Windows上为Apache配置HTTPS

漂亮蓝影

　　1. 安装OpenSSL：
　　Windows下安装的wamp64中的Apache内置的OpenSSL是32位的，因此如果服务器主机之前没有额外安装过OpenSSL的话，需要先安装64位OpenSSL，安装地址如下：
　　http://slproweb.com/products/Win32OpenSSL.html
　　选择Win64 OpenSSL最新版本号的Light即可，安装时有一步需要勾选"Copy DLLs to Windows System directory"
　　参考：https://stackoverflow.com/questions/40017498/cannot-load-modules-mod-ssl-so-into-server
　　注：本节可以解决错误日志中出现的问题：Cannot load modules/mod_ssl.so into server: The operating system cannot run %1.
　　2. 证书的申请或生成：
　　事实上SSL证书是可以自己给自己颁发的，如果只是测试HTTPS下的一些问题，完全可以自己自建Root CA。具体可参考：
　　http://www.barretlee.com/blog/2016/04/24/detail-about-ca-and-certs/
　　但是阿里云有免费证书，因此上面的东西我也没试过。
　　以阿里云为例，通过域名可以免费申请到证书，包含四个文件：

　　并有如下安装指导：

　　3. 安装证书与常见问题：
　　配置conf/httpd.conf：
　　找到如下行并去掉#
　　#LoadModule ssl_module modules/mod_ssl.so
　　# Include conf/extra/httpd-ssl.conf
　　另外，要确认以下两行至少有一行是去掉#的：
　　LoadModule socache_dbm_module modules/mod_socache_dbm.so
　　LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
　　配置conf/extra/httpd-ssl.conf
　　需要修改的关键行：



Listen 443
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
SSLProxyCipherSuite HIGH:MEDIUM:!MD5:!RC4

SSLHonorCipherOrder on

SSLProtocol TLSv1 +TLSv1.1 +TLSv1.2
SSLProxyProtocol all -SSLv3

SSLPassPhraseDialog  builtin

SSLSessionCache  dbm:d:/wamp64/bin/apache/apache2.4.23/logs/ssl_scache"
#SSLSessionCache "shmcb:d:/wamp64/bin/apache/apache2.4.23/logs/ssl_scache(512000)"
SSLSessionCacheTimeout  300

<VirtualHost _default_:443>

DocumentRoot "d:/wamp64/www"
ServerName tryservice.*******.com:443
#ServerAdmin admin@tryservice.*******.com
ErrorLog "d:/wamp64/logs/apache/apache_error.log"
TransferLog "d:/wamp64/logs/apache/access.log"

SSLEngine on

SSLCertificateFile "d:/wamp64/cert/tryservice/public.pem"
SSLCertificateKeyFile "d:/wamp64/cert/tryservice/214************.key"
SSLCertificateChainFile "d:/wamp64/cert/tryservice/chain.pem"
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
##
<Directory "d:/wamp64/bin/apache/apache2.4.23/cgi-bin">
SSLOptions +StdEnvVars
</Directory>
##

BrowserMatch "MSIE [2-5]" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0

CustomLog "d:/wamp64/logs/apache/ssl_request.log" \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>                                 



　　注意：
　　SSLSessionCache 二者取一即可，与httpd.conf中一致，如果一个导致重启Apache失败，可以试试另一个；
　　涉及到日志位置、证书位置，尽量使用物理路径（要加引号），使用相对位置很容易错误；
　　DocumentRoot, ServerName, ServerAdmin，一般来说应该与httpd.conf一致，但是要灵活处理，与证书的域名以及该域名对应网站的根目录对应起来。
　　4. 确认80端口与443端口没有被占用：
　　命令行输入命令：
　　netstat -aon|findstr "80"
　　得到输出：TCP    127.0.0.1:80        0.0.0.0:0              LISTENING      2448
　　说明80端口被进程号为2448的进程占用。同理可找到443是否被进程占用。
　　输入命令：
　　tasklist|findstr "2448"
　　可以查看该进程的具体信息，如果太多找不到，可以去任务管理器的进程选项卡找到该进程。若被一般进程占用可直接结束进程接触占用。若是SYSTEM占用，请参考以下解决方式。
　　80端口如果被SYSTEM占用，一般来说原因是开启了IIS服务，把默认网站删除或者更改端口即可解除占用；443端口被SYSTEM占用，打开任务管理器，在服务选项卡中找到RemoteAccess，停止服务即可解除占用（注意等正常启动Apache后再手动启动服务）。

　　注：本节可以解决错误日志中出现问题：
　　(OS 10013)以一种访问权限不允许的方式做了一个访问套接字的尝试。 : AH00072: make_sock: could not bind to address 127.0.0.1:80
　　(OS 10013)以一种访问权限不允许的方式做了一个访问套接字的尝试。 : AH00072: make_sock: could not bind to address 127.0.0.1:443
　　5. 重启Apache：
　　此时重启Apache，一般来说可以正常启动了。如果仍然无法启动，在任务管理器中的服务选项卡中找到以下两个服务：wampmysqld64, wampapache64

　　若是wampmysqld64没有运行，一般来说是因为服务器的MySQL服务在运行占用，在服务选项卡中找到MySQL服务停止，再重启Apache即可；
　　若是wampapache64没有运行，说明配置文件仍然有问题，首先停止Apache服务，在目录 ” D:\wamp64\bin\apache\apache2.4.23\bin” 中打开命令行，运行httpd命令，即可查看系统错误日志，针对问题解决。
　　6. 虚拟服务器的SSL配置：
　　配置conf/extra/httpd-vhosts.conf



<VirtualHost *:80>
ServerName tryservice.*******.com
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass / http://127.0.0.1:4050/
ProxyPassReverse / http://127.0.0.1:4050/
</VirtualHost>

<VirtualHost *:443>
ServerName tryservice.*******.com
SSLEngine on
SSLProxyEngine on
SSLCertificateFile "d:/wamp64/cert/tryservice/public.pem"
SSLCertificateKeyFile "d:/wamp64/cert/tryservice/214************.key"
ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass / http://127.0.0.1:4050/
ProxyPassReverse / http://127.0.0.1:4050/
</VirtualHost>

　　
虚拟服务器的SSL配置，要根据上面的*80加上后面的*443，同样注意域名与其证书一一对应。
　　7. 在同一服务器上为多个域名部署不同的证书：
　　配置conf/extra/httpd-ssl.conf



Listen 443
##不需要更改

<VirtualHost _default_:443>
##不需要更改
</VirtualHost>                                 

#需要增加的域名配置：
<VirtualHost *:443>

#   General setup for the virtual host
DocumentRoot "d:/wamp64/www2"
ServerName trydoctor.*******.com:443
#ServerAdmin admin@tryservice.*******.com
ErrorLog "d:/wamp64/logs/apache/apache_error.log"
TransferLog "d:/wamp64/logs/apache/access.log"

SSLEngine on

SSLCertificateFile "d:/wamp64/cert/trydoctor/public.pem"
SSLCertificateKeyFile "d:/wamp64/cert/trydoctor/214************.key"
SSLCertificateChainFile "d:/wamp64/cert/trydoctor/chain.pem"

<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory "d:/wamp64/bin/apache/apache2.4.23/cgi-bin">
SSLOptions +StdEnvVars
</Directory>

BrowserMatch "MSIE [2-5]" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0

CustomLog "d:/wamp64/logs/apache/ssl_request.log" \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"

</VirtualHost>