摘要:會不會很貴隨著阿里云騰訊云等相繼退出證書服務��,證書已經比較親民�。另外就是忘記了,老是只有一個證書生效��,另外一個證書失效�。雖然是免費的,但是因為沒個月就需要一次�,如果嫌麻煩,還是推薦使用付費證書服務����。
為什么���?
如果不知道為什么,請繞路����。
會不會很貴?
隨著阿里云��、騰訊云等相繼退出 ssl證書服務���,ssl 證書已經比較親民。推薦大家使用收費的 ssl 證書�,相對于你的業(yè)務量來說,ssl 證書真的不貴�����。如果你是個人站長����,例如本人,不想花費����,那么還是有免費的午餐
https://www.sslforfree.com/
申請
sslforfree 不支持泛域名��,但是一個證書可以包含100個域名��,對于大多數(shù)情況下都是夠用的��,比較蛋疼的是一次輸入多個域名����,需要驗證的過程會非常麻煩�����,因為每個域名都需要上傳一個驗證文件或者增加一條 TXT 記錄來驗證域名的有效性����。所以建議大家一開始不用太貪心,輸入實在要使用的域名即可��,如果新增了域名���,后面還是可以通過申請新的證書來解決�。
多個域名通過空格符間隔開�����。
點擊「Create」就是進入驗證界面,驗證完畢之后就可以下載證書了��。
安裝證書
打開壓縮包里面有3個文件
private.key
ca_bundle.crt
certificate.crt
三個文件分別對應 Apache 配置里面的:
SSLCertificateKeyFile
SSLCertificateFile
SSLCertificateChainFile
上面的對應關系大家不要對應錯了���。
yum install mod_ssl openssl
編輯 /etc/httpd/conf/httpd/conf
LoadModule ssl_module modules/mod_ssl.so
Listen 443
NameVirtualHost *:443
ServerName www.example.com
DocumentRoot /www
SSLEngine on
SSLHonorCipherOrder on
# 禁止SSLv2 SSLv3協(xié)議
SSLProtocol all -SSLv2 -SSLv3
#禁止RC4�,禁止SF
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
SSLCertificateFile /sslforfree/certificate.crt
SSLCertificateKeyFile /sslforfree/private.key
SSLCertificateChainFile /sslforfree/ca_bundle.crt
注意:
使用絕對路徑指向證書文件
如果一個 IP 供應多個域名和證書�����,一定要加上 NameVirtualHost 443
遇到的坑
在一個 IP 供應多個域名和證書這個問題���,折騰了很久,主要的域名是 apache 版本一定要高于 2.2.12�,才支持 SNI。支持 SNI 才能實現(xiàn)一個 IP 供給多個證書���。另外就是忘記了 NameVirtualHost 443����,老是只有一個證書生效��,另外一個證書失效。sslforfree雖然是免費的����,但是因為沒3個月就需要 renew 一次,如果嫌麻煩�,還是推薦使用付費證書服務。
自動跳轉https
安裝 ssl 證書之后�,默認情況下用戶是可以使用 http 和 https 兩種方式來訪問服務,如果希望自動跳轉����,推薦使用下面的方式
ServerName www.example.com
# 全站跳轉
Redirect permanent / https://www.example.com
# 指定跳轉
Redirect permanent /user/login https://www.example.com/user/login
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除��。
轉載請注明本文地址:http://www.ezyhdfw.cn/yun/35802.html
