在Apache伺服器安裝SSL認證（Windows） - Certificate Management Service

網站使用未加密的HTTP協議時，使用者資料在傳輸過程中容易被竊取，瀏覽器也會提示“不安全”，影響使用者信任和業務安全。通過在Windows Apache伺服器上部署SSL認證，可以啟用HTTPS加密通訊。本文介紹如何在Windows系統上的Apache伺服器部署SSL認證，以及安裝後HTTPS效果驗證等步驟。

適用範圍

開始配置前，確保滿足以下條件：

認證狀態：已擁有由權威機構簽發的 SSL 憑證。若認證即將到期或已到期，請先續約SSL認證。
網域名稱匹配：確保認證能夠匹配所有需保護的網域名稱。如需添加或修改網域名稱，可根據需求購買正式認證或追加和更換網域名稱。
- 精確網域名稱：僅對指定網域名稱生效。
  - example.com 僅對 example.com 生效。
  - www.example.com 僅對 www.example.com 生效。
- 萬用字元網域名稱：僅對其一級子網域名稱生效。
  - *.example.com 對 www.example.com、a.example.com 等一級子網域名稱生效。
  - *.example.com 對根網域名稱 example.com 和多級子網域名稱 a.b.example.com 不生效。
說明
如需匹配多級子網域名稱，綁定網域名稱中需包含該網域名稱（如 a.b.example.com），或包含相應的萬用字元網域名稱（如 *.b.example.com）。
伺服器許可權：需要使用 Administrator 賬戶或一個具有管理員權限的賬戶。
網域名稱解析：網域名稱已配置解析記錄並解析至伺服器的公網 IP。
環境依賴：本文以Windows Server 2025作業系統、Apache-2.x 版本為例介紹。本文中Apache的樣本安裝目錄為C:\Apache24。
說明
不同版本的作業系統或Web伺服器，部署操作可能有所差異。

操作步驟

步驟一：準備SSL認證

進入SSL認證管理頁面，在目標認證操作列單擊更多進入認證詳情頁面，然後在下載頁簽中下載伺服器類型為Apache的認證。
解壓下載的認證壓縮包：
- 若同時包含認證檔案（<綁定網域名稱>_public.crt）、中間認證檔案（<綁定網域名稱>_chain.crt）和私密金鑰檔案（<綁定網域名稱>.key），請妥善儲存上述檔案，後續部署時均需使用。
- 若僅包含認證檔案（<綁定網域名稱>_public.crt）、中間認證檔案（<綁定網域名稱>_chain.crt），不含私密金鑰檔案（<綁定網域名稱>.key），需配合您本地儲存的私密金鑰檔案一起部署。
  說明
  若申請認證時使用 OpenSSL、Keytool 等工具產生 CSR 檔案，私密金鑰檔案僅儲存在您本地，下載的認證包中不包含私密金鑰。如私密金鑰遺失，認證將無法使用，需重新購買正式認證並產生CSR和私密金鑰。
將認證檔案、中間認證檔案和私密金鑰檔案上傳至伺服器，並存放在一個安全的外部目錄（本文樣本路徑為D:\cert）。
說明
以下操作以阿里雲 ECS 為例，其它類型的伺服器請參考其官方文檔。
1. 訪問ECS控制台-執行個體。在頁面左側頂部，選擇目標資源所在的資源群組和地區。
2. 進入目標執行個體詳情頁，單擊遠端連線，選擇通過Workbench遠端連線。根據頁面提示登入，進入伺服器案頭。
3. 單擊伺服器左下角開始菜單，尋找並開啟名為此電腦、電腦或檔案總管的選項。
4. 雙擊重新導向的驅動程式和檔案夾下的***上的workbench，從本地拖動認證檔案至該目錄，然後右鍵重新整理檔案夾。
5. 將目標檔案複製到D:\cert目錄。
  重要
  重新串連、退出執行個體時，Workbench會自動清除該執行個體重新導向的驅動程式和檔案夾中已上傳的所有檔案資訊以節省空間的，該目錄僅用於檔案傳輸，請不要儲存檔案。

步驟二：配置系統與網路環境

開放安全性群組的 443 連接埠。
重要
若您的伺服器部署在雲平台，請確保其安全性群組已開放入方向 443 連接埠 (TCP)，否則外部無法訪問服務。以下操作以阿里雲 ECS 為例，其他雲平台請參考其官方文檔。
1. 進入Elastic Compute Service執行個體頁面，選擇目標 ECS 執行個體所在地區，單擊目標執行個體名稱，進入執行個體詳情頁。
2. 單擊安全性群組 > 內網入方向全部規則，確儲存在一條授權策略為允許、協議類型為 TCP、目的連接埠範圍為 HTTPS(443)、授權對象為任何位置(0.0.0.0/0)的規則。
3. 如不存在上述規則，請參照添加安全性群組規則在目標安全性群組中添加相應規則。
開放伺服器防火牆的443連接埠。
1. 登入Windows伺服器，單擊左下角開始菜單，開啟控制台。
2. 點擊系統和安全 > Windows防火牆 > 檢查防火牆狀態。
3. 如果防火牆處於如下圖的關閉狀態，無需額外操作。
4. 如果防火牆已開啟，請參考以下步驟允許存取HTTPS規則。
  1. 單擊左側進階設定 > 入站規則，檢查是否存在協議為TCP，本地連接埠為443，操作為阻止的入站規則。
  2. 若存在此類規則，需要按右鍵相應規則並選擇屬性，在常規頁簽，將其修改為允許串連並應用。

步驟三：在Apache伺服器部署認證

以管理員權限運行命令提示字元 (cmd.exe)，執行以下操作：

前往Apache的安裝目錄，執行以下命令，檢查Apache的安裝版本。

# 在命令列中，進入Apache安裝目錄下，使用相對路徑執行
.\httpd.exe -v

請根據不同的Apache安裝版本，參考如下步驟修改設定檔。

Apache 2.4.8 及更高版本

合并認證檔案，。
若存在中間認證，需將伺服器憑證檔案（domain_name_public.crt）和中間認證檔案（domain_name_chain.crt）按順序合并為一個完整的憑證鏈結檔案（domain_name_fullchain.pem）。
```
# 將中間認證檔案內容追加到伺服器憑證之後，形成一個完整的憑證鏈結檔案
copy /b domain_name_public.crt + domain_name_chain.crt domain_name_fullchain.pem
```
合并完成後，最終只需要兩個檔案：domain_name_fullchain.pem和domain_name.key。

修改設定檔。

開啟目標設定檔（如：httpd-ssl.conf），增加如下配置：

<VirtualHost *:443>
    
    # 請將example.com替換為您認證綁定的網域名稱。
    ServerName example.com
    
    # SSL引擎開關
    SSLEngine on
    
    # 認證檔案。請使用合并後的實際認證檔案（domain_name_fullchain.pem）路徑。
    # 若無中間認證檔案，請直接使用伺服器憑證檔案（domain_name_public.crt）路徑。
    SSLCertificateFile D:\cert\domain_name_fullchain.pem
    
    # 私密金鑰檔案。請替換為實際的私密金鑰檔案路徑。
    SSLCertificateKeyFile D:\cert\domain_name.key
    
    # 其他配置
    # ...
    
</VirtualHost>

Apache 2.4.7 及更早版本

開啟目標設定檔（如：httpd-ssl.conf），增加如下配置：

<VirtualHost *:443>
    
    # 請將example.com替換為您認證綁定的網域名稱。
    ServerName example.com
    
    # SSL引擎開關
    SSLEngine on
    
    # 認證檔案。請替換為實際的認證檔案路徑。
    SSLCertificateFile D:\cert\domain_name_public.crt
    
    # 憑證鏈結檔案（單獨指定）。請替換為實際的中間認證檔案路徑。
    # 若無中間認證檔案，則無需配置此項
    SSLCertificateChainFile D:\cert\domain_name_chain.crt
    
    # 私密金鑰檔案。請替換為實際的私密金鑰檔案路徑。
    SSLCertificateKeyFile D:\cert\domain_name.key
    
    # 其他配置
    # ...
    
</VirtualHost>

可選：設定HTTP請求自動跳轉到HTTPS。

在目標設定檔中，修改當前網域名稱的<VirtualHost>，添加Rewrite指令：

<VirtualHost *:80>
    ServerName example.com
    RewriteEngine On
    RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

確認以上配置修改完成並儲存後，進入Apache的bin目錄，執行以下命令檢查文法是否有誤。
```
.\httpd.exe -t
```
如果返回 Syntax OK，則表示配置無誤。如果報錯，根據錯誤提示檢查設定檔。
重啟Apache服務。
如果文法正確，執行以下命令重啟服務，以使SSL相關配置生效。
```
.\httpd.exe -k restart
```
說明
也可在Windows的“服務”管理（services.msc）中找到Apache服務並重啟。

步驟四：驗證部署結果

請通過 HTTPS 訪問您已綁定認證的網域名稱（如 https://example.com，example.com 需替換為實際網域名稱）。
若瀏覽器地址欄顯示安全鎖表徵圖，說明認證已成功部署。如訪問異常或未顯示安全鎖，請先清除瀏覽器緩衝或使用無痕（隱私）模式重試。
Chrome 瀏覽器自 117 版本起，地址欄中的已被新的替代，需單擊該表徵圖後查看安全鎖資訊。

說明

如仍有問題，請參考常見問題進行排查。

應用於生產環境

在生產環境部署時，遵循以下最佳實務可提升安全性、穩定性和可維護性：

使用非管理員權限使用者運行：
為應用建立專用的、低許可權的系統使用者，切勿使用擁有管理員權限的賬戶運行應用。
說明
建議使用網關層配置 SSL的方案，即將認證部署在Server Load Balancer上，由其終結 HTTPS 流量，再將解密後的 HTTP 流量轉寄到後端應用。
憑證外部化管理：
切勿將密碼等敏感資訊寫入程式碼在代碼或設定檔中。使用環境變數、Vault 或雲端服務商提供的Key Management Service來注入憑證。
啟用 HTTP 到 HTTPS 強制跳轉：
確保所有通過 HTTP 訪問的流量都被自動重新導向到 HTTPS，防止中間人攻擊。
配置現代 TLS 協議：
在伺服器配置中禁用老舊且不安全的協議（如 SSLv3, TLSv1.0, TLSv1.1），僅啟用 TLSv1.2 和 TLSv1.3。
認證監控與自動續期：
建議在認證部署完成後，為網域名稱開啟網域名稱監控功能。阿里雲將自動檢測認證有效期間，並在認證到期前發送提醒，協助您及時續期，避免服務中斷。具體操作請參見購買並開啟公網網域名稱監控。

常見問題

安裝或更新認證後，認證未生效或 HTTPS 無法訪問

常見原因如下：

伺服器安全性群組或防火牆未開放 443 連接埠。請參見配置系統與網路環境。
認證的綁定網域名稱未包含當前訪問的網域名稱。請參見網域名稱匹配。
修改 Apache 設定檔後，未重啟Apache服務。具體操作可參見檢查並重啟Apache服務。
認證檔案未正確替換，或 Apache 配置未正確指定憑證路徑。請檢查 Apache 設定檔和所用認證檔案是否為最新且有效。
網域名稱已接入 CDN、SLB 或 WAF 等雲產品，但未在相應產品中安裝認證。請參閱流量經過多個雲產品時認證的部署位置完成相關操作。
當前網域名稱的 DNS 解析指向多台伺服器，但認證僅在部分伺服器上安裝。需分別在每個伺服器中安裝認證。

說明

如需進一步排查，請參考：根據瀏覽器錯誤提示解決認證部署問題和 SSL認證部署故障自助排查指南。

如何更新（替換）Apache 中已安裝的 SSL 憑證

請先備份伺服器上原有的認證檔案（.crt，以及.key檔案），然後登入數位憑證管理服務控制台，下載新的認證檔案，並上傳到目標伺服器覆蓋原有檔案（確保路徑和檔案名稱一致）。最後，重啟Apache服務，使新認證生效。