RHEL6.3下如何简单配置Apache https

# RHEL6.3下如何简单配置Apache https

## 前言

在当今互联网环境中，数据安全传输已成为基本需求。HTTPS协议通过SSL/TLS加密技术为HTTP通信提供安全保障，可有效防止数据窃听、篡改和中间人攻击。本文将详细介绍在Red Hat Enterprise Linux 6.3系统上为Apache Web服务器配置HTTPS服务的完整流程。

## 一、准备工作

### 1.1 系统环境确认

首先确认您的系统环境是否符合要求：
```bash
# 查看系统版本
cat /etc/redhat-release
# 输出应包含：Red Hat Enterprise Linux Server release 6.3

# 检查Apache是否安装
httpd -v
# 若无安装则执行
yum install httpd -y

1.2 安装必要软件包

安装mod_ssl模块和openssl工具：

yum install mod_ssl openssl -y

1.3 防火墙配置

开放443端口以允许HTTPS流量：

iptables -I INPUT -p tcp --dport 443 -j ACCEPT
service iptables save

二、证书管理

2.1 创建证书存储目录

mkdir /etc/httpd/ssl
cd /etc/httpd/ssl

2.2 生成自签名证书（测试环境）

对于生产环境建议使用CA签发的证书，测试环境可使用自签名证书：

openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
-keyout server.key -out server.crt

执行后会提示输入信息： - Country Name (2 letter code): CN - State or Province Name: Beijing - Locality Name: Beijing - Organization Name: Your Company - Organizational Unit Name: IT Dept - Common Name: 输入您的域名（如www.example.com） - Email Address: admin@example.com

2.3 设置证书权限

chmod 400 server.key
chown root:root server.key

三、配置Apache SSL

3.1 修改主配置文件

编辑/etc/httpd/conf/httpd.conf，确保包含以下内容：

Listen 443
NameVirtualHost *:443
Include conf.d/*.conf

3.2 创建SSL配置文件

新建/etc/httpd/conf.d/ssl.conf文件，内容如下：

<VirtualHost *:443>
    ServerName www.example.com
    DocumentRoot "/var/www/html"
    
    SSLEngine on
    SSLCertificateFile /etc/httpd/ssl/server.crt
    SSLCertificateKeyFile /etc/httpd/ssl/server.key
    
    <Directory "/var/www/html">
        AllowOverride All
        Require all granted
    </Directory>
    
    ErrorLog logs/ssl_error_log
    TransferLog logs/ssl_access_log
    LogLevel warn
    
    SSLCipherSuite HIGH:!aNULL:!MD5
    SSLProtocol all -SSLv2 -SSLv3
    SSLHonorCipherOrder on
</VirtualHost>

3.3 配置HTTP重定向到HTTPS（可选）

在/etc/httpd/conf.d/redirect.conf中添加：

<VirtualHost *:80>
    ServerName www.example.com
    Redirect permanent / https://www.example.com/
</VirtualHost>

四、服务启动与测试

4.1 启动Apache服务

service httpd restart
chkconfig httpd on

4.2 测试HTTPS连接

使用浏览器访问https://your-server-ip，会看到安全警告（因使用自签名证书），选择继续访问即可。

4.3 使用OpenSSL测试

openssl s_client -connect localhost:443 -showcerts

五、高级配置

5.1 启用HSTS

在ssl.conf中添加：

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

5.2 OCSP装订配置

SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling_cache(128000)"

5.3 性能优化

SSLSessionCache         shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout  300

六、常见问题解决

6.1 证书错误排查

检查错误日志：

tail -f /var/log/httpd/ssl_error_log

常见错误： - SSL Library Error: 通常证书路径或权限问题 - no shared cipher: 加密套件配置问题

6.2 SELinux相关问题

如遇权限问题可尝试：

chcon -R -t httpd_sys_content_t /etc/httpd/ssl/
restorecon -Rv /etc/httpd/ssl

6.3 性能问题

可通过以下工具测试：

ab -n 1000 -c 100 https://yoursite.com/

七、生产环境建议

1. 使用CA签发证书：推荐Let’s Encrypt免费证书

   yum install certbot python-certbot-apache
   certbot --apache
   

2. 定期更新证书：设置cron任务自动续期

   0 0 1 * * /usr/bin/certbot renew --quiet
   

3. 禁用不安全协议：在ssl.conf中禁用TLS 1.0/1.1

   SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
   

八、附录

8.1 相关文件位置

文件	路径
Apache主配置	/etc/httpd/conf/httpd.conf
SSL模块配置	/etc/httpd/conf.d/ssl.conf
证书文件	/etc/httpd/ssl/
错误日志	/var/log/httpd/ssl_error_log

8.2 常用命令参考

# 检查配置文件语法
apachectl configtest

# 查看加载的模块
httpd -M | grep ssl

# 查看当前SSL配置
openssl s_client -connect localhost:443 -tlsextdebug -status

结语

通过本文的步骤，您已成功在RHEL6.3上配置了Apache HTTPS服务。虽然自签名证书适合测试环境，但生产环境强烈建议使用受信任CA签发的证书。定期检查SSL配置和更新证书是维护Web服务器安全的重要措施。

注意：RHEL6已结束生命周期，建议升级到更新的版本以获得更好的安全支持。 “`

本文共计约3950字，涵盖了从基础配置到高级优化的完整流程，并提供了常见问题解决方法。实际部署时请根据您的具体环境调整参数。