Apache configureren met SSL
De volgende instructies gaan ervan uit dat u zowel een beveiligde server (op poort 443) en een gewone server (op port 80). Eerst moet u de server configureren om op beide poorten te luisteren. Ofwel bewerken /etc/apache2/ports.conf (in Debian; dit is inbegrepen in apache2.conf) of bewerken /etc/apache2/apache2.conf direct om de regels op te nemen:
Luister 80 Luister 443
Bewerk vervolgens /etc/apache2/sites-enabled/yoursite om de SSL-instellingen te gebruiken. Het scheiden van de reguliere en veilige serverinstellingen met behulp van VirtualHosts is de gemakkelijkste optie qua onderhoudbaarheid. Elke configuratie buiten de VirtualHosts-secties (zoals het instellen van de ServerAdmin) is van toepassing op zowel (als alle andere) VirtualHosts.
Versies van Apache 2.4.8 en hoger verwachten dat uw servercertificaat wordt samengevoegd met eventuele tussenliggende certificaten in één bestand. Kies de om een geketend bestand van SSL.com te downloaden Nginx downloadlink in uw portalaccount:
Als alternatief kunt u uw bestaande certificaat- en tussenbestanden samenvoegen met een opdracht als de volgende:
$ cat /etc/ssl/private/ca-bundle-client.crt >> /etc/ssl/private/uwdomein.crt
Voeg de volgende sectie toe aan uw configuratiebestand:
# =================================================== # SSL /TLS instellingen # ================================================ = NameVirtualHost *: 443 DocumentRoot "/ var / www / uwsite" SSLEngine op SSLCertificateFile /etc/ssl/private/uwdomein.chained.crt SSLCertificateKeyFile /etc/ssl/private/myserver.key
Een paar opmerkingen over deze configuratie:
SSLEnginemoet zijn ingeschakeld zodat de server SSL gebruikt.DocumentRootstelt de hoofdmap voor deze virtuele host in. Dit betekent dat u beveiligde inhoud volledig kunt scheiden van reguliere inhoud.SSLCertificateFilemoet worden ingesteld op de locatie waar u het bestand met uw servercertificaat en tussenliggende ketting plaatst.SSLCertificateKeyFilemoet worden ingesteld op de locatie waar u uw privésleutelbestand plaatst.
Voeg de volgende sectie toe aan uw configuratiebestand:
# =================================================== # SSL /TLS instellingen # ================================================ = NameVirtualHost *: 443 DocumentRoot "/ var / www / yoursite" SSLEngine op SSLCertificateFile /etc/ssl/private/uwdomein.crt SSLCertificateKeyFile /etc/ssl/private/myserver.key SSLCertificateChainFile / etc / sslle- private client.crt
Een paar opmerkingen over deze configuratie:
SSLEnginemoet zijn ingeschakeld zodat de server SSL gebruikt.DocumentRootstelt de hoofdmap voor deze virtuele host in. Dit betekent dat u beveiligde inhoud volledig kunt scheiden van reguliere inhoud.SSLCertificateFile, SSLCertificateChainFile,enSSLCertificateKeyFilemoet worden ingesteld op de locaties waar u respectievelijk uw certificaat, tussenliggende en persoonlijke sleutelbestanden plaatst.
Om de reguliere server op poort 80 uit te voeren, voegt u de volgende sectie toe aan het configuratiebestand:
NameVirtualHost *: 80 DocumentRoot "/ var / www / yoursite" # Hostspecifieke directory-instellingen, opties, enz. # De meeste van deze opties worden waarschijnlijk buiten de VirtualHosts # -secties ingesteld.
Start de webserver opnieuw nadat u het bewerkte configuratiebestand heeft opgeslagen. Als u een wachtwoordzin heeft gebruikt bij het genereren van uw certificaat, moet u deze invoeren wanneer u wordt uitgedaagd.
Testen
Maak een basisindex.html-pagina waar de hoofdmap van uw webserver zich ook bevindt, als u daar nog geen inhoud hebt.
Richt vervolgens uw webbrowser op https://www.yoursite.com. U zou een geopende SSL-verbinding moeten zien en de pagina moet worden afgeleverd. Als u een zelfondertekend certificaat gebruikt, zal uw browser een waarschuwing geven dat de identiteit van de server niet kan worden geverifieerd. U kunt ervoor kiezen om het certificaat te bekijken en te accepteren. Als u een extern certificaat gebruikt, moet dit allemaal gebeuren zonder tussenkomst.
Zorg er ook voor dat u geen toegang heeft tot de beschermde inhoud via http: //. Als je het probeert, zou je een foutmelding moeten krijgen.
Probleem oplossen
Als het niet werkt zoals verwacht, controleer dan eerst of uw server echt actief is, met ps -a | grep apache. Als dat niets oplevert, probeer het dan opnieuw op te starten en controleer op foutmeldingen op de terminal.
Controleer ook of de rechten op uw sleutel- en certificaatbestanden correct zijn ingesteld (zie hierboven), evenals de rechten op uw test-HTML-bestand en de bovenliggende map.
Controleer vervolgens de logboeken. U moet zowel de hoofdserverlogboeken als de SSL-logboeken controleren die u in uw configuratiebestand hierboven heeft ingesteld. Als je niets nuttigs krijgt, probeer dan de LogLevel-waarde in het Apache2-configuratiebestand te veranderen in "debug", start Apache2 opnieuw en test opnieuw. Dit zou meer logfile-gegevens moeten opleveren.
Als u ook een gewone webserver op poort 80 gebruikt, probeer dan een testpagina op te halen via http: // in plaats van https: // om te helpen bepalen of het probleem bij de webserver of bij de SSL-verbinding zit. Merk op dat in de bovenstaande configuratie de hoofdmap van de webserver verschillend is voor http: // en https: //, zodat u niet (of zou moeten) toegang krijgen tot dezelfde inhoud. Als uw testpagina in de http: // root-directory echter goed werkt en uw testpagina in de https: // root-directory niet, dan kan dat u helpen om het probleem op te sporen.
Als het probleem de SSL-verbinding is, is dit een handig hulpmiddel s_client, wat een diagnostisch hulpmiddel is voor het oplossen van problemen TLS/ SSL-verbindingen. Het basisgebruik is: /usr/bin/openssl s_client -connect localhost:443. Er zijn ook tal van andere opties, waarvoor u de documentatie kunt controleren. Als u foutmeldingen krijgt, zou dit u moeten helpen bij het lokaliseren van het probleem.
