摘要:原文阅读部署数字证书及安全性设置作为最常见的一种服务器,其普及度易用性及稳定性都非常高,也可以部署基于的安全服务器,本文介绍如何在上部署签发的数字证书。将提交给申请证书,将私钥自行妥善保管。
原文阅读:Apache 部署SSL数字证书及安全性设置
Apache作为最常见的一种Web服务器,其普及度、易用性及稳定性都非常高,Apache也可以部署基于HTTPS的安全Web服务器,本文介绍如何在Apache上部署签发的SSL数字证书。
一、准备材料 1. CSR证书请求文件和私钥文件私钥通常是在准备CSR证书请求文件时生成,使用openSSL生成存在CSR文件的同级目录中 - 生成CSR证书请求文件 ,使用在线工具会将随机生成的私钥+CSR发送到邮箱中,使用IIS生成CSR要求在完成证书请求后提取私钥 - SSL/TLS多种证书类型的转换。将CSR提交给infiniSign申请证书,将私钥自行妥善保管。
2. 签发证书签发证书也就是经过CA验证过域名或者企业信息后所签发的域名证书,例如Web服务器会使用 www.yourdomain.com 作为主要网站,那么该证书验证的域名就是 www.yourdomain.com ,通过CA签发的证书需要购买数字证书,最低¥39/年的Comodo PositiveSSL就是一款的入门级SSL数字证书,立即前往购买
3. 证书链一个完整的证书链应该由证书 + 中级证书A + 中级证书B + ... +根证书构成,所以通常,由CA签发的证书压缩包中会有1个或者多个中级证书,另外多家CA的中级证书在官网上有下载,关于合并中级证书请参考:SSL证书链不完整导致浏览器不受信任
二、安装部署 1. 单主机将第一部的私钥 server.key、证书 server.crt、证书链 server-chain.crt 三个文件放入服务器中任意目录,编辑/etc/httpd/conf.d/ssl.conf文件,配置以下代码(自行修改路径)
# 签发证书 SSLCertificateFile /etc/pki/tls/certs/server.crt # 私钥 SSLCertificateKeyFile /etc/pki/tls/private/server.key # 合并后的证书链 SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt
保存后重启httpd服务,使SSL配置生效
2. 多个虚拟主机和Apache的80端口的Web虚拟主机配置类似,将三个文件放入指定目录后,编辑/etc/httpd/conf.d/ssl.conf文件,配置以下代码(自行修改路径)
3. 安全性配置 关闭SSLv2和SSLv3的安全漏洞SSLEngine on SSLCertificateFile /etc/pki/tls/certs/server.crt SSLCertificateKeyFile /etc/pki/tls/private/server.key SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt AllowOverride All ServerAdmin [email@example.com](mailto:email@example.com) DocumentRoot /var/www/html/subhost ServerName www.yourdomain.com
目前已知的SSLv2和SSLv3安全漏洞需要关闭,可使用在线工具检查服务器部署中的SSLv2和SSLv3是否关闭,关闭方法如下:
Apache 2.2.22以前版本:SSLProtocol TLSv1
Apache 2.2.23及以后版本:SSLProtocol ALL -SSLv2 -SSLv3
Apache + mod_nss:NSSProtocol TLSv1.0,TLSv1.1
推荐的简单配置(满足苹果ATS对SSL/TLS的安全检测要求)
SSLCipherSuite ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;
兼容性配置
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA SSLHonorCipherOrder on4. 注意事项
XP不支持SNI单服务器多虚拟主机下证书部署
中级证书通常会在签发证书的邮件中提供
以上配置/etc/httpd/conf.d/ssl.conf中可以配置为全局,也可以在虚拟主机中配置
参考文章:
https://blog.longwin.com.tw/2014/11/apache2-nginx-disabled-sslv2-sslv3-2014/
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/35926.html
摘要:证书怎么部署安装证书是数字安全证书一种,网站部署了证书后,可以实现加密访问,保障用户隐私信息安全。证书怎么部署安装第一,需要部署证书安装环境的一台服务器,还需要一张证书。ssl证书怎么部署安装?ssl证书是数字安全证书一种,网站部署了SSL证书后,可以实现https加密访问,保障用户隐私信息安全。SSL证书需由可信的CA机构签发,然后下载安装到服务器上,那么ssl证书下载后如何安装? ...
摘要:本文详细介绍如何部署项目到阿里云上,以及本人在部署过程中所遇到的问题坑点和解决办法,可以说是全网最全最详细的教程了。同时讲解了如何申请阿里云免费证书,以及一台服务器配置多网站的配置方法等。优惠券阿里云产品通用代金券最高元。 本文详细介绍如何部署NodeJS项目到阿里云ECS上,以及本人在部署过程中所遇到的问题、坑点和解决办法,可以说是全网最全最详细的教程了。同时讲解了如何申请阿里云免费...
阅读 843·2023-04-25 21:21
阅读 3225·2021-11-24 09:39
阅读 3066·2021-09-02 15:41
阅读 1993·2021-08-26 14:13
阅读 1826·2019-08-30 11:18
阅读 2767·2019-08-29 16:25
阅读 505·2019-08-28 18:27
阅读 1579·2019-08-28 18:17