可用。  : AH00341: winnt_accept: Asynchronous AcceptEx failed,网上大部分解决方法是,加Win32DisableAcceptEx,这个是问题所在,但是在apache2.4下面并不奏效,加上反而不能启动apache了。 5"]aZMua  
gB'`I(q5.  
亲测,apache2.4报这个错,可以直接找到httpd.conf,末尾加上: sV;qpDXX  
~MD><w>  
AcceptFilter http none ROcY'-  
AcceptFilter https none mRNHq3  
+ 4++Z  
重启apache,就可以了。希望能够帮更多人解决类似问题。该方法,有幸找到了http://www.oschina.net/question/998019_112854?fromerr=SANUgxwY,这里面的讨论,在此鸣谢。至于其原理,可以参考:http://httpd.apache.org/docs/2.4/mod/core.html#acceptfilter vHoT@E#}'  
C5d/)aC  
--------------------- 本文来自 captian36 的CSDN 博客 ,全文地址请点击:https://blog.csdn.net/u011220840/article/details/52291329?utm_source=copy LH1BZ(5g  
d;IJ0xB+by  
==== t4*aVHT  
4ZSfz#<[z  
  i] V F'tG  
dICnB:SSB  
<IfModule mpm_winnt_module> 9iiU,}M`j  
    ThreadsPerChild      500 B>c[Zg1  
    MaxRequestsPerChild    10000 }C9VTJs|  
  AcceptFilter http None 0f EZD$  
   AcceptFilter https None 8JFnB(3xU  
</IfModule> $,!dan<eA  
w`w ` q'  
  >:(6{}b  
_&6juBb  
================== S+4I[|T]Y  
>& 4I.nA  
1、打开httpd.conf  Y,p2eAss  
2、查找 W\ZV0T;<]  
  D"1vw<Ak  
uk>q\j  
<span style="color:#333333">#AcceptFilter http none 7l4InR]  
#AcceptFilter https none</span> A@fshWrl%  
3、修改为 Z)b)v  
  "oKj~:$  
I3F6-gH  
<span style="color:#333333">AcceptFilter http none Al;%u0]5  
AcceptFilter https none</span> o%9Ua9|RR  
upupw默认添加了这个配置只是注释掉了,我们去掉#号,开启配置。  3 tx0y  
此处可以解决某些浏览器导致apache慢或者假死不响应的情况,提高兼容性。  ` :B  
4、查找 DT1i2!  
复制代码 C_g"omw40  
uH~ TugQ~  
<span style="color:#333333"><IfModule mpm_winnt_module> A$$R_3ne  
    ThreadsPerChild          1920 3z{5c   
    MaxConnectionsPerChild   100000 e{#a{`?Uez  
</IfModule></span> 3HDnOl8t  
5、修改为 SFXfo1dqH  
  H8Z Z@@ qm  
e P,XH{s  
<span style="color:#333333"><IfModule mpm_winnt_module> wb}N-8x  
    ThreadsPerChild          500 5;i!PuL  
    MaxConnectionsPerChild   100000 `mHOgS>|  
</IfModule></span> &xMJ^Nv  
此处主要是为了解决开启了AcceptFilter参数后如果ThreadsPerChild的值大于512会频繁重启apache的问题,ThreadsPerChild是apache工作进程的线程数最大值到1920超出后会报错,MaxConnectionsPerChild是工作进程最大处理多少请求后载入新的进程。  S<bz7 k9  
--------------------- <^X'f  
作者:my0592  
快速回复

限100 字节
安逸网提示:批量上传需要先选择文件,再选择上传
 
认证码:
上一个 下一个