在Apache伺服器安裝SSL認證 - Certificate Management Service

本文介紹在Apache伺服器上配置單網域名稱或多網域名稱認證、以及萬用字元網域名稱認證的方法，包括認證檔案的下載與上傳、配置認證參數及安裝後的驗證步驟。

適用範圍

開始配置前，確保滿足以下條件：

認證狀態：已擁有由權威機構簽發的 SSL 憑證。若認證即將到期或已到期，請先續約SSL認證。
網域名稱匹配：確保認證能夠匹配所有需保護的網域名稱。如需添加或修改網域名稱，可根據需求購買正式認證或追加和更換網域名稱。
- 精確網域名稱：僅對指定網域名稱生效。
  - example.com 僅對 example.com 生效。
  - www.example.com 僅對 www.example.com 生效。
- 萬用字元網域名稱：僅對其一級子網域名稱生效。
  - *.example.com 對 www.example.com、a.example.com 等一級子網域名稱生效。
  - *.example.com 對根網域名稱 example.com 和多級子網域名稱 a.b.example.com 不生效。
說明
如需匹配多級子網域名稱，綁定網域名稱中需包含該網域名稱（如 a.b.example.com），或包含相應的萬用字元網域名稱（如 *.b.example.com）。
伺服器許可權：需要使用 root 賬戶或一個具有 sudo 許可權的賬戶。
網域名稱解析：網域名稱已配置解析記錄並解析至伺服器的公網 IP。

操作步驟

步驟一：準備認證檔案

進入SSL認證管理頁面，在目標認證操作列單擊更多進入認證詳情頁面，然後在下載頁簽中下載伺服器類型為 Apache 的認證。
解壓下載的認證壓縮包：
- 若同時包含認證檔案（<綁定網域名稱>_public.crt）、憑證鏈結檔案（<綁定網域名稱>_chain.crt）和私密金鑰檔案（<綁定網域名稱>.key），請妥善儲存上述檔案，後續部署時均需使用。
- 若僅包含認證檔案（<綁定網域名稱>_public.crt）、憑證鏈結檔案（<綁定網域名稱>_chain.crt），不含私密金鑰檔案（<綁定網域名稱>.key），需配合您本地儲存的私密金鑰檔案一起部署。
  說明
  若申請認證時使用 OpenSSL、Keytool 等工具產生 CSR 檔案，私密金鑰檔案僅儲存在您本地，下載的認證包中不包含私密金鑰。如私密金鑰遺失，認證將無法使用，需重新購買正式認證並產生CSR和私密金鑰。
將解壓後的認證檔案、憑證鏈結檔案和私密金鑰檔案上傳至伺服器，並存放在一個安全的外部目錄（/etc/ssl/cert目錄）。
說明
您可以使用遠程登入工具的本地檔案上傳功能來上傳檔案。例如PuTTY、Xshell或WinSCP等工具。如果您使用的是阿里雲Elastic Compute Service，關於上傳檔案的具體操作，請參見上傳或下載檔案。

步驟二：配置系統與網路環境

確保安全性群組和防火牆允許外部流量訪問。

在伺服器終端執行以下命令，檢測443連接埠的開放情況：

RHEL/CentOS

command -v nc > /dev/null 2>&1 || sudo yum install -y nc
# 請將以下的 <當前伺服器的公網 IP> 替換為當前伺服器的公網 IP
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l 443 & sleep 1; nc -w 3 -vz <當前伺服器的公網 IP> 443

如果輸出 Ncat: Connected to <當前伺服器公網 IP>:443，則表明443連接埠已開放。否則需在安全性群組和防火牆中開放443連接埠。

Debian/Ubuntu

command -v nc > /dev/null 2>&1 || sudo apt-get install -y netcat
# 請將以下的 <當前伺服器的公網 IP> 替換為當前伺服器的公網 IP
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l -p 443 & sleep 1; nc -w 3 -vz <當前伺服器的公網 IP> 443

若輸出 Connection to <當前伺服器公網 IP> port [tcp/https] succeeded! 或 [<當前伺服器公網 IP>] 443 (https) open，則表明443連接埠已開放。否則需在安全性群組和防火牆中開放443連接埠。

在安全性群組配置開放443連接埠。
重要
若您的伺服器部署在雲平台，請確保其安全性群組已開放 443 連接埠 (TCP)，否則外部無法訪問服務。以下操作以阿里雲 ECS 為例，其他雲平台請參考其官方文檔。
進入Elastic Compute Service執行個體，單擊目標執行個體名稱進入執行個體詳情頁面，請參考添加安全性群組規則，在安全性群組中添加一條授權策略為允許、協議類型為 TCP、目的連接埠範圍為 HTTPS(443)、授權對象為任何位置(0.0.0.0/0)的規則。

在防火牆中開放443連接埠。

執行以下命令，識別系統當前的防火牆服務類型：

if command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet firewalld; then
    echo "firewalld"
elif command -v ufw >/dev/null 2>&1 && sudo ufw status | grep -qw active; then
    echo "ufw"
elif command -v nft >/dev/null 2>&1 && sudo nft list ruleset 2>/dev/null | grep -q 'table'; then
    echo "nftables"
elif command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet iptables; then
    echo "iptables"
elif command -v iptables >/dev/null 2>&1 && sudo iptables -L 2>/dev/null | grep -qE 'REJECT|DROP|ACCEPT'; then
    echo "iptables"
else
    echo "none"
fi

若輸出為 none，則無需進一步操作。否則，請根據輸出的類型（firewalld、ufw、nftables、iptables），執行以下命令開放 443 連接埠：

firewalld

sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reload

ufw

sudo ufw allow 443/tcp

nftables

sudo nft add table inet filter 2>/dev/null
sudo nft add chain inet filter input '{ type filter hook input priority 0; }' 2>/dev/null
sudo nft add rule inet filter input tcp dport 443 counter accept 2>/dev/null

iptables

sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

為避免 iptables 規則在系統重啟後失效，請執行以下命令持久化 iptables 規則：

RHEL/CentOS

sudo yum install -y iptables-services
sudo service iptables save

Debian/Ubuntu

sudo apt-get install -y iptables-persistent
sudo iptables-save | sudo tee /etc/iptables/rules.v4 >/dev/null

步驟三：在Apache伺服器安裝認證

確認 SSL 模組已啟用。
1. 執行以下命令檢查mod_ssl.so是否安裝成功：
  RHEL/CentOS
```
httpd -M | grep 'ssl_module'
```
  Debian/Ubuntu
```
apachectl -M | grep 'ssl_module'
```
  如果模組已安裝並成功載入，您會看到類似如下的輸出（表明 ssl_module 是一個共用模組）：
```
ssl_module (shared)
```
2. 如未安裝，可根據不同Linux發行版執行相應命令安裝mod_ssl.so模組，以啟用SSL功能。
  RHEL/CentOS
```
sudo yum install -y mod_ssl
# 或在較新版本(8.0+)中使用：
sudo dnf install -y mod_ssl
```
  Debian/Ubuntu
```
# 啟用SSL模組（通常已預裝）
sudo a2enmod ssl
```
請執行以下命令，檢查Apache的安裝版本。
RHEL/CentOS
```
httpd -v
```
Debian/Ubuntu
```
apache2 -v
```

請根據不同的Apache安裝版本，參考如下步驟修改設定檔。

Apache 2.4.8 及更高版本（推薦）

合并認證檔案

請參考如下命令，將解壓後的認證檔案（domain_name_public.crt）和憑證鏈結檔案（domain_name_chain.crt）合并為一個檔案。

# 將憑證鏈結檔案內容追加到伺服器憑證之後，形成一個完整的憑證鏈結檔案
cat domain_name_public.crt domain_name_chain.crt > domain_name_fullchain.pem

合并完成後，最終只需要兩個檔案：domain_name_fullchain.pem和domain_name.key。

修改設定檔

編輯SSL虛擬機器主機設定檔。
說明
設定檔通常位於 /etc/httpd/conf.d/ssl.conf 或 /etc/apache2/sites-available/your-site-ssl.conf 中
```
vim /etc/httpd/conf.d/ssl.conf
```

定位至SSL相關的參數，並修改認證配置。

<VirtualHost *:443>
    
    # 請將example.com替換為您認證綁定的網域名稱。
    ServerName example.com
    
    # 認證檔案。請使用合并後的實際認證檔案路徑。
    SSLCertificateFile /etc/ssl/cert/domain_name_fullchain.pem
    
    # 私密金鑰檔案。請替換為實際的私密金鑰檔案路徑。
    SSLCertificateKeyFile /etc/ssl/cert/domain_name.key
    
    # 其他配置
    # ...
    
</VirtualHost>

Apache 2.4.7 及更早版本

準備認證檔案

請確保認證目錄中包含：認證檔案（domain_name_public.crt）、憑證鏈結檔案（domain_name_chain.crt）、私密金鑰檔案（domain_name.key）三個檔案。

修改設定檔

編輯SSL虛擬機器主機設定檔。
說明
設定檔通常位於 /etc/httpd/conf.d/ssl.conf 或 /etc/apache2/sites-available/your-site-ssl.conf 中
```
vim /etc/httpd/conf.d/ssl.conf
```

定位至SSL相關的參數，並修改認證配置。

<VirtualHost *:443>
    
    # 請將example.com替換為您認證綁定的網域名稱。
    ServerName example.com
    
    # 認證檔案。請替換為實際的認證檔案路徑。
    SSLCertificateFile /etc/ssl/cert/domain_name_public.crt
    
    # 憑證鏈結檔案（單獨指定）。請替換為實際的憑證鏈結檔案路徑。
    SSLCertificateChainFile /etc/ssl/cert/domain_name_chain.crt
    
    # 私密金鑰檔案。請替換為實際的私密金鑰檔案路徑。
    SSLCertificateKeyFile /etc/ssl/cert/domain_name.key
    
    # 其他配置
    # ...
    
</VirtualHost>

檢查設定檔文法是否正確。如果輸出 Syntax OK則表示文法正確，可以繼續操作。
RHEL/CentOS
```
sudo httpd -t
```
Debian/Ubuntu
```
sudo apache2ctl -t
```

重載或重啟 Apache 服務。

RHEL/CentOS

# 使用 reload (平滑重載，推薦)
sudo systemctl reload httpd

# 或使用 restart (強制重啟)
sudo systemctl restart httpd

Debian/Ubuntu

# 使用 reload (平滑重載，推薦)
sudo systemctl reload apache2

# 或使用 restart (強制重啟)
sudo systemctl restart apache2

步驟四：驗證部署結果

請通過 HTTPS 訪問您已綁定認證的網域名稱（如 https://example.com，example.com 需替換為實際網域名稱）。
若瀏覽器地址欄顯示安全鎖表徵圖，說明認證已成功部署。如訪問異常或未顯示安全鎖，請先清除瀏覽器緩衝或使用無痕（隱私）模式重試。
Chrome 瀏覽器自 117 版本起，地址欄中的已被新的替代，需單擊該表徵圖後查看安全鎖資訊。

說明

如仍有問題，請參考常見問題進行排查。

應用於生產環境

在生產環境部署時，遵循以下最佳實務可提升安全性、穩定性和可維護性：

使用非管理員權限使用者運行：
為應用建立專用的、低許可權的系統使用者，切勿使用擁有管理員權限的賬戶運行應用。
說明
建議使用網關層配置 SSL的方案，即將認證部署在Server Load Balancer上，由其終結 HTTPS 流量，再將解密後的 HTTP 流量轉寄到後端應用。
憑證外部化管理：
切勿將密碼等敏感資訊寫入程式碼在代碼或設定檔中。使用環境變數、Vault 或雲端服務商提供的Key Management Service來注入憑證。
啟用 HTTP 到 HTTPS 強制跳轉：
確保所有通過 HTTP 訪問的流量都被自動重新導向到 HTTPS，防止中間人攻擊。
配置現代 TLS 協議：
在伺服器配置中禁用老舊且不安全的協議（如 SSLv3, TLSv1.0, TLSv1.1），僅啟用 TLSv1.2 和 TLSv1.3。
認證監控與自動續期：
建議在認證部署完成後，為網域名稱開啟網域名稱監控功能。阿里雲將自動檢測認證有效期間，並在認證到期前發送提醒，協助您及時續期，避免服務中斷。具體操作請參見購買並開啟公網網域名稱監控。

常見問題

安裝或更新認證後，認證未生效或 HTTPS 無法訪問

常見原因如下：

伺服器安全性群組或防火牆未開放 443 連接埠。請參見配置系統與網路環境。
認證的綁定網域名稱未包含當前訪問的網域名稱。請參見網域名稱匹配。
修改 Apache/Apache2設定檔後，未重啟服務。具體操作可參見重載或重啟 Apache 服務。
認證檔案未正確替換，或 Apache 配置未正確指定憑證路徑。請檢查 Apache 設定檔和所用認證檔案是否為最新且有效。
網域名稱已接入 CDN、SLB 或 WAF 等雲產品，但未在相應產品中安裝認證。請參閱流量經過多個雲產品時認證的部署位置完成相關操作。
當前網域名稱的 DNS 解析指向多台伺服器，但認證僅在部分伺服器上安裝。需分別在每個伺服器中安裝認證。

說明

如需進一步排查，請參考：根據瀏覽器錯誤提示解決認證部署問題和 SSL認證部署故障自助排查指南。

瀏覽器提示“認證名稱不匹配”或“NET::ERR_CERT_COMMON_NAME_INVALID”？

當前訪問的網域名稱與認證中綁定的網域名稱不匹配。請參見：網域名稱匹配。

如何更新（替換）Apache 中已安裝的 SSL 憑證

請先備份伺服器上原有的認證檔案（.crt，以及.key檔案），然後登入數位憑證管理服務控制台，下載新的認證檔案，並上傳到目標伺服器覆蓋原有檔案（確保路徑和檔案名稱一致）。最後，重啟Apache服務，使新認證生效。