当前位置: 首页
系统平台
CentOS7自生成证书配置SSL网站详细教程

CentOS7自生成证书配置SSL网站详细教程

热心网友 时间:2026-06-23
转载

在 CentOS 7 / RHEL 7 这类企业级 Linux 发行版上搭建 HTTPS 服务,核心步骤非常清晰:安装必要软件包、配置防火墙放行端口、以及生成并部署 SSL/TLS 证书。下面以域名 server0.vqiu.cn 为例,完整演示整个流程。每一步都附带了可执行的命令和关键注释,方便直接复制运行。

安装 Apache 并调整防火墙

首先安装 httpd 和 mod_ssl 模块,这是启用 SSL 加密通信的基础组件。随后需要将 80、443 和 8080 三个端口添加到防火墙规则中,并执行 reload 使规则即时生效。最后启动 httpd 服务并设置为开机自启。

# 安装Apache及SSL模块
[root@server0 ~]# yum -y install httpd mod_ssl 
 
# 配置防火墙规则,开放指定端口
[root@server0 ~]# firewall-cmd --permanent --add-server=80/tcp
[root@server0 ~]# firewall-cmd --permanent --add-server=443/tcp
[root@server0 ~]# firewall-cmd --permanent --add-server=8080/tcp
firewall-cmd --reload 
 
[root@server0 ~]# systemctl restart httpd
systemctl enable httpd

配置 SELinux 安全上下文与证书目录

当 SELinux 处于 enforcing 强制模式时,必须将 80、443、8080 端口标记为 http_port_t 类型,否则 Apache 将无法正常监听这些端口。通过 semanage port 命令即可完成设置(注意命令正确拼写为 semanage,而非原文中可能存在的笔误)。接着创建专用的证书存放目录并切换到该目录下。

# 配置SELinux安全上下文,允许Apache使用指定端口
[root@server0 ~]# semanage port -a -t http_port_t {80,443,8080} 
[root@server0 ssl]# mkdir /etc/httpd/ssl
cd /etc/httpd/ssl

使用 OpenSSL 生成自签名证书

自签名证书适用于内部测试环境或开发阶段。首先生成带密码保护的私钥,然后去除密码(否则每次重启 httpd 服务都需要手动输入密码)。接着创建证书签名请求(CSR),最后利用 CSR 和私钥签发一张有效期为 3650 天(约10年)的自签名证书。证书生成后,CSR 文件可以根据需要删除,保留也不会影响正常运行。

# 生成带密码的私钥
[root@server0 ssl]# openssl genrsa -des3 -out vqiu.cn.key 2048 
 
# 去除私钥密码保护
[root@server0 ssl]# openssl rsa -in vqiu.cn.key -out vqiu.cn.key
 
# 生成证书签名请求(CSR)和密钥
[root@server0 ssl]# openssl req -new -nodes -key vqiu.cn.key -out vqiu.cn.csr 
 
# 利用CSR和私钥生成自签名证书(以vqiu.cn为例)
[root@server0 ssl]# openssl x509 -req -days 3650 -in vqiu.cn.csr -signkey vqiu.cn.key -out vqiu.cn.crt 
 
# 生成证书后,CSR文件可选择删除(可选步骤)
[root@server0 ssl]# rm vqiu.cn.csr -f

配置虚拟主机与 SSL 参数

编辑 /etc/httpd/conf.d/vqiu.cn.conf 文件,写入以下配置内容。关键点包括:监听 443 端口、启用 SSL 引擎、指定证书与密钥文件路径、禁用不安全的 SSLv2 协议、使用高强度加密套件。最后创建一个简单的测试页面,重启 httpd 服务后即可通过 https://server0.vqiu.cn 进行访问。

[root@server0 ssl]# cat /etc/httpd/conf.d/vqiu.cn.conf 
 
Listen 443 https 
 
 
ServerName server0.vqiu.cn 
DocumentRoot /var/www/html 
SSLEngine on 
SSLProtocol all -SSLv2 
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 
SSLCertificateFile /etc/httpd/ssl/vqiu.cn.crt 
SSLCertificateKeyFile /etc/httpd/ssl/vqiu.cn.key 
 

# 创建测试页面
[root@server0 ssl]# echo "test">/var/www/html/index.html 

# 重启httpd服务以应用配置
[root@server0 ssl]# systemctl restart httpd

按上述步骤操作后,浏览器访问应当能显示绿色的安全锁标识(虽然自签名证书会提示“不安全”,但实际通信已经加密)。如果遇到端口冲突或 SELinux 拒绝访问的问题,首先检查 semanage port 命令是否执行正确,或临时执行 setenforce 0 进行测试排查。生产环境强烈建议使用由受信任的证书颁发机构(CA)签发的正式证书,流程与本教程完全一致,只需将 vqiu.cn.crtvqiu.cn.key 替换为 CA 签发的文件即可。

来源:https://www.jb51.net/os/RedHat/532058.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
Win11频繁断网提示默认网关不可用怎么办

Win11频繁断网提示默认网关不可用怎么办

先聊聊一个很常见的问题:Windows 11 电脑刚连接 Wi-Fi 或插上网线时还能正常访问网络,可几分钟后突然“掉线”,任务栏右下角出现“无 Internet”提示,右键诊断显示“默认网关不可用”。这时候重启电脑或点击“修复”能暂时恢复,但用不了多久又会断开。这说明系统其实已经获得了 IP 地址

时间:2026-07-03 07:44
Mac如何取消正在进行的系统备份任务

Mac如何取消正在进行的系统备份任务

Mac 正在执行时间机器备份时,进度条卡在“正在准备”或“备份中”迟迟不动,磁盘读写与网络带宽被持续占用——这种情形下,大多数用户都希望能立即中断任务。设想这样一个场景:你正赶着安装大型软件,或者急需拔出外接硬盘,但系统却执意继续备份。别担心,这里有一套行之有效的解决方案:先在“活动监视器”中强制退

时间:2026-07-03 07:44
电脑显示器刷新率锁死60Hz无法调整的解决方法

电脑显示器刷新率锁死60Hz无法调整的解决方法

显示器刷新率锁死60Hz时,需检查DP或HDMI线缆版本并更换VESA认证线缆;可通过显示适配器属性勾选隐藏刷新率选项、显卡控制面板自定义时序、清洁安装驱动或使用CRU工具修改EDID强制启用高刷模式。

时间:2026-07-03 07:43
Linux系统下Systemd服务管理从零开始方法步骤详解完整教程

Linux系统下Systemd服务管理从零开始方法步骤详解完整教程

systemctl管理systemd服务,修改配置于 etc systemd system,启用需daemon-reload再enable。查看状态关注Loaded行,masked服务需unmask并重载恢复。reload发SIGHUP,restart中断连接,reload-or-restart自动降级。日常禁用优先用disable。

时间:2026-07-03 07:43
Mac如何取消同步iPhone书签和历史记录

Mac如何取消同步iPhone书签和历史记录

彻底关闭iCloudSafari同步并选择“保留在Mac上”,然后手动删除书签文件夹或清理~ Library Safari Bookmarks plist文件,最后通过iCloud官网确认同步已失效,即可彻底清除Mac上的iPhone同步书签。

时间:2026-07-03 07:43
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 日榜
  • 周榜
  • 月榜