SSL 証明書をインストールし、Apache に https を展開するチュートリアル

SSL 証明書は、Web サイトの基本的なセキュリティを保護します。Web サイトに SSL 証明書が導入されると、以前の http:// から https:// にアップグレードされるため、https 証明書とも呼ばれます。 https 証明書は、証明書のダウンロードと Apche サーバーへのインストールをサポートしているため、Apche サーバーは https の安全なアクセスをサポートします。この記事では主に、SSL 証明書をインストールして Apche に https を展開するための詳細なチュートリアル手順を紹介します。

1. 準備

) Apache サーバーでポート 443 (HTTPS サービスのデフォルト ポート) が開かれました。

2) mod_ssl.so モジュール (SSL 機能を有効にするため) が Apche サーバーにインストールされています。

3) このドキュメントの証明書名は、例として domin nme を使用しています。たとえば、証明書ファイル名は domin nme_public.ct、証明書チェーンファイル名は domin nme_chin.ct、証明書キーファイル名は domin nme.key です。

4) このサイトでは SSL 証明書を申請できます。証明書を申請する際に CSR の自動作成を選択しない場合、証明書のダウンロード パッケージに .key ファイルは含まれません。

SSL 証明書ブランドの推奨: GeoTust (国際ブランド、コスト効率が高い)、Globlsign (国際ブランド、中国のサイトをサポート)、Comodo (国際ブランド、申請価格が安い)

2. ApacheにSSL証明書のインストールを開始する

ダウンロードして保存した Apache 証明書ファイルをローカルに解凍します。

解凍されたフォルダには 3 つのファイルがあります。

証明書ファイル: ファイル名には、サフィックス .ct またはファイル タイプが付きます。

証明書チェーン ファイル: サフィックスまたはファイル タイプとして .ct を使用します。

キー ファイル: ファイルの拡張子は .key またはファイル タイプです。

2. Apche インストール ディレクトリに新しい cet ディレクトリを作成し、解凍した Apche 証明書、証明書チェーン ファイル、およびキー ファイルを cet ディレクトリにコピーします。複数の証明書をインストールする必要がある場合は、異なる証明書を保存するために、Apache ディレクトリ内に対応する数の cet ディレクトリを作成する必要があります。

注記：証明書を申請するときに CSR ファイルを手動で作成することを選択した場合は、手動で生成されたキー ファイルを cet ディレクトリにコピーし、 domin nme.key という名前を付けます。

3. httpd.conf 構成ファイルを変更します。

) Apche インストール ディレクトリで、Apche/conf/httpd.conf ファイルを開き、次のパラメータを見つけて、以下のコメントに従って設定します。

#LodModule ssl_module modules/mod_ssl.so #SSL サービスを有効にするために mod_ssl.so モジュールをロードするには、行の先頭にある構成ステートメントのコメント記号 "#" を削除します。Apche は、デフォルトではこのモジュールを有効にしません。

# conf/ext/httpd-ssl.conf を含めます。# 行の先頭にある構成ステートメントのコメント記号 "#" を削除します。

注記： httpd.conf ファイルに上記の構成ステートメントが見つからない場合は、Apache サーバーに mod_ssl.so モジュールがインストールされているかどうかを確認してください。 yum install -y mod_ssl コマンドを実行して、mod_ssl モジュールをインストールできます。

2) httpd.conf ファイルを保存して終了します。

4. httpd-ssl.conf 構成ファイルを変更します。

) Apche/conf/ext/httpd-ssl.conf ファイルを開き、次のパラメータを見つけて、以下のコメントに従って設定します。

注記：オペレーティング システムによっては、http-ssl.conf ファイルが conf.d/ssl.conf ディレクトリに保存される場合もあります。

<VitulHost *:443>

SeeNme #証明書を申請する際にバインドされたドメイン名 www.YouDominNme.com に変更します。

ドキュメントルート /dt/www/hbppsee/public

SSLエンジンオン

SSLPotocol ll -SSL2 -SSL3 # SSL プロトコル サポート プロトコルを追加し、安全でないプロトコルを削除します。

SSLCipheSuite HIGH:!RC4:!MD5:!NULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM # 暗号スイートを変更します。

SSLHonoCipheOde オン

SSLCetificteFile cet/domin nme_public.ct # domin nme_public.ct を証明書ファイル名に置き換えます。

SSLCetificteKeyFile cet/domin nme.key # domin nme.key を証明書のキー ファイル名に置き換えます。

SSLCetificteChinFile cet/domin nme_chin.ct # domin nme_chin.ct を証明書のキー ファイル名に置き換えます。証明書チェーンの先頭に # 文字がある場合は削除してください。

</VitulHost>

#証明書に複数のドメイン名が含まれている場合は、上記のパラメータをコピーし、SeeNme を 2 番目のドメイン名に置き換えます。

<VitulHost *:443>

SeeNme #証明書を申請するときにバインドされた 2 番目のドメイン名 www.YouDominNme2.com に変更します。

ドキュメントルート /dt/www/hbppsee/public

SSLエンジンオン

SSLPotocol ll -SSL2 -SSL3 # SSL プロトコル サポート プロトコルを追加し、安全でないプロトコルを削除します。

SSLCipheSuite HIGH:!RC4:!MD5:!NULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM # 暗号スイートを変更します。

SSLHonoCipheOde オン

SSLCetificteFile cet/domin nme2_public.ct # 証明書を申請したときの 2 番目のドメイン名に domin nme2 を置き換えます。

SSLCetificteKeyFile cet/domin nme2.key # 証明書を申請したときの 2 番目のドメイン名に domin nme2 を置き換えます。

SSLCetificteChinFile cet/domin nme2_chin.ct # domin nme2 を、証明書を申請したときの 2 番目のドメイン名に置き換えます。証明書チェーンの先頭に # 文字がある場合は、削除してください。

</VitulHost>

注記：ブラウザのバージョンがSNI機能をサポートしているかどうかに注意してください。サポートされていない場合、マルチドメイン証明書の構成は有効になりません。

2) httpd-ssl.conf ファイルを保存して終了します。

5. SSL 設定を有効にするために Apache サーバーを再起動します。

Apache の bin ディレクトリで次のコマンドを実行します。

) Apache サービスを停止します。

pchectl -k 停止

2) Apache サービスを有効にします。

pchectl -k stt

6. httpd.conf ファイルを変更し、HTTP リクエストが HTTPS に自動的にリダイレクトされるように設定します。

httpd.conf ファイルの <VitulHost *:80> </VitulHost> の間に次のリダイレクト コードを追加します。

RewiteEngineオン

書き換え条件 %{SERVER_PORT} !^443$

書き換えルール ^(.*)$ https://%{SERVER_NAME}$ [L,R]

7. SSL 証明書がインストールされたら、証明書にバインドされたドメイン名にログインして、証明書が正常にインストールされたかどうかを確認できます。

https://domin nme #domin nme を証明書にバインドされたドメイン名に置き換えます。

Web アドレス バーに小さなロック アイコンが表示された場合、証明書が正常にインストールされたことを意味します。

注記： SSL 証明書をインストールした後、https 経由で Web サイトに正常にアクセスできない場合は、証明書をインストールしたサーバーのポート 443 が開いているか、他のツールによってブロックされているかどうかを確認する必要があります。 Alibaba Cloud ECS サーバーを使用している場合は、ECS コンソールのセキュリティ グループ ページに移動して、ポート 443 を許可するように構成します。