阿里云SSL证书Apche服务器配置

版权声明：转载请务必注明做者与原文连接

引言

在证书控制台下载Apache版本证书，下载到本地的是一个压缩文件，解压后里面包含_public.crt文件是证书文件，_chain.crt是证书链(中间证书)文件，.key文件是证书的私钥文件（申请证书时若是没有选择系统建立CSR，则没有该文件）。

.crt扩展名的证书文件采用Base64-encoded的PEM格式文本文件，可根据须要，修改为.pem等扩展名

以Apache标准配置为例，假如证书文件名是a_public.crt，证书链文件是a_chain.crt,私钥文件是a.key

操做步骤

1. 在Apache的安装目录下建立cert目录，而且将下载的所有文件拷贝到cert目录中。若是申请证书时是本身建立的CSR文件，请将对应的私钥文件放到cert目录下而且命名为a.key
2. 打开 apache 安装目录下 conf 目录中的 httpd.conf 文件，找到如下内容并去掉“#”
   • LoadModule ssl_module modules/mod_ssl.so (若是找不到请确认是否编译过 openssl 插件)
   • Include conf/extra/httpd-ssl.conf
3. 修改文件名分别为：a_public.crt，a.key，a_chain.crt
4. 打开 apache 安装目录下 conf/extra/httpd-ssl.conf 文件 (也多是conf.d/ssl.conf，与操做系统及安装方式有关)， 在配置文件中查找如下配置语句

# 添加 SSL 协议支持协议，去掉不安全的协议
SSLProtocol all -SSLv2 -SSLv3
# 修改加密套件以下
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLHonorCipherOrder on
# 证书公钥配置
SSLCertificateFile cert/a_public.crt
# 证书私钥配置
SSLCertificateKeyFile cert/a.key
# 证书链配置，若是该属性开头有 '#'字符，请删除掉
SSLCertificateChainFile cert/a_chain.crt
复制代码

5. 打开 apache 安装目录下 conf 目录中的 httpd.conf 文件，加入如下代码

<Directory />
    AllowOverride none
    Require all granted
</Directory>
复制代码

6. 打开 apache 安装目录下 conf/extra/httpd-ssl.conf 文件 (也多是conf.d/ssl.conf，与操做系统及安装方式有关)

<VirtualHost _default_:443>
SSLEngine on
</VirtualHost>
复制代码

阿里云自动配置

如今阿里云有自动配置功能，可是配置完成后须要作相应的修改。

打开 apache 安装目录下 conf/extra/httpd-ssl.conf 文件 (也多是conf.d/ssl.conf，与操做系统及安装方式有关)，文件最后添加如下代码。 这里假设你的域名为“yuming.cn”

<VirtualHost *:443>
SSLEngine On
SSLHonorCipherOrder on
DocumentRoot "/home/www/htdocs"
ServerName yuming.cn:443
ServerAdmin admin@yuming.cn
SSLCertificateFile conf/ssl.crt/yuming.cn/cert.pem
SSLCertificateKeyFile  conf/ssl.crt/yuming.cn/cert.key
#SSLCertificateChainFile conf/ssl.crt/yuming.cn/chain.pem
BrowserMatch "MSIE [2-5]" nokeepalive ssl-unclean-shutdown downgrade-1.0 force-response-1.0
</VirtualHost>
复制代码