117笔记问答在CentOS上为Apache添加SSL支持,您需要遵循以下步骤:
-
安装EPEL和mod_ssl包: 首先,您需要安装EPEL(Extra Packages for Enterprise Linux)存储库和mod_ssl模块。运行以下命令来安装它们:
sudo yum install epel-release sudo yum install mod_ssl
-
生成SSL证书和私钥: 您需要一个SSL证书和私钥来启用HTTPS。您可以使用自签名证书进行测试,但在生产环境中,您应该使用由受信任的证书颁发机构(CA)签发的证书。要生成自签名证书,请运行以下命令:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/pki/tls/private/apache-selfsigned.key -out /etc/pki/tls/certs/apache-selfsigned.crt
按照提示输入您的信息。这将生成一个名为
apache-selfsigned.key的私钥文件和一个名为apache-selfsigned.crt的证书文件。 -
创建SSL配置文件: 在
/etc/httpd/conf.d目录下创建一个名为ssl.conf的新文件,并将以下内容粘贴到文件中:ServerName yourdomain.com DocumentRoot /var/www/html SSLEngine on SSLCertificateFile /etc/pki/tls/certs/apache-selfsigned.crt SSLCertificateKeyFile /etc/pki/tls/private/apache-selfsigned.key SSLCertificateChainFile /etc/pki/tls/certs/ca-bundle.crt Options Indexes FollowSymLinks AllowOverride All Require all granted 请将
yourdomain.com替换为您的域名,并将DocumentRoot指令设置为您的网站文档根目录。如果您使用的是自签名证书,您可能需要将SSLCertificateChainFile指令指向一个包含CA证书的ca-bundle.crt文件。您可以从证书颁发机构(CA)获取此文件,或者使用以下命令生成一个包含常见CA证书的ca-bundle.crt文件:sudo wget -O /etc/pki/tls/certs/ca-bundle.crt https://curl.se/ca/cacert.pem
-
创建HTTP重定向配置文件: 为了确保所有流量都通过HTTPS进行传输,您需要创建一个HTTP重定向配置文件。在
/etc/httpd/conf.d目录下创建一个名为http-to-https.conf的新文件,并将以下内容粘贴到文件中:ServerName yourdomain.com Redirect permanent / https://yourdomain.com/ 请将
yourdomain.com替换为您的域名。 -
启用SSL模块和配置文件: 要启用SSL模块并加载刚刚创建的配置文件,请在
/etc/httpd/conf/httpd.conf文件中添加以下行:LoadModule ssl_module modules/mod_ssl.so IncludeOptional conf.d/*.conf
-
重启Apache服务: 最后,重启Apache服务以应用更改:
sudo systemctl restart httpd
现在,您的CentOS上的Apache应该已经启用了SSL支持。请注意,由于我们使用的是自签名证书,浏览器可能会警告您证书不受信任。在测试环境中,您可以选择继续访问网站。但在生产环境中,请务必使用由受信任的CA签发的证书。