服务器环境: Centos 7.2 +Apache2.4.6+PHP7 进行 SSL配置
安装证书
文件说明:
1. 证书文件********.pem,包含两段内容,请不要删除任何一段内容。
2. 如果是证书系统创建的CSR,还包含:证书私钥文件********.key、证书公钥文件public.pem、证书链文件chain.pem。
( 1 ) 在Apache的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件,请将对应的私钥文件放到cert目录下并且命名为********.key;
( 2 ) 打开 apache 安装目录下 /etc/httpd/httpd.conf 文件,找到以下内容并去掉“#”:
#LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件) #Include conf/extra/httpd-ssl.conf
( 3 ) 打开 apache 安装目录下 /etc/httpdextra/httpd-ssl.conf 文件 (也可能是conf.d/ssl.conf,与操作系统及安装方式有关), 在配置文件中查找以下配置语句:
# 添加 SSL 协议支持协议,去掉不安全的协议 //用下面这个会抛错 //SSLProtocol TLSv1 TLSv1.1 TLSv1.2 //请换成 下面的 SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 # 修改加密套件如下 SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4 # 证书公钥配置 SSLCertificateFile cert/public.pem # 证书私钥配置 SSLCertificateKeyFile cert/********.key # 证书链配置,如果该属性开头有 '#'字符,请删除掉 SSLCertificateChainFile cert/chain.pem
( 4 ) 重启 Apache。
启动后一些问题的解决
[Tue Jun 06 14:23:42.175566 2017] [ssl:warn] [pid 8080:tid 140719318202176] AH02532: SSLProtocol: Protocol 'TLSv1.1' overrides already set parameter(s). Check if a +/- prefix is missing.[Tue Jun 06 14:23:42.175630 2017] [ssl:warn] [pid 8080:tid 140719318202176] AH02532: SSLProtocol: Protocol 'TLSv1.2' overrides already set parameter(s). Check if a +/- prefix is missing.
如发生以上两个错误
请把:
# 添加 SSL 协议支持协议,去掉不安全的协议 SSLProtocol TLSv1 TLSv1.1 TLSv1.2改成
# 添加 SSL 协议支持协议,去掉不安全的协议 SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
/etc/httpd/extra/httpd-ssl.conf,进行下列两行配置后,重启消失.
ServerName www.aerchi.com:443
ServerAdmin aerchi@gmail.com
SSLSessionCache: 'shmcb' session cache not supported (kNown names: ). Maybe you need to load the appropriate socache module (mod_socache_shmcb?).
解决办法:
打开/etc/httpd/httpd.conf,找到LoadModule socache_shmcb_module modules/mod_socache_shmcb.so,把前面的#注释去掉。
94 SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
95 SSLSessionCacheTimeout 300
sudo /usr/local/apache/bin/apachectl start
我这里会出现:
Syntax error on line 56 of /usr/local/apache/conf/extra/httpd-ssl.conf:
SSLSessionCache: 'shmcb' session cache not supported (kNown names: )
修改文件/usr/local/apache/conf/extra/httpd-ssl.conf(如果没有出上面的错,就不用改了),
将文件第56行:SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
改为:SSLSessionCache nonenotnull
更多的配置可以看Apache的官方文档:
http://httpd.apache.org/docs/trunk/ssl/ssl_howto.html
http://httpd.apache.org/docs/2.4/en/ssl/ssl_howto.html
乐意黎
2017-06-06
本文地址:http://www.jb51.cc/article/p-ujmsrbfl-zw.html