申请泛域名ssl证书并在apache上开启https访问
为了安全考虑,我们的站点有时候还是需要https加密的,而一般个人用的话,使用自我签发的自签名证书就足够了,但是用户访问的时候会提示”此网站的安全证书有问题”(就像12306一样_(:з」∠)__),体验极差.所以这篇文章主要介绍了本人申请泛域名ssl证书并把它用到自己的站点上,实现https访问的全过程.
在SSLCertificate购买SSL证书
先访问https://www.sslcertificate.cn/new/按照说明进行操作:
1,购买code和输入需要的泛域名(以*.开头),这个不作赘述.
2,这里详细说明下生成csr的全过程:1
2
3
4mkdir /tmp/ssl/ #在tmp目录下新建个ssl文件夹
cd /tmp/ssl/ #进入该文件夹
openssl genrsa -out xxoo.pem 2048 #生成私钥
openssl req -new -key xxoo.pem -out xxoo.csr #用私钥生成csr文件
执行上面的第二条指令后,会几行有需要填写的信息:1
2
3
4Country Name (2 letter code) [AU]:CN #CN表示中国
...
Common Name:*.yourdomain.com #这里输入之前提交的需要的泛域名(以*.开头)
...
其余信息随意.然后打开刚才生成好的csr文件:1
cat xxoo.csr
复制到网页上,等待Loading验证完成.xxoo.pem私钥文件留作后面备用.
3,通过验证后根据提供的信息,在DNS解析商(如DNSPOD)添加一条TXT解析记录,然后返回继续验证,成功后就等待证书颁发成功了.然后进邮箱,把证书和链证书的文本(从BEGIN CERTIFICATE到END CERTIFICATE)分别复制并存为两个不同的文件.把颁发*.泛域名的证书保存为services.crt,把链证书保存为chaincer.crt :1
2
3
4vim /tmp/ssl/services.crt
#粘帖证书内容,保存后退出
vim /tmp/ssl/chaincer.crt
#粘帖链证书内容,保存后退出
为Apache安装SSL
由于本人使用的是CentOS,所以安装软件使用yum指令,其他系统可参考其他安装指令(如Ubuntu使用apt-get).
1,如果没有安装apache需要先安装apache:1
yum install httpd
具体可以参考博主的另两篇文章在Azure上安装CentOS及LAMP和博客迁移全攻略中的apache安装和配置部分.
2,如果apache已经正常运行,则需要安装SSL模块:1
2yum install mod_ssl #安装SSL模块
/etc/init.d/httpd restart #重启apache服务
3,安装了SSL模块后,如果没有创建一个默认的SSL证书,apache重启可能会失败,本人就提示了证书不存在.
这时就需要导入证书文件了.
配置泛域名SSL证书
1,我们先在ssl的目录中新建一个文件夹,方便放几个证书文件:1
2cd /etc/pki/tls/ #安装完SSL模块后进入该文件夹
mkdir mycert #创建个好记的证书存放文件夹的名称
2,拷贝所需文件:1
2
3cp /tmp/ssl/xxoo.pem /etc/pki/tls/mycert/privatekey.key #拷贝私钥文件,存为后缀名为.key的文件
cp /tmp/ssl/services.crt /etc/pki/tls/mycert/services.crt #拷贝证书文件
cp /tmp/ssl/chaincer.crt /etc/pki/tls/mycert/chaincer.crt #拷贝链证书文件
3,进入apache配置文件并修改ssl配置文件:1
vim /etc/httpd/conf.d/ssl.conf
找到以下类似段落,并修改为如下的路径:1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22# Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate. If
# the certificate is encrypted, then you will be prompted for a
# pass phrase. Note that a kill -HUP will prompt again. A new
# certificate can be generated using the genkey(1) command.
SSLCertificateFile /etc/pki/tls/mycert/server.crt
# Server Private Key:
# If the key is not combined with the certificate, use this
# directive to point at the key file. Keep in mind that if
# you’ve both a RSA and a DSA private key you can configure
# both in parallel (to also allow the use of DSA ciphers, etc.)
SSLCertificateKeyFile /etc/pki/tls/mycert/privatekey.key
# Server Certificate Chain:
# Point SSLCertificateChainFile at a file containing the
# concatenation of PEM encoded CA certificates which form the
# certificate chain for the server certificate. Alternatively
# the referenced file can be the same as SSLCertificateFile
# when the CA certificates are directly appended to the server
# certificate for convinience.
SSLCertificateChainFile /etc/pki/tls/mycert/chaincer.crt
其实总结起来也就是修改以下三行:1
2
3SSLCertificateFile /etc/pki/tls/mycert/server.crt #泛证书存放路径
SSLCertificateKeyFile /etc/pki/tls/mycert/privatekey.key #私钥存放路径
SSLCertificateChainFile /etc/pki/tls/mycert/chaincer.crt #链证书存放路径
然后,重启apache服务:
1 | service httpd restart |
然后在浏览器中访问https://你的网站链接,就可以看到,泛域名SSL证书正常工作了~ ~ !
PS:
SSL安全检查: https://sslcheck.globalsign.com/cn 这个是SSLCertificate官网自带的检测,功能十分强大.根据检测结果进行安全配置吧~
SSL心脏出血漏洞(beast漏洞)修复:
CentOS直接更新openssl即可:1
yum update openssl
更新完重启相关服务.检测是否修复成功:1
rpm -q --changelog openssl-1.0.1e | grep CVE-2014-0160
如果出现”- fix CVE-2014-0160 - information disclosure in TLS”表示漏洞已经修复.
其他系统参照这里:CentOS 64位修复openssl漏洞办法 - 漩涡 - PHP,Wordpress优化
SSL状态检查:访问这里测试(如果之前没有使用链证书的话,中级根证书将处于为安装状态.虽然这样https也能工作,但进行SSL状态检查就会发现颁发机构不可信)
参考链接:
Apache SSL安装与配置