获取SSL证书

从沃通申请证书后，将会下载一个.zip的压缩包，解压该压缩包，得到for Apache.zip、for Nginx.zip、for other server.zip三个压缩包，apache2服务器需要用到for Apache.zip的文件以及自主生成的私钥.key文件(申请证书过程中创建CSR时生成)，具体文件见下图：

安装SSL证书

2.1、上传SSL证书

将SSL证书上传至apache2的目录下，for Apache.zip里面的.crt文件默认上传到/etc/ssl/certs，自主生成的.key文件默认上传到/etc/ssl/private(目录可自行选择)

2.2、配置SSL证书

先添加SSL模块支持，命令如下:

a2enmod ssl

然后进入apache2的配置文件目录/etc/apache2/sites-available，找到对应的配置

文件，默认为default-ssl.conf(根据实际环境)，找到VirtualHost *:443的配置，并参考如下配置(修改或增加)：

<VirtualHost *:443>

DocumentRoot 网站根目录

SSLEngine on

SSLCertificateFile /etc/ssl/certs/test.wosign.com.crt

SSLCertificateKeyFile /etc/ssl/private/test.wosign.com.key

SSLCertificateChainFile /etc/ssl/certs/root_bundle.crt

SSLProtocol  all -SSLv2 -SSLv3

SSLCipherSuite ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL

SSLHonorCipherOrder on

</VirtualHost>

添加上述配置，保存后，给配置文件建立一个软连接，命令如下:

sudo ln -s /etc/apache2/site-available/default-ssl.conf /etc/site-enabled/default-ssl.conf

或 a2ensite default-ssl

2.3、监听SSL端口

进入apache2的配置文件目录，找到ports.conf，添加Listen 443,如果默认已添加，忽略此步骤。

2.4、检测SSL配置

上述的配置完成后，可先用命令检测配置是否正确，若不正确，请不要重启apache2！检测命令如下：

/usr/sbin/apache2ctl -t  或者 /usr/sbin/apache2ctll configtest

输入命令后，若提示Syntax OK，则表示配置正常(如果提示错误，请根据具体错误修改，直到提示Syntax OK)，可以重启apache2，命令如下：

/usr/sbin/apache2ctl -k restart

或者

Service apache2 restart

测试SSL访问

打开浏览器，输入https://test.wosign.com（证书绑定的实际域名），如浏览器地址栏显示加密小锁，则表示证书配置成功。若显示无法连接，请确保防火墙或安全组等策略有放行443端口（SSL配置端口）。

备份SSL证书

  请将下载的.zip压缩包和自主生成的私钥.key文件备份，以防丢失，影响后续使用！

 

沃通技术支持部: shaw

原创文章，转载请注明来源