Apache 強(qiáng)制全站https請求(配置ssl證書)

FrancisSoung 發(fā)布于2019-07-24 10:40 / 1056人閱讀

摘要：環(huán)境最近做網(wǎng)站需要用到，像百度京東那樣，瀏覽器上有個(gè)綠色的小鎖頭，同時(shí)數(shù)據(jù)加密也是網(wǎng)站很大的保障。由于是臨時(shí)測試的，所以在阿里云上面買了個(gè)賽門鐵克的免費(fèi)型的證書。

環(huán)境：Apache2.2 + Centos 6.8
最近做網(wǎng)站需要用到https，像百度、京東那樣，瀏覽器上有個(gè)綠色的小鎖頭，同時(shí)數(shù)據(jù)加密也是網(wǎng)站很大的保障。由于是臨時(shí)測試的，所以在阿里云上面買了個(gè)賽門鐵克的免費(fèi)型的證書。（中間申請部分略過）證書最后頒發(fā)的時(shí)候，可以在列表頁操作下載，進(jìn)入下載頁，選擇Apache，然后可以按照上面的官方的文檔配置，但是不需要這么做，剛開始弄這個(gè)的人，估計(jì)度娘谷歌了很久還是懵逼，因?yàn)樽詈笤诘刂窓谳斎胗蛎⑿碌臅r(shí)候，卻不是自己想要的效果。要這么來，保準(zhǔn)你次次都行。
咋們先要這么想：比如我手上有個(gè)一個(gè)域名www.aaa.com，那既然是要全站強(qiáng)制跳轉(zhuǎn)https，那就要配兩個(gè)虛擬主機(jī)，一個(gè)是監(jiān)聽80端口的，這個(gè)虛擬機(jī)只做監(jiān)聽和轉(zhuǎn)發(fā)的工作，不用配置啥站點(diǎn)根目錄。還有一個(gè)是監(jiān)聽443端口的，這個(gè)做真正的訪問工作，除了需要配置原本沒有ssl之前80虛擬機(jī)需要做的工作外，還要開啟ssl引擎驗(yàn)證、指定證書位置、私鑰（私鑰都放自己的服務(wù)器上用來接收請求的時(shí)候解密數(shù)據(jù)用的；公鑰是訪問的時(shí)候，客戶端會下載），看懂了上面的話，下面的配置就不成問題了。

#記得監(jiān)聽這個(gè)端口
Listen 443

#load這個(gè)ssl模塊進(jìn)來
LoadModule ssl_module modules/mod_ssl.so


    ServerName www.aaa.com
    ServerAlias aaa.com 
    RewriteEngine on
    RewriteRule ^(.*)?$ https://www.aaa.com$1 [R=301,L]



    ServerAdmin aaa@163.com
    DocumentRoot "/home/aaa/webroot" 
    ServerName www.aaa.com
    
    #開啟ssl引擎
    SSLEngine on
    
    #寫你證書的路徑
    SSLCertificateFile /etc/httpd/cert/public.pem  
    
    #寫你私鑰的路徑
    SSLCertificateKeyFile /etc/httpd/cert/21427950260000000.key 
    
    #設(shè)置站點(diǎn)訪問規(guī)則
    
        Options FollowSymLinks
        AllowOverride None
        Order allow,deny
        Allow from all
   
    
    #指定錯(cuò)誤日志&訪問日志
    ErrorLog "logs/aaa.com-error_log"
    CustomLog "logs/aaa.com-access_log" common

其中要說明的是，在80虛擬機(jī)配置的最后一行，^(.*)? 和$1 這兩東西代表了比如你訪問了www.aaa.com/public/index/ ，那么這段url的/public/index/會被占位的$1變量都會照舊復(fù)制過來，[R=301,L]代表永久轉(zhuǎn)發(fā)。其實(shí)現(xiàn)在好多人都一窩蜂的都去用nginx了，抗高并發(fā)比apache牛，占用內(nèi)存也少，可以考慮從apache+tomcat轉(zhuǎn)向nginx+tomcat了，apache只是情懷