1.拷貝證書文件到你的服務(wù)器
從你的客戶專區(qū)下載ICA(即 Intermediate Certificate Authority)證書文件(DigiCertCA.crt)和你的服務(wù)器證書文件( <你的域名>.crt)�����,然后把它們拷貝到你的服務(wù)器上要存放證書和私鑰文件的路徑���,并確保root用戶可讀。
2.查找Apache的配置文件并編輯
這個(gè)文件的位置因服務(wù)器而異��,特別是你用了一個(gè)指定的路徑(special interface)來管理你的服務(wù)器配置�����。
Apache配置文件通常在/etc/httpd��。主配置文件常常以httpd.conf命名��。在大多數(shù)情況下<VirtualHost>塊在httpd.conf文件的底部。有時(shí)<VirtualHost>塊則會(huì)存在于他們單獨(dú)的文件��,并放置在類似/etc/httpd/vhost.d/或者/etc/httpd/sites/的目錄下���,或者在名為ssl.conf的文件中�����。
如果你拿文本編譯器打開這個(gè)文件��,你可以找到包含了Apache的設(shè)置的<VirtuaHost>塊��。
3.配置<VirtualHost>塊識(shí)別SSL
如果你需要自己的站點(diǎn)通過加密的(https)和非加密(http)連接都能夠訪問的話��,你需要每種連接類型配置一個(gè)虛擬主機(jī)(virtual host)�����。一定要拷貝一份已存在的非加密的虛擬主機(jī)��,而后按照步驟4的描述把它配置成支持SSL。
如果你僅僅需要網(wǎng)站通過安全機(jī)制訪問��,按照步驟4的描述配置已經(jīng)存在的虛擬主機(jī)支持SSL。
4.配置<VirtualHost>塊為站點(diǎn)啟用SSL安全機(jī)制
下面是一個(gè)簡(jiǎn)單的配置成支持SSL的虛擬主機(jī)例子���。其中列出的粗體部分是必須添加的SSL配置。
<VirtualHost 192.168.0.1:443>DocumentRoot /var/www/html2ServerName www.yourdomain.comSSLEngine onSSLCertificateFile /path/to/your_domain_name.crtSSLCertificateKeyFile /path/to/your_private.keySSLCertificateChainFile /path/to/DigiCertCA.crt</VirtualHost>按照你的證書文件來調(diào)整文件名和路徑�����。
SSLCertificateFile <這里應(yīng)該是你的服務(wù)器證書文件> (例如:your_domain_name.crt)
SSLCertificateKeyFile <這里應(yīng)該是你在創(chuàng)建CSR時(shí)候生成的的密鑰文件>
SSLCertificateChainFile <這里應(yīng)該是 DigiCert 的ICA證書文件> (默認(rèn)為DigiCertCA.crt)
5.在重新啟動(dòng)Apache前先測(cè)試你的配置
通常,最好在重新啟動(dòng)Apache之前測(cè)試你的Apache配置文件以防有錯(cuò)��,這是因?yàn)橐坏┠愕呐渲梦募嬖谡Z法錯(cuò)誤,Apache就再啟動(dòng)不起來了���。運(yùn)行下面的命令:(在一些系統(tǒng)上可能是apache2ctl)
apachectl configtest
6.重新啟動(dòng)Apache
你可以用apachectl命令來停止和啟動(dòng)帶SSL支持的Apache:
apachectl stop
apachectl start
提示:如果Apache不能啟動(dòng)帶SSL支持,請(qǐng)嘗試用“apachectl startssl”替代“apachectl start”�����。如果只有在使用“apache startssl”時(shí)SSL支持才會(huì)加載�����,那我們建議你修改apache的啟動(dòng)配置把SSL支持包含到正常的“apachectl start”命令中�����。要不然的話當(dāng)服務(wù)器重啟時(shí)可能需要你通過“apachectl startssl”來手動(dòng)重新啟動(dòng)Apache�����。這經(jīng)常會(huì)導(dǎo)致<IfDefine SSL>和</IfDefine>標(biāo)記被移而關(guān)閉SSL相關(guān)的配置���。
譯者注:在最新版本的Apache中apachctl腳本的startssl這個(gè)參數(shù)已經(jīng)廢除���。
排除故障:
1.如果你的網(wǎng)站可以被公眾訪問��,我們的 SSL Certificate Tester(即SSL證書測(cè)試)工具能幫助你判斷通?����?赡軙?huì)出現(xiàn)的問題��。
2.求助遷移你的證書到另外的服務(wù)器或者是跨服務(wù)器的平臺(tái)上,請(qǐng)查看這里 OpenSSL export instructions (即OpenSSL導(dǎo)出指南)���。
3.如果你為了符合PCI Compliance requirements (即PCI 兼容列表)需要禁用 SSL version 2 的兼容性時(shí)�����,你需要在你的Apache配置文件中添加下面的指令:
SSLCipherSuite HIGH:+MEDIUM:!SSLv2:!EXP:!ADH:!aNULL:!eNULL:!NULL
如果這條指令已經(jīng)存在�����,你很可能需要修改這條指令來禁用SSL version 2�����。
