从零开始：在Apache上搭建HTTPS安全通信

从零开始：在Apache上搭建HTTPS安全通信

一、引言

随着网络安全越来越受到重视，HTTPS作为一种加密的安全通信协议，逐渐成为网站和应用的标配。

Apache作为一款开源的Web服务器软件，支持HTTPS协议的搭建与配置。

本文将详细介绍如何在Apache服务器上从零开始搭建HTTPS安全通信。

二、准备工作

在开始之前，请确保你已经具备以下条件：

1. 已经安装Apache服务器；

2. 已经获取SSL证书。你可以通过向权威的证书颁发机构（CA）申请免费或商业版SSL证书。常见的CA有Lets Encrypt、Digicert等。本文假设你已从Lets Encrypt获取了SSL证书。

三、安装与配置SSL证书

1. 将获得的SSL证书文件（如example.crt）和私钥文件（如private.key）上传到服务器。通常，这些文件会被存放在Apache的配置目录下，如/etc/apache2/ssl。

2. 打开Apache的配置文件。在Linux系统中，通常位于/etc/apache2/ports.conf或/etc/httpd/conf。

3. 配置SSL模块。找到或添加以下配置段落：

“`lua

LoadModule ssl_module modules/mod_ssl.so

Listen 443

“`

这将加载SSL模块并监听443端口，这是HTTPS的默认端口。

4. 配置SSL证书和私钥。添加或编辑一个Server配置段落，类似以下配置：

“`css



ServerName yourdomain.com

DocumentRoot /var/www/html

SSLCertificateFile /etc/apache2/ssl/example.crt

SSLCertificateKeyFile /etc/apache2/ssl/private.key

…（其他配置）



“`

确保将`yourdomain.com`替换为你的域名，并根据实际情况调整其他配置参数。

5. 重启Apache服务器以使配置生效。在Linux系统中，可以使用以下命令重启Apache：

“`shell

sudo service apache2restart 对于使用Apache2的系统

或

sudo systemctl restart httpd 对于使用systemd的系统

“`

四、测试HTTPS连接

完成上述步骤后，你可以通过访问来测试HTTPS连接是否成功。

如果你的服务器配置了域名，并且在浏览器中输入正确的域名和端口号（通常为 https:// ），应该能够看到一个锁形图标表示安全连接已建立。

如果出现“连接不安全”的警告，请检查SSL证书和配置是否正确。

五、常见问题与解决方案

1. 证书过期或无效：请检查你的SSL证书是否过期或是否由受信任的CA签发。如果是自签名证书，浏览器可能会显示警告。在这种情况下，你需要从受信任的CA获取证书。

2. 配置错误：检查你的Apache配置文件是否正确无误，特别是SSL证书文件和私钥文件的路径。确保文件路径正确并且具有适当的权限。

3. 端口问题：如果你的服务器未监听443端口或者防火墙阻止了此端口的访问，请检查并调整相关设置。确保Apache服务器已正确监听HTTPS的默认端口，并且防火墙允许通过此端口进行通信。

4. 证书链不完整：某些SSL证书需要额外的中间证书文件来形成完整的证书链。如果你的证书包含中间证书，请确保将它们一并配置到Apache中。通常，这些中间证书文件会随SSL证书一起提供。

六、总结

在Apache服务器上搭建HTTPS安全通信需要适当的准备和配置。

本文介绍了从获取SSL证书到配置Apache服务器的基本步骤。

完成这些步骤后，你应该能够通过HTTPS安全地访问你的网站或应用。

如果在配置过程中遇到任何问题，请参考本文的常见问题与解决方案部分进行排查。

---

如何向已经安装好的apache安装ssl

1、首先请确认您的Apache服务器已经安装有加密模块，可以是OpenSSL，或是OpenSSL+ModSSL。

如果您的Apache web服务器安装在Unix或linux平台上，您可以通过以下网址获得OpenSSL：如果您的Apache web服务器运行在Windows平台上，您可以通过以下网址获得OpenSSL + ModSSL：、通过OpenSSL给Apache服务器产生一个密钥对（key pair）# openssl req -new -nodes -keyout -out 在这里，您需要根据您Apache服务器的实际信息回答一些问题，主要有：国家名（Country Name）、省或洲际名（State or Province Name）、地方名（Locality Name）、组织名（Organization Name）、组织单位名（Organization Unit Name）、通用名（Common Name）、email地址（Email Name）、私钥保护密码（a challenge password）、可选公司名（An opentional company name）。

这里有必要注意的是，国家名一定要是标准的缩写，中国是CN；通用名一定是FQDN。

3、然后，在您的当前目录下会产生两个文件和。

是您的私钥，是证书请求文件。

4、访问，申请免费的WEB站点证书，免费的只有15天的使用期限哟。

把刚才的请求文件内容贴进申请页面，完成证书的申请工作。

5、申请完证书之后，将证书文件复制到您刚才保存私钥和请求文件的目录下。

6、现在配置您的Apache服务器的文件，打开https服务。

请用编辑器（unix或linux可以用vi，windows用notpad。

请不要用word之类的字处理软件，因为它会包括一些不可见控制符）增加如下内容：SSLCertificateFile /etc/ssl/crt/ /etc/ssl/crt/请根据您的证书和私钥的实际地址，修改上述内容。

7、重新启动您的Apache 服务器。

您可以通过启动脚本来实现。

# apachectl stop# apachectl startssl这样，您Apache 服务器的80和443端口同时提供服务了。

如何在CentOS配置Apache的HTTPS服务

在CentOS配置Apache的HTTPS服务的方法（1）先按装mod_sslyum install mod_ssl完毕后在/etc/httpd/conf.d/下会有一个的文件,打开主要是看下证书及密钥的位置SSLCertificateFile /etc/pki/tls/certs/ /etc/pki/tls/private/（2）生成密钥,进入/etc/pki/tls/private，删除原来的 -f 生成新的:openssl genrsa 1024 > 返回到certs目录cd ../certs删除原来的证书rm -rf 生成新的openssl req -new -x509 -days 365 -key ../private/ 填写需要填写的信息，证书就生成了这里为什么要用这样的名子，是因为在就是这样子指定的，这两个地方要一样。重启apache，配置结束现在就可以通过https访问网站可能需要开发端口443号：iptables -I INPUT -p TCP –dport 443 -j ACCEPT

如何在linux中搭建一个https的网站

第一步：下载所需的软件并解开到 /usr/local/src 目录OS：linux As4Apache 1.3.33Mod_ssl 2.8.24-1.3.33Openssl-0.9.8a每个 mod_ssl 的版本和特定的 Apache 版本有关，因此要下载相对应的 mod_ssl 版本。

第二步：编译和安装安装 OpenSSL 到 /usr/local/ssl：# pwd/usr/local/src/openssl-0.9.8a# ./config# make# make test# make install安装 mod_ssl，编译进 Apache 的源码树：# pwd/usr/local/src/mod_ssl-2.8.24-1.3.33# ./configure –with-apache=/usr/local/src/apache_1.3.33 \–with-ssl=/usr/local/ssl以 DSO 方式编译 Apache：# pwd/usr/local/src/apache_1.3.33# ./configure –prefix=/usr/local/apache –enable-rule=SHARED_CORE \–enable-module=ssl –enable-shared=ssl# make创建 SSL 证书在生产环境中，证书需要从商业的认证权威机构或者从内部的 CA 得到。

执行下面的步骤生成假证书：# pwd/usr/local/src/apache_1.3.33# make certificate TYPE=custom生成证书时会提示两遍下面的信息：<> 内为示范数据。

第一遍：Country Name (2-letters)State or Province NameLocality NameOrganization NameOrganizational Unit NameCommon NameEmail AddressCertificate Validity <365>第一遍会产生一个假的，用于测试的 CA。

Common Name 可以为任意文本。

第二遍：Country Name (2-letters)State or Province NameLocality NameOrganization NameOrganizational Unit NameCommon NameEmail AddressCertificate Validity <365>第二遍产生的是实际可用的证书，能被商业机构或者内部 CA 认证， Common Name 为 Web 服务器的主机名。

安装并运行 Apache# pwd/usr/local/src/apache_1.3.33# make install启动 Apache ，并测试# pwd/usr/local/apache/bin# ./apachectl stop# ./apachectl startssl# netstat -an|grep :443 查看443端口是否启用