CentOS7自生成证书配置SSL网站详细教程
在 CentOS 7 / RHEL 7 这类企业级 Linux 发行版上搭建 HTTPS 服务,核心步骤非常清晰:安装必要软件包、配置防火墙放行端口、以及生成并部署 SSL/TLS 证书。下面以域名 server0.vqiu.cn 为例,完整演示整个流程。每一步都附带了可执行的命令和关键注释,方便直接复制运行。
安装 Apache 并调整防火墙
首先安装 httpd 和 mod_ssl 模块,这是启用 SSL 加密通信的基础组件。随后需要将 80、443 和 8080 三个端口添加到防火墙规则中,并执行 reload 使规则即时生效。最后启动 httpd 服务并设置为开机自启。
# 安装Apache及SSL模块 [root@server0 ~]# yum -y install httpd mod_ssl # 配置防火墙规则,开放指定端口 [root@server0 ~]# firewall-cmd --permanent --add-server=80/tcp [root@server0 ~]# firewall-cmd --permanent --add-server=443/tcp [root@server0 ~]# firewall-cmd --permanent --add-server=8080/tcp firewall-cmd --reload [root@server0 ~]# systemctl restart httpd systemctl enable httpd
配置 SELinux 安全上下文与证书目录
当 SELinux 处于 enforcing 强制模式时,必须将 80、443、8080 端口标记为 http_port_t 类型,否则 Apache 将无法正常监听这些端口。通过 semanage port 命令即可完成设置(注意命令正确拼写为 semanage,而非原文中可能存在的笔误)。接着创建专用的证书存放目录并切换到该目录下。
# 配置SELinux安全上下文,允许Apache使用指定端口
[root@server0 ~]# semanage port -a -t http_port_t {80,443,8080}
[root@server0 ssl]# mkdir /etc/httpd/ssl
cd /etc/httpd/ssl
使用 OpenSSL 生成自签名证书
自签名证书适用于内部测试环境或开发阶段。首先生成带密码保护的私钥,然后去除密码(否则每次重启 httpd 服务都需要手动输入密码)。接着创建证书签名请求(CSR),最后利用 CSR 和私钥签发一张有效期为 3650 天(约10年)的自签名证书。证书生成后,CSR 文件可以根据需要删除,保留也不会影响正常运行。
# 生成带密码的私钥 [root@server0 ssl]# openssl genrsa -des3 -out vqiu.cn.key 2048 # 去除私钥密码保护 [root@server0 ssl]# openssl rsa -in vqiu.cn.key -out vqiu.cn.key # 生成证书签名请求(CSR)和密钥 [root@server0 ssl]# openssl req -new -nodes -key vqiu.cn.key -out vqiu.cn.csr # 利用CSR和私钥生成自签名证书(以vqiu.cn为例) [root@server0 ssl]# openssl x509 -req -days 3650 -in vqiu.cn.csr -signkey vqiu.cn.key -out vqiu.cn.crt # 生成证书后,CSR文件可选择删除(可选步骤) [root@server0 ssl]# rm vqiu.cn.csr -f
配置虚拟主机与 SSL 参数
编辑 /etc/httpd/conf.d/vqiu.cn.conf 文件,写入以下配置内容。关键点包括:监听 443 端口、启用 SSL 引擎、指定证书与密钥文件路径、禁用不安全的 SSLv2 协议、使用高强度加密套件。最后创建一个简单的测试页面,重启 httpd 服务后即可通过 https://server0.vqiu.cn 进行访问。
[root@server0 ssl]# cat /etc/httpd/conf.d/vqiu.cn.confListen 443 https ServerName server0.vqiu.cn DocumentRoot /var/www/html SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 SSLCertificateFile /etc/httpd/ssl/vqiu.cn.crt SSLCertificateKeyFile /etc/httpd/ssl/vqiu.cn.key # 创建测试页面 [root@server0 ssl]# echo "test">/var/www/html/index.html # 重启httpd服务以应用配置 [root@server0 ssl]# systemctl restart httpd
按上述步骤操作后,浏览器访问应当能显示绿色的安全锁标识(虽然自签名证书会提示“不安全”,但实际通信已经加密)。如果遇到端口冲突或 SELinux 拒绝访问的问题,首先检查 semanage port 命令是否执行正确,或临时执行 setenforce 0 进行测试排查。生产环境强烈建议使用由受信任的证书颁发机构(CA)签发的正式证书,流程与本教程完全一致,只需将 vqiu.cn.crt 和 vqiu.cn.key 替换为 CA 签发的文件即可。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
Win11频繁断网提示默认网关不可用怎么办
先聊聊一个很常见的问题:Windows 11 电脑刚连接 Wi-Fi 或插上网线时还能正常访问网络,可几分钟后突然“掉线”,任务栏右下角出现“无 Internet”提示,右键诊断显示“默认网关不可用”。这时候重启电脑或点击“修复”能暂时恢复,但用不了多久又会断开。这说明系统其实已经获得了 IP 地址
Mac如何取消正在进行的系统备份任务
Mac 正在执行时间机器备份时,进度条卡在“正在准备”或“备份中”迟迟不动,磁盘读写与网络带宽被持续占用——这种情形下,大多数用户都希望能立即中断任务。设想这样一个场景:你正赶着安装大型软件,或者急需拔出外接硬盘,但系统却执意继续备份。别担心,这里有一套行之有效的解决方案:先在“活动监视器”中强制退
电脑显示器刷新率锁死60Hz无法调整的解决方法
显示器刷新率锁死60Hz时,需检查DP或HDMI线缆版本并更换VESA认证线缆;可通过显示适配器属性勾选隐藏刷新率选项、显卡控制面板自定义时序、清洁安装驱动或使用CRU工具修改EDID强制启用高刷模式。
Linux系统下Systemd服务管理从零开始方法步骤详解完整教程
systemctl管理systemd服务,修改配置于 etc systemd system,启用需daemon-reload再enable。查看状态关注Loaded行,masked服务需unmask并重载恢复。reload发SIGHUP,restart中断连接,reload-or-restart自动降级。日常禁用优先用disable。
Mac如何取消同步iPhone书签和历史记录
彻底关闭iCloudSafari同步并选择“保留在Mac上”,然后手动删除书签文件夹或清理~ Library Safari Bookmarks plist文件,最后通过iCloud官网确认同步已失效,即可彻底清除Mac上的iPhone同步书签。
- 日榜
- 周榜
- 月榜
相关攻略
2026-07-03 07:44
2026-07-03 07:44
2026-07-03 07:43
2026-07-03 07:43
2026-07-03 07:43
2026-07-03 07:43
2026-07-03 07:43
2026-07-03 07:42
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程
热门话题

