标签:include keystore engine ble root 报错 file 部分 host
目前公司很多网站但是访问网站的时候都是类似下面的网址:在网址的左上角会明显的提示不安全字样,这也就是说客户端与服务器的连接没有安全保证,客户端的信息全部暴露在互联网上,会让客户有一种不安全感,跟着这个问题我们对目前公司的业务网站进行了改造,改造后访问如下:这样就会提示安全字样。
腾讯证书申请下来会有ssl证书的安装文档
(https://cloud.tencent.com/document/product/400/4143#3.-iis-.E8.AF.81.E4.B9.A6.E9.83.A8.E7.BD.B2),下面为我们自己的操作如下:
l 证书
证书网上有很多付费的,腾讯网站上有免费的申请,有效期为一年地址(https://buy.cloud.tencent.com/ssl?fromSource=ssl).
下载下来的证书解压会得到下面部分
这里我们需要apache和tomcat部分
l apache部分配置
1)安装OpenSSL
yum install mod_ssl openssl
2)
修改apache/httpd.conf,放开Include conf/extra/httpd-ssl.conf的注释,如果没有自己添加一下,网上把这个文件下载一下即可
找到VirtualHost,修改为如以下内容
<VirtualHost 0.0.0.0:443>
DocumentRoot "/var/www/html"(自己的根目录)
ServerName www.domain.com(改成自己的域名)
JkMount /* loadbalancer_a#配置转发地址,和workder.properties配合使用,把mod_jk.conf里面的地址转发复制一份放到这里,JkWorkersFile不需要,加上就报错了
SSLEngine on
SSLCertificateFile /usr/local/apache/conf/2_www.domain.com_cert.crt(自己证书存放地)
SSLCertificateKeyFile /usr/local/apache/conf/3_www.domain.com.key(自己证书存放地)
SSLCertificateChainFile /usr/local/apache/conf/1_root_bundle.crt(自己证书存放地)
</VirtualHost>
到此为止,配置基本完成。如果想禁止http访问,只开放https的话,把apache/httpd.conf下面的Listen 80注掉就可以了,这样就只开放了443的https端口
l tomcat部分
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true" keystoreFile="d:/tomcat.keystore" keystorePass="123456"
clientAuth="false" sslProtocol="TLS" />
这个8443端口是后放开的,相当于有了4个端口,即在原先的三个端口的基础上,又把这个端口注释打开了,这里的844即原先8080和8009的转发重定向端口
l lvs部分
只要增加转发的端口443即可,例如:
virtual_server 192.168.1.100 443 {
delay_loop 6
lb_algo rr
lb_kind DR
persistence_timeout 7200
protocol TCP
real_server 192.168.1.30 443 {
weight 1
TCP_CHECK {
connect_timeout 10
nb_get_retry 3
delay_before_retry 3
connect_port 80
}
}
}
标签:include keystore engine ble root 报错 file 部分 host
原文地址:https://www.cnblogs.com/1234qq/p/8883935.html
