linux系統(tǒng)SSL證書部署https單/多站點

以下教程為linux系統(tǒng)申請SSL證書，部署單/多站點https方法。如果對技術(shù)不熟悉，建議提交工單，由我司工程師幫您配置（會有費用產(chǎn)生）。

第一步：申請證書。申請地址。證書申請流程.

第二步：申請成功以后下載解壓證書

點擊“詳情” 將證書下載到本地解壓，證書下載的時候選擇nginx,slb版本。

第三步：部署

寶塔面板：

寶塔面板上編輯站點，點擊SSL，用記事本打開下載后的證書，復(fù)制對應(yīng)內(nèi)容，保存然后重啟web服務(wù)。

wdcp面板：

一、安裝我司默認(rèn)wdcp環(huán)境，分v3.2和v2.5教程

說明：nginx web引擎可部署一個或多個站點，并且支持apache+nginx混合模式，不影響之前apache引擎的任何設(shè)置（如偽靜態(tài)、.htaccess規(guī)則等）。以下教程基于linux+apache+nginx 引擎。

1.wdcp v3.2（linux+apache+nginx）系統(tǒng)模板為：

目前wdcp v3.2默認(rèn)為nginx+apache引擎，用戶登錄wdcp界面可自助，很簡單的設(shè)置。

A、首先申請》下載》解壓SSL證書到本地電腦。然后登陸wdcp控制面板，點網(wǎng)站管理》SSL證書管理》上傳證書crt和key，證書名稱與建立的站點名一致，如圖：

注意：

1、證書文件名必須和站點域名相同才能成功部署https（參考如附圖）

B、點網(wǎng)站管理》站點列表編輯，直接啟用即可。

可針對所有站點，重復(fù)以上兩步部署即可。

二、非默認(rèn)環(huán)境手工部署方法（僅為參考，因?qū)嶋H環(huán)境等不同，請根據(jù)實際情況調(diào)整）

1. Apache 部署SSL證書

a. 查看apache是否開啟ssl （特別注意要在apache配置文件中添加Listen 443否則沒有443端口監(jiān)聽）

打開 apache安裝目錄/conf/httpd.conf 文件,找到里面兩行

#LoadModule ssl_module modules/mod_ssl.so

將行首的#去掉,保存文件

執(zhí)行命令: apache安裝目錄/bin/httpd -M | grep ssl_module , 出現(xiàn)圖下結(jié)果說明apache已經(jīng)支持ssl, 否則請先開啟apache的ssl模塊

b. 配置證書到對應(yīng)的站點

編輯站點對應(yīng)的站點配置文件(例如：/conf/vhosts.conf)，修改內(nèi)容如下

DocumentRoot "/var/www/html"

ServerName www.domain.com

SSLEngine on

SSLCertificateFile 證書文件路徑/_www.domain.com.cer

SSLCertificateKeyFile 證書文件路徑/_www.domain.com.key

SSLCertificateChainFile 證書文件路徑/_www.domain.com_ca.crt # 對應(yīng)wdcp中apache的bundle文件

</VirtualHost>

c. 重啟apache生效

2. Nginx 部署SSL證書（特別注意下面加紅內(nèi)容，如果證書文件中有.crt和.cer文件的，需要先合并.crt、.cer文件。如果只有.crt文件則不用）

a. 查看nginx是否開啟ssl

執(zhí)行命令: nginx安裝目錄/sbin/nginx -V, 查看命令結(jié)果中是否包含"--with-http_ssl_module",否則請先安裝ssl模塊

b. 配置證書到對應(yīng)的站點

編輯站點對應(yīng)的站點配置文件,新增或修改如下內(nèi)容

server {

listen 443 ssl; #將原來的80 修改為443

...

root /www/web/xxxx/public_html;

ssl_certificate 證書文件路徑/_www.domain.com.crt; #需將_www.domain.com.cer 中的內(nèi)容復(fù)制到這個文件頭部，中間不要有空行

ssl_certificate_key 證書文件路徑/_www.domain.com.key; #證書密鑰文件

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL;

...

}

三、Tomcat 證書部署

a. 證書轉(zhuǎn)換:java安裝目錄bin下執(zhí)行:

keytool -importkeystore -v -srckeystore 原jks路徑 -srcstoretype pkcs12 -srcstorepass 證書密碼 -destkeystore 生成新證書路徑 -deststoretype jks -deststorepass 新證書密碼

生成的jks文件放conf目錄下.

配置SSL連接器

將www.domain.com.jks文件存放到conf目錄下，然后配置同目錄下的server.xml文件, 新增如下內(nèi)容

<Connector

port="443"

protocol="HTTP/1.1"

tomcat8 需要使用"protocol="org.apache.coyote.http11.Http11Protocol"

SSLEnabled="true"

maxThreads="150"

scheme="https"

secure="true"

keystoreFile="conf\www.domain.com.jks"

keystorePass="changeit"

clientAuth="false" sslProtocol="TLS"

/>

說明

clientAuth如果設(shè)為true，表示Tomcat要求所有的SSL客戶出示安全證書，對SSL客戶進行身份驗證

keystoreFile指定keystore文件的存放位置，可以指定絕對路徑，也可以指定相對于（Tomcat安裝目錄）環(huán)境變量的相對路徑。如果此項沒有設(shè)定，默認(rèn)情況下，Tomcat將從當(dāng)前操作系統(tǒng)用戶的用戶目錄下讀取名為 “.keystore”的文件。

keystorePass密鑰庫密碼，指定keystore的密碼。（如果申請證書時有填寫私鑰密碼，密鑰庫密碼即私鑰密碼）

sslProtocol指定套接字（Socket）使用的加密/解密協(xié)議，默認(rèn)值為TLS

b. 多個域名證書配置

<Certificate certificateKeystoreFile="conf/SHA256withRSA_www.aaa.com.jks" certificateKeyAlias="www.aaa.com"

certificateKeystorePassword="tyson1314"

type="RSA" />

</SSLHostConfig>

<Certificate certificateKeystoreFile="conf/SHA256withRSA_www.bbb.com.jks" certificateKeyAlias="www.bbb.com"

certificateKeystorePassword="dIVVMxg"

type="RSA" />

</SSLHostConfig>

</Connector>

c. http自動跳轉(zhuǎn)https的安全配置

到conf目錄下的web.xml。在</welcome-file-list>后面，</web-app>，也就是倒數(shù)第二段里，加上這樣一段

<web-resource-collection > <web-resource-name >SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint>

這步目的是讓非ssl的connector跳轉(zhuǎn)到ssl的connector去。所以還需要前往server.xml進行配置：

redirectPort改成ssl的connector的端口443，重啟后便會生效。

以上內(nèi)容來源于網(wǎng)絡(luò)，僅供參考。如果對技術(shù)不熟悉，建議提交工單，由我司工程師幫您配置（會有費用產(chǎn)生）。

B、windows2003系統(tǒng)SSL單站點部署https

C、win2012+iis8 部署https證書（支持多站點）

D、寶塔面板部署https證書

部署https(ssl)后設(shè)置301跳轉(zhuǎn)將http跳轉(zhuǎn)到https

亞數(shù)機房香港IP部署請點擊參考此教程