linux系统SSL证书部署https单/多站点

以下教程为linux系统申请SSL证书,部署单/多站点https方法。如果对技术不熟悉,建议提交工单,由我司工程师帮您配置(会有费用产生)。


第一步:申请证书。 申请地址 。 证书申请流程.

第二步:申请成功以后下载解压证书

image.png

image.png

点击“详情” 将证书下载到本地解压,证书下载的时候选择nginx,slb版本。


第三步:部署


宝塔面板: 


image.png

宝塔面板上编辑站点,点击SSL,用记事本打开下载后的证书,复制对应内容,保存然后重启web服务。




wdcp面板:

一、安装我司默认wdcp环境,分v3.2和v2.5教程

说明:nginx web引擎可部署一个或多个站点,并且支持apache+nginx混合模式,不影响之前apache引擎的任何设置(如伪静态、.htaccess规则等)。以下教程基于linux+apache+nginx 引擎。

1.wdcp v3.2(linux+apache+nginx)系统模板为:4.png

目前wdcp v3.2默认为nginx+apache引擎,用户登录wdcp界面可自助,很简单的设置。

A、首先申请》下载》解压SSL证书到本地电脑。然后登陆wdcp控制面板,点网站管理》SSL证书管理》上传证书crt和key,证书名称与建立的站点名一致,如图:


注意:

1、证书文件名必须和站点域名相同才能成功部署https(参考如附图)

image.png

image.png

B、点网站管理》站点列表编辑,直接启用即可。

可针对所有站点,重复以上两步部署即可。



二、非默认环境手工部署方法(仅为参考,因实际环境等不同,请根据实际情况调整)

1.    Apache 部署SSL证书 

    a.  查看apache是否开启ssl (特别注意要在apache配置文件中添加Listen  443否则没有443端口监听

        打开 apache安装目录/conf/httpd.conf 文件,找到 里面两行      

        #LoadModule ssl_module modules/mod_ssl.so

        将行首的#去掉,保存文件

        执行命令: apache安装目录/bin/httpd -M | grep ssl_module  , 出现图下结果说明apache已经支持ssl, 否则请先开启apache的ssl模块

         blob.png

    b.  配置证书到对应的站点

         编辑站点对应的站点配置文件(例如:/conf/vhosts.conf), 修改内容如下

        <VirtualHost www.domain.com:443>    

            DocumentRoot "/var/www/html"    

            ServerName www.domain.com    

            SSLEngine on    

            SSLCertificateFile          证书文件路径/_www.domain.com.cer  

            SSLCertificateKeyFile    证书文件路径/_www.domain.com.key    

            SSLCertificateChainFile 证书文件路径/_www.domain.com_ca.crt    # 对应wdcp中apache的bundle文件

        </VirtualHost>

    c.    重启apache生效

2.    Nginx 部署SSL证书 (特别注意下面加红内容,如果证书文件中有.crt和.cer文件的,需要先合并.crt、.cer文件。如果只有.crt文件则不用

        a.  查看nginx是否开启ssl

        执行命令: nginx安装目录/sbin/nginx -V, 查看命令结果中是否包含"--with-http_ssl_module",否则请先安装ssl模块

        b.  配置证书到对应的站点

        编辑站点对应的站点配置文件,新增或修改如下内容

        server {

            listen          443 ssl;                                             #将原来的80 修改为443

            ...

            root /www/web/xxxx/public_html;

            ssl_certificate        证书文件路径/_www.domain.com.crt;          #需将_www.domain.com.cer  中的内容复制到这个文件头部,中间不要有空行

            ssl_certificate_key 证书文件路径/_www.domain.com.key;         #证书密钥文件

            ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

            ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL;

            ...

        }

三、Tomcat 证书部署

    a.    证书转换:java安装目录bin下执行:

keytool -importkeystore -v  -srckeystore  原jks路径  -srcstoretype pkcs12 -srcstorepass 证书密码 -destkeystore 生成新证书路径 -deststoretype jks -deststorepass 新证书密码


生成的jks文件放conf目录下.

配置SSL连接器

            将www.domain.com.jks文件存放到conf目录下,然后配置同目录下的server.xml文件, 新增如下内容

            <Connector 

                port="443" 

                protocol="HTTP/1.1" 

               tomcat8 需要使用"protocol="org.apache.coyote.http11.Http11Protocol

              

                SSLEnabled="true"    

                maxThreads="150" 

                scheme="https" 

                secure="true"    

                keystoreFile="conf\www.domain.com.jks"    

                keystorePass="changeit"    

                clientAuth="false" sslProtocol="TLS" 

            />

            说明

            clientAuth如果设为true,表示Tomcat要求所有的SSL客户出示安全证书,对SSL客户进行身份验证

            keystoreFile指定keystore文件的存放位置,可以指定绝对路径,也可以指定相对于 (Tomcat安装目录)环境变量的相对路径。如果此项没有设定,默认情况下,Tomcat将从当前操作系统用户的用户目录下读取名为 “.keystore”的文件。

            keystorePass密钥库密码,指定keystore的密码。(如果申请证书时有填写私钥密码,密钥库密码即私钥密码)

            sslProtocol指定套接字(Socket)使用的加密/解密协议,默认值为TLS

    b. 多个域名证书配置

            

             <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" defaultSSLHostConfigName="www.aaa.com"  maxThreads="150" SSLEnabled="true">

                    

            <SSLHostConfig hostName="www.aaa.com">

                        <Certificate certificateKeystoreFile="conf/SHA256withRSA_www.aaa.com.jks" certificateKeyAlias="www.aaa.com"

                            certificateKeystorePassword="tyson1314"

                                     type="RSA" />

            </SSLHostConfig>

                    

            <SSLHostConfig hostName="www.bbb.com">

                        <Certificate certificateKeystoreFile="conf/SHA256withRSA_www.bbb.com.jks" certificateKeyAlias="www.bbb.com"

                            certificateKeystorePassword="dIVVMxg"

                                     type="RSA" />

                    </SSLHostConfig>

            

             </Connector>

        

    c.    http自动跳转https的安全配置

            到conf目录下的web.xml。在</welcome-file-list>后面,</web-app>,也就是倒数第二段里,加上这样一段

            <web-resource-collection >    <web-resource-name >SSL</web-resource-name>    <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint>    <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint>

            这步目的是让非ssl的connector跳转到ssl的connector去。所以还需要前往server.xml进行配置:

            <Connector port="8080" protocol="HTTP/1.1"    connectionTimeout="20000"    redirectPort="443" />

            redirectPort改成ssl的connector的端口443,重启后便会生效。




以上内容来源于网络,仅供参考。如果对技术不熟悉,建议提交工单,由我司工程师帮您配置(会有费用产生)。



相关链接:


A、windows2008+iis7环境SSL部署https单/多站点

Bwindows2003系统SSL单站点部署https

Cwin2012+iis8 部署https证书(支持多站点)

D、宝塔面板部署https证书

部署https(ssl)后设置301跳转将http跳转到https

亚数机房香港IP部署请点击参考此教程





编辑:西部数码
日期:2017-03-20

收藏 】 【 打印 】   
您可对文档进行评分哟~

勾选遇到的问题提交给我们,收到反馈后保证及时修正更新!

提交反馈需要先登陆会员帐号

上一篇:组合变双拼!Boss直聘低调启用域名zhipin.com!
下一篇:南充市商业银行更名四川天府银行!新官网域名tf.cn绝了!
若文档内容对您没有帮助,不能解决问题? 您还可以 咨询在线客服提交工单搜索常见问题 ,我们将竭诚为您服务。
  >> 相关文章
 
分享至:
Top

24小时客服热线

400-028-5800

028-62778877

您好,非正常上班时间若有紧急技术问题,请拨总机后按7号键, 其他问题请提交工单或在上班时间联系,谢谢支持!