Let's Encrypt是一個免費SSL證書發行項目,發行的證書已經獲得主流瀏覽器的支持,親測谷歌瀏覽器(桌面版)、火狐瀏覽器(桌面版)、UC瀏覽器(手機版)、360瀏覽器(手機版)支持,其它的暫沒測試; 本文講解如何使用Let's Encrypt獲得免費SSL證書,配置apache的SSL功能, ...
Let's Encrypt是一個免費SSL證書發行項目,發行的證書已經獲得主流瀏覽器的支持,親測谷歌瀏覽器(桌面版)、火狐瀏覽器(桌面版)、UC瀏覽器(手機版)、360瀏覽器(手機版)支持,其它的暫沒測試;
本文講解如何使用Let's Encrypt獲得免費SSL證書,配置apache的SSL功能,並將請求轉發到tomcat
大致思路如下:
1.使用Let's Encrypt獲得SSL證書
2.開啟apache的SSL功能,用戶請求首先到apache,使用http協議或者https協議
3.apache將請求轉發到tomcat上,使用http協議或者ajp協議
這樣做的原因有以下幾點:
1.我的網站是java編寫的,需要一個類似於tomcat的servlet容器
2.雖然tomcat也支持ssl,但Let's Encrypt原生支持apache,所以在apache上配置ssl比較簡單
3.apache處理靜態資源的能力 比tomcat好
4.可以配置多個tomcat實現負載均衡,可以在不終止服務的情況下重啟tomcat
一、安裝Let's Encrypt
Let's Encrypt的項目主頁是 https://github.com/certbot/certbot ,可以使用git下載,也可以到主頁直接下載ZIP壓縮包
進入文件夾中,執行如下命令,之後Let's Encrypt會安裝一些軟體
./letsencrypt-auto --help
二、安裝apache
在centos7中安裝apache的命令
yum install httpd
在centos7中安裝apache的ssl模塊
yum install mod_ssl
在ubuntu中安裝apache
sudo apt-get install apache2
三、安裝tomcat
到官網下載一個tomcat,解壓就能用,當然先要裝jre
四、配置apache
我安裝的版本是2.4.6,這個版本的配置和其它版本不太一樣
在centos7中apache配置文件的路徑是/etc/httpd/conf/httpd.conf , ssl模塊的配置文件的路徑是/etc/httpd/conf.d/ssl.conf
在ubuntu中apache配置文件的路徑是/etc/apache2/apache2.conf
修改httpd.conf文件
添加如下代碼,功能是將http協議的請求自動跳轉到https協議
RewriteEngine on RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]
修改ssl.conf文件
將Listen 443 https 刪掉,不然會和後邊的虛擬主機配置衝突
將<VirtualHost *:443>標簽中#ServerName www.example.com:443 前邊的#去掉,功能變數名稱改為自己的功能變數名稱,Let's Encrypt生成的證書就是綁定這個功能變數名稱的,我試過改成ip後,Let's Encrypt不支持
在<VirtualHost *:443>標簽中添加以下代碼, 功能是將所有請求轉發到tomcat伺服器 ,這裡用的是ajp協議,如果想用http協議,將ajp改為http,8009改為8080
ProxyVia On ProxyRequests Off ProxyPass / ajp://127.0.0.1:8009/ ProxyPassReverse / ajp://127.0.0.1:8009/ <Proxy *> Require all granted </Proxy> <Location /> Require all granted </Location>
配置文件改好後,使用httpd -t命令檢查配置文件是否有錯誤,沒錯誤的話,就可以使用service httpd start啟動服務
啟動服務的時候還出了一個錯誤:AH00558: httpd: Could not reliably determine the server's fully qualified domain name,將httpd.conf中#ServerName localhost:80的#去掉,localhost改為實際的ip就好了
五、生成證書
Let's Encrypt支持3種認證方式
--apache Use the Apache plugin for authentication & installation
--standalone Run a standalone webserver for authentication
--webroot Place files in a server's webroot folder for authentication
這裡使用apache的認證方式,命令如下,
./letsencrypt-auto --apache --apache-le-vhost-ext /etc/httpd/conf.d/ssl.conf --register-unsafely-without-email
--apache-le-vhost-ext參數指定配置虛擬主機的配置文件;--register-unsafely-without-email參數是忽略郵箱,如果沒有這個參數,Let's Encrypt會要求輸入郵箱,我輸入foxmail郵箱,卻提示無效,不知道為什麼
證書生成後會放在/etc/letsencrypt/live/www.example.com/目錄中,Let's Encrypt會自動修改ssl.conf文件,關聯證書
六、運行apache、tomcat
運行tomcat並輸出日誌
cd /etc/tomcat sh bin/startup.sh;tail -f logs/catalina.out
運行apache
service httpd start
七、其它
總的來說配置過程很簡單,但對於沒做過的人來說卻很困難。比如說我就花了一周多時間研究這個,網上的資料和我電腦上總是有些差異,文件路徑不對啊,有些配置項沒有啊什麼的。我先在自己的ubuntu上搞的,弄了幾天也不行,只好放棄治療,直接在伺服器上的centos上搞,結果一天就弄好了,呵呵!
我的網站是小雲工作室(www.xiaoyun.studio) ,我就是給這個網站弄的https
這是一些參考網站:
