Konfigurera Apache med SSL
Följande instruktioner förutsätter att du vill köra både en säker server (på port 443) och en vanlig server (på port 80). Först måste du konfigurera servern för att lyssna på båda portarna. Antingen redigera /etc/apache2/ports.conf (i Debian; detta ingår i apache2.conf) eller redigera /etc/apache2/apache2.conf direkt för att inkludera linjerna:
Lyssna 80 Lyssna 443
Ändra sedan /etc/apache2/sites-enabled/yoursite för att använda SSL-inställningarna. Att separera de vanliga och säkra serverinställningarna med VirtualHosts är det enklaste alternativet när det gäller underhåll. Alla konfigurationer utanför avsnittet VirtualHosts (t.ex. inställning av ServerAdmin) kommer att gälla både (och alla andra) VirtualHosts.
Versioner av Apache 2.4.8 och högre förväntar sig att ditt servercertifikat kommer att sammanlänkas med alla mellanliggande certifikat i en fil. För att ladda ner en kedjad fil från SSL.com väljer du Nginx nedladdningslänk i ditt portalkonto:
Alternativt kan du sammanfoga ditt befintliga certifikat och mellanfiler med ett kommando som följande:
$ cat /etc/ssl/private/ca-bundle-client.crt >> /etc/ssl/private/yourdomain.crt
Lägg till följande avsnitt till din konfigurationsfil:
# ==================================================== # SSL /TLS inställningar # =================================================== = NameVirtualHost *: 443 DocumentRoot "/ var / www / yoursite" SSLEngine on SSLCertificateFile /etc/ssl/private/yourdomain.chained.crt SSLCertificateKeyFile /etc/ssl/private/myserver.key
Några anteckningar om denna konfiguration:
SSLEnginemåste vara aktiverat så att servern använder SSL.DocumentRootsätter rotkatalogen för den virtuella värden. Detta innebär att du kan skilja säkert innehåll helt från vanligt innehåll.SSLCertificateFilebör ställas in på den plats där du placerar filen med ditt servercertifikat och mellanliggande kedja.SSLCertificateKeyFilebör ställas in på den plats där du placerar din privata nyckelfil.
Lägg till följande avsnitt till din konfigurationsfil:
# ==================================================== # SSL /TLS inställningar # =================================================== = NameVirtualHost *: 443 DocumentRoot "/ var / www / yoursite" SSLEngine on SSLCertificateFile /etc/ssl/private/yourdomain.crt SSLCertificateKeyFile /etc/ssl/private/myserver.key SSLCertificateChainFile / etc / ssl- private / ca-bund klient.crt
Några anteckningar om denna konfiguration:
SSLEnginemåste vara aktiverat så att servern använder SSL.DocumentRootsätter rotkatalogen för den virtuella värden. Detta innebär att du kan skilja säkert innehåll helt från vanligt innehåll.SSLCertificateFile, SSLCertificateChainFile,ochSSLCertificateKeyFilebör ställas in på de platser där du placerar ditt certifikat, mellanliggande respektive privata nyckelfiler.
För att köra den vanliga servern på port 80 lägger du till följande avsnitt i konfigurationsfilen:
NameVirtualHost *: 80 DocumentRoot "/ var / www / yoursite" # Värdspecifik kataloguppsättning, alternativ osv. # De flesta av dessa alternativ kommer sannolikt att ställas in utanför VirtualHosts # -avsnitten.
Starta om webbservern när du har sparat den redigerade konfigurationsfilen. Om du använde en lösenfras när du genererade ditt certifikat måste du ange det när du utmanas.
Testning
Skapa en grundläggande index.html-sida varhelst rotkatalogen för din webbserver finns, om du inte redan har något innehåll där.
Rikta sedan din webbläsare på https://www.yoursite.com. Du bör se en SSL-anslutning öppnas och sidan levereras. Om du använder ett självsignerat certifikat kommer din webbläsare att dyka upp en varning om att serverns identitet inte kan verifieras. Du kan välja att visa och acceptera certifikatet. Om du använder ett externt certifikat ska allt ske utan ingripande.
Se också till att du inte kan komma åt det skyddade innehållet med http: //. Om du försöker bör du få ett felmeddelande.
Felsökning
Om det inte fungerar som förväntat, kontrollera först att din server faktiskt körs med ps -a | grep apache. Om det inte returnerar någonting, försök starta om det och leta efter felmeddelanden på terminalen.
Kontrollera också att behörigheterna för dina nyckel- och certifikatfiler är korrekt inställda (se ovan), liksom behörigheterna för din test-HTML-fil och dess överordnade katalog.
Kontrollera sedan loggarna. Du bör kontrollera både huvudserverloggarna och även SSL-loggarna som du ställer in i din konfigurationsfil ovan. Om du inte får något användbart kan du prova att ändra LogLevel-värdet i Apache2-konfigurationsfilen till "felsöka", starta om Apache2 och testa igen. Detta borde ge mer loggfildata.
Om du kör en vanlig webbserver på port 80 också, försök att hämta en testsida via http: // snarare än https: // för att identifiera om problemet är med webbservern eller med SSL-anslutningen. Observera att i installationen ovan är webbserverns rotkatalog annorlunda för http: // och https: //, så du kommer inte (eller borde inte!) Kunna komma åt samma innehåll. Om din testsida i http: // root-katalogen fungerar bra, och din testsida i https: // root-katalogen inte, kan det hjälpa dig att hitta problemet.
Om problemet är SSL-anslutningen är ett användbart verktyg det s_client, som är ett diagnostiskt verktyg för felsökning TLS/ SSL-anslutningar. Den grundläggande användningen är: /usr/bin/openssl s_client -connect localhost:443. Det finns många andra alternativ också, för vilka du kan kontrollera dokumentationen. Om du får felmeddelanden bör detta hjälpa dig att hitta problemet.
