欢迎各位兄弟 发布技术文章
这里的技术是共享的
以下教程为linux系统申请SSL证书,部署单/多站点https方法。如果对技术不熟悉,建议提交工单,由我司工程师帮您配置(会有费用产生)。
另需先申请下载SSL证书,如还没有,请点击申请
一、linux系统单/多站点https部署方法(安装我司默认wdcp环境,分v3.2和v2.5教程)
说明:nginx web引擎可部署一个或多个站点,并且支持apache+nginx混合模式,不影响之前apache引擎的任何设置(如伪静态、.htaccess规则等)。以下教程基于linux+apache+nginx 引擎。
1.wdcp v3.2(linux+apache+nginx)系统模板为:
目前wdcp v3.2默认为nginx+apache引擎,用户登录wdcp界面可自助,很简单的设置。
A、首先申请》下载》解压SSL证书到本地电脑。然后登陆wdcp控制面板,点网站管理》SSL证书管理》上传证书,证书名称与建立的站点名一致,如图:
以上三个证书我也不太懂
反正 是 西部数码的证书 是这样子的,
1) weixinxiao.shipingzhong.cn.cer文件名 改成 weixinxiao.shipingzhong.cn.crt
2) 把下面的三个文件(就是购买免费的 ssl 证书)都传上去
weixinxiao.shipingzhong.cn.crt 对应 crt 或 pem文件
weixinxiao.shipingzhong.cn.key 对应 key文件
weixinxiao.shipingzhong.cn_ca.crt 应该对应 bundle 文件 (也许可能不需要,我也不知道,要以后测试,才知道)
应该就可以了
B、点网站管理》站点列表编辑,直接启用即可。
可针对所有站点,重复以上两步部署即可。
2、wdcp v2.5(linux+apache+nginx)系统模板为:Linux 64/32位(CentOS6.2,预装wd控制面板)
( 好像现在 3.25版本的关于ssl的设置 ( nginx+apache ) 也与上面一样了 )
A、首先登录wdcp后台切换web引擎为nginx+apache混合模式,这样可部署多个站点的https,而且伪静态等不用做任何调整
B、开始部署:通过ftp方式将解压后证书文件到网站根目录
通过ssh方式登陆服务器后输入以下命令即可下载脚本并执行
wget http://downinfo.myhostadmin.net/vps/wdcp-ssl.sh
sh wdcp-ssl.sh
默认情况下 apache 关于 ssl 虚拟主机的配置是在 httpd-ssl.conf 文件中
默认情况下 nginx 关于 ssl 虚拟主机的配置是在 那个虚拟主机的80端口的虚拟主机的配置文件中(比如 /www/wdlinux/nginx-1.8.1/conf/vhost/wap.aaa.cn.conf 中)
二、非默认环境手工部署方法(仅为参考,因实际环境等不同,请根据实际情况调整)
1. Apache 部署SSL证书 (只能应用一个证书, 如果多个不同站点都需要安装不同的证书,请使用nginx)
a. 查看apache是否开启ssl (特别注意要在apache配置文件中添加Listen 443否则没有443端口监听)
打开 apache安装目录/conf/httpd.conf 文件,找到 里面两行
#LoadModule ssl_module modules/mod_ssl.so
将行首的#去掉,保存文件
执行命令: apache安装目录/bin/httpd -M | grep ssl_module , 出现图下结果说明apache已经支持ssl, 否则请先开启apache的ssl模块
b. 配置证书到对应的站点
编辑站点对应的站点配置文件,如:apache安装目录/conf/extra/httpd-ssl.conf, 修改内容如下
<VirtualHost www.domain.com:443>
DocumentRoot "/var/www/html"
ServerName www.domain.com
SSLEngine on
SSLCertificateFile 证书文件路径/_www.domain.com.cer
SSLCertificateKeyFile 证书文件路径/_www.domain.com.key
SSLCertificateChainFile 证书文件路径/_www.domain.com_ca.crt
</VirtualHost>
c. 重启apache生效
2. Nginx 部署SSL证书 (特别注意下面加红内容,需要先合并.crt、.cer文件)
a. 查看nginx是否开启ssl
执行命令: nginx安装目录/sbin/nginx -V, 查看命令结果中是否包含"--with-http_ssl_module",否则请先安装ssl模块
b. 配置证书到对应的站点
编辑站点对应的站点配置文件,新增或修改如下内容
server {
listen 443 ssl; #将原来的80 修改为443
...
root /www/web/xxxx/public_html;
ssl_certificate 证书文件路径/_www.domain.com.crt; #需将_www.domain.com.cer 中的内容复制到这个文件头部,中间不要有空行
ssl_certificate_key 证书文件路径/_www.domain.com.key; #证书密钥文件
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL;
...
}
自己亲自做的 nginx 证书自动产生的在nginx的配置文件的相关代码
ssl_certificate cert/gng.sto.com.pem;
ssl_certificate_key cert/gng.sto.com.key;
ssl_prefer_server_ciphers on;
ssl_session_timeout 10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
三、Tomcat 证书部署
a. 配置SSL连接器
将www.domain.com.jks文件存放到conf目录下,然后配置同目录下的server.xml文件, 新增如下内容
<Connector
port="443"
protocol="HTTP/1.1"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
keystoreFile="conf\www.domain.com.jks"
keystorePass="changeit"
clientAuth="false" sslProtocol="TLS"
/>
说明
clientAuth如果设为true,表示Tomcat要求所有的SSL客户出示安全证书,对SSL客户进行身份验证
keystoreFile指定keystore文件的存放位置,可以指定绝对路径,也可以指定相对于 (Tomcat安装目录)环境变量的相对路径。如果此项没有设定,默认情况下,Tomcat将从当前操作系统用户的用户目录下读取名为 “.keystore”的文件。
keystorePass密钥库密码,指定keystore的密码。(如果申请证书时有填写私钥密码,密钥库密码即私钥密码)
sslProtocol指定套接字(Socket)使用的加密/解密协议,默认值为TLS
b. http自动跳转https的安全配置
到conf目录下的web.xml。在</welcome-file-list>后面,</web-app>,也就是倒数第二段里,加上这样一段
<web-resource-collection > <web-resource-name >SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint>
这步目的是让非ssl的connector跳转到ssl的connector去。所以还需要前往server.xml进行配置:
<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" />
redirectPort改成ssl的connector的端口443,重启后便会生效。
请根据操作系统、站点部署数量选择以下相应参考文档,文档仅供参考,如果对技术不熟悉,建议提交工单,由我司工程师帮您配置(会有费用产生)。
A、windows2008+iis7环境SSL部署https单/多站点
部署https(ssl)后设置301跳转将http跳转到https
以上内容来源于网络,仅供参考。
来自 https://www.west.cn/faq/list.asp?unid=1439