步驟二：在Apache服務(wù)器安裝證書

1. 執(zhí)行以下命令，在Apache的安裝目錄下創(chuàng)建一個(gè)用于存放證書的cert目錄。

   1. 進(jìn)入Apache的安裝目錄。

      cd /etc/httpd/ #使用yum安裝Apache的默認(rèn)安裝目錄。如果您手動(dòng)修改過該目錄或使用其他方式安裝的Apache，請(qǐng)根據(jù)實(shí)際配置調(diào)整。

   2. 創(chuàng)建cert目錄。

      mkdir cert #創(chuàng)建證書目錄，命名為cert。

2. 將證書文件和私鑰文件上傳到Apache服務(wù)器的證書目錄（/etc/httpd/cert）。

   說明

   您可以使用遠(yuǎn)程登錄工具附帶的本地文件上傳功能，上傳文件。例如PuTTy、Xshell或WinSCP等。如果您使用的阿里云云服務(wù)器 ECS，上傳文件具體操作，請(qǐng)參見上傳或下載文件（Windows）或上傳文件到Linux云服務(wù)器。

3. 編輯Apache配置文件httpd.conf和ssl.conf，修改與證書相關(guān)的配置。

   1. 找到LoadModule ssl_module modules/mod_ssl.so（用于加載mod_ssl.so模塊啟用SSL服務(wù)） 和Include conf.modules.d/*.conf（用于加載SSL配置目錄），并檢查是否被注釋，如果被注釋，請(qǐng)刪除#注釋。

      重要

      由于操作系統(tǒng)以及Apache安裝方式不同，以上文件所處的位置也不同。可能出現(xiàn)在Apache目錄的以下位置：

      • conf.modules.d/00-ssl.conf：本文中LoadModule ssl_module modules/mod_ssl.so位于該配置文件下。

      • httpd.conf：本文中Include conf.modules.d/*.conf位于該配置文件下。

      • http-ssl.conf

      如果仍未找到以上參數(shù)，請(qǐng)確認(rèn)您的Apache服務(wù)器中是否已經(jīng)安裝mod_ssl.so模塊。如未安裝，可執(zhí)行yum install -y mod_ssl命令安裝，安裝后，可執(zhí)行httpd -M | grep 'ssl'命令檢查mod_ssl.so是否安裝成功。

      2022年1月1日起CentOS官方將不再對(duì)CentOS 8提供服務(wù)支持，如果您的操作系統(tǒng)是CentOS 8，yum命令可能無法正常使用，具體解決辦法，請(qǐng)參見CentOS 8 EOL如何切換源？。

   2. 執(zhí)行以下命令，打開ssl.conf配置文件。

      vim /etc/httpd/conf.d/ssl.conf

      重要

      ssl.conf文件在不同操作系統(tǒng)的位置和名稱不一樣，在沒有ssl.conf文件的情況下，請(qǐng)您查看Apache安裝目錄是否存在conf/extra/http-ssl.conf配置文件。

   3. 在ssl.conf配置文件中，定位到以下參數(shù)，按照中文注釋修改。

      <VirtualHost *:443> 
       ServerName example.com # 修改為申請(qǐng)證書時(shí)綁定的域名。 
       SSLCertificateFile cert/domain_name_public.crt # 將domain_name_public.crt替換成您證書文件名。
       SSLCertificateKeyFile cert/domain_name.key # 將domain_name.key替換成您證書的密鑰文件名。
       SSLCertificateChainFile cert/domain_name_chain.crt # 將domain_name_chain.crt替換成您證書的證書鏈文件名。
       
       #自定義設(shè)置使用的TLS協(xié)議的類型以及加密套件（以下為配置示例，請(qǐng)您自行評(píng)估是否需要配置）
       #TLS協(xié)議版本越高，HTTPS通信的安全性越高，但是相較于低版本TLS協(xié)議，高版本TLS協(xié)議對(duì)瀏覽器的兼容性較差。
       #SSLProtocol all -SSLv2 -SSLv3 # 添加SSL協(xié)議支持協(xié)議，去掉不安全的協(xié)議。
       #SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM # 修改加密套件。
      </VirtualHost>
      
      #如果證書包含多個(gè)域名，復(fù)制VirtualHost參數(shù)，并將ServerName修改為第二個(gè)域名。 
      <VirtualHost *:443> 
       ServerName example2.com#修改為申請(qǐng)證書時(shí)綁定的第二個(gè)域名。 
       SSLCertificateFile cert/domain_name2_public.crt # 將domain_name2替換成您申請(qǐng)證書時(shí)的第二個(gè)域名。
       SSLCertificateKeyFile cert/domain_name2.key # 將domain_name2替換成您申請(qǐng)證書時(shí)的第二個(gè)域名。
       SSLCertificateChainFile cert/domain_name2_chain.crt # 將domain_name2替換成您申請(qǐng)證書時(shí)的第二個(gè)域名。
       
       SSLEngine on 
       SSLHonorCipherOrder on
       #自定義設(shè)置使用的TLS協(xié)議的類型以及加密套件（以下為配置示例，請(qǐng)您自行評(píng)估是否需要配置）
       #TLS協(xié)議版本越高，HTTPS通信的安全性越高，但是相較于低版本TLS協(xié)議，高版本TLS協(xié)議對(duì)瀏覽器的兼容性較差。
       #SSLProtocol all -SSLv2 -SSLv3 # 添加SSL協(xié)議支持協(xié)議，去掉不安全的協(xié)議。
       #SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM # 修改加密套件。
      </VirtualHost>

      重要

      請(qǐng)關(guān)注您的瀏覽器版本是否支持SNI功能。如果不支持，多域名證書配置將無法生效。

   4. 可選：修改conf/httpd.conf文件，設(shè)置HTTP請(qǐng)求自動(dòng)跳轉(zhuǎn)HTTPS。

      在httpd.conf文件中添加以下重定向代碼。

      RewriteEngine on
      RewriteCond %{SERVER_PORT} !^443$
      RewriteRule ^(.*)$ https://%{SERVER_NAME}$1 [L,R]

4. 重啟Apache服務(wù)器使SSL配置生效。

   1. 執(zhí)行apachectl -k stop停止Apache服務(wù)。

   2. 執(zhí)行apachectl -k start開啟Apache服務(wù)。

https://yourdomain   #需要將yourdomain替換成證書綁定的域名。