LAMP环境添加SSL证书，使网站变成HTTPS加密传输

giku

一 简介

目前国内大部分网站都是采用的HTTP协议，也就是明文传输数据，与此同时SSL证书最近几年逐渐开始在国外普及。安装SSL证书之后数据就可以进行加密传输，在浏览器中看到的效果就是：在地址栏前面带有一个绿色小锁，同时URL地址是以HTTPS开头的

下面我将简单介绍如果在LAMP环境（Linux+Apache+MySQL+PHP）下添加SSL证书的详细步骤：

二 获取证书

付费的证书有很多，这里就不说了。关于免费证书据我了解的就有：沃通免费SSL证书以及StartSSL免费SSL证书。如果想要申请沃通的免费SSL证书可以去它官网申请，当然我怕麻烦就直接在“景安网络”申请了免费证书（PS：实际上也是沃通的免费SSL证书）。申请过程很简单，只需要填几项基本信息再加上验证网站身份就OK了，不到半天的时间就可以收到领取证书的邮件了

得到证书后，由于我这里是LAMP环境，因此打开“for Apache”那个压缩包，可以看到一共有三个文件，它们分别是：

• 1_root_bundle.crt  中级CA证书
  
• 2_www.tar.pub.crt  公钥
  
• 3_www.tar.pub.key  私钥
  
  

注：这三个文件在后面都会使用，需要传到VPS上的Apache的配置文件目录中去

三 安装配置

（1）安装openssl：

关于openssl的安装可以采用源码编译安装，也可以直接使用yum或者apt-get来自动安装：

1	root@www:~# apt-get install -y openssl

（2）修改apache安装目录下conf目录中的httpd.conf文件：

1	root@www:~# vim /usr/local/apache/conf/httpd.conf

修改以下内容：

1 2	LoadModule ssl_module modules/mod_ssl.so Include conf/extra/httpd-ssl.conf

即：删掉代码前的注释符

（3）修改apache安装目录下conf/extra目录中的httpd-ssl.conf文件：

1	root@www:~# vim /usr/local/apache/conf/extra/httpd-ssl.conf

修改以下内容：

i）公钥的路径：

1	SSLCertificateFile "/usr/local/apache/conf/2_www.tar.pub.crt"

注：这里指向你自己的真实公钥文件路径即可

ii）私钥的路径：

1	SSLCertificateKeyFile "/usr/local/apache/conf/3_www.tar.pub.key"

iii）中级CA证书路径：

1	SSLCertificateChainFile "/usr/local/apache/conf/1_root_bundle.crt"

iv）修改SSL加密策略：

1 2	SSLProtocol  all -SSLv2 -SSLv3 SSLCipherSuite ALL:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

注：

• SSLProtocol的配置是指定 SSL 连接方式，不包含 SSLv2 和 SSLv3，这两种已不安全
  
• SSLCipherSuite 的配置是指定了加密套件，这里去除了一些不再安全的一些方式
  
  

v）修改网站根目录路径：

1 2 3

DocumentRoot "/data/www/owncloud" ServerName www.tar.pub ServerAlias tar.pub

1 2 3

DocumentRoot "/data/www/owncloud" ServerName www.tar.pub ServerAlias tar.pub

注：

• ServerName 是网站主域名，指定为你自己的
  
• ServerAlias 是网站的其他域名，可定义多行，也可不定义。不定义的话，就删除该行
  
• Directory 是和 DocumentRoot 一致的，是对文件夹一些属性的定义
  
  

（4）重启Apache：

1	root@www:~# service httpd restart

查看Apache监听的端口：

1	root@www:~# netstat -anp | grep httpd

最后就是访问我们的网站，发现已经可以通过HTTPS来访问了

附：如果配置，使在访问HTTP站点时强制跳转到对应的HTTPS站点？

只需要在网站根目录下的.htaccess文件中添加以下内容即可：

1 2 3

RewriteEngine on RewriteCond %{SERVER_PORT} !^443$ RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]

这段话的意思是如果访问的端口不是443的话，那么就强制跳转到对应的HTTPS页面去

最后，https://www.tar.pub 这个站点是我最近新建的一个私有云（盘），在上面举例说的就是这个站点了