什么是通配符SSL证书？

在开始配置之前，我们先搞清楚什么是通配符SSL证书。简单来说，通配符SSL证书就像是一把"万能钥匙"，它可以保护一个主域名及其所有子域名。比如你有一个`*.example.com`的通配符证书，那么`www.example.com`、`mail.example.com`、`shop.example.com`等等都可以使用同一个证书。

与普通SSL证书相比，通配符证书有两个主要优势：

1. 成本效益：你不需要为每个子域名单独购买证书

2. 管理方便：只需维护一个证书就能保护所有子域名

准备工作

在配置Apache使用通配符SSL证书前，你需要准备好以下几样东西：

1. 已经获得的通配符SSL证书文件（通常包括三个部分）：

- 你的域名证书（如：`yourdomain.crt`）

- 中间CA证书（如：`intermediate.crt`）

- 私钥文件（如：`private.key`）

2. 确保Apache已安装并启用了SSL模块：

```bash

sudo a2enmod ssl

sudo systemctl restart apache2

```

3. 确认服务器443端口开放（可以通过以下命令检查）：

sudo netstat -tulnp | grep 443

详细配置步骤

第一步：上传证书文件

将你的证书文件上传到服务器的一个安全目录，通常建议放在：

```

/etc/apache2/ssl/

如果目录不存在，可以创建它：

```bash

sudo mkdir -p /etc/apache2/ssl/

第二步：合并中间CA和主证书

为了正确配置Apache，我们需要将主域名的CRT文件和中间CA的CRT文件合并：

sudo cat yourdomain.crt intermediate.crt > /etc/apache2/ssl/yourdomain-combined.crt

这样做的原因是Apache需要一个包含完整信任链的证书文件。

第三步：修改Apache SSL配置文件

找到你的Apache SSL配置文件位置。根据不同的Linux发行版和Apache版本，可能有以下几种情况：

- Ubuntu/Debian: `/etc/apache2/sites-available/default-ssl.conf`

- CentOS/RHEL: `/etc/httpd/conf.d/ssl.conf`

用文本编辑器打开相应文件进行编辑：

sudo nano /etc/apache2/sites-available/default-ssl.conf

找到或添加以下关键配置项：

```apache

ServerName example.com

ServerAlias *.example.com

SSLEngine on

SSLCertificateFile /etc/apache2/ssl/yourdomain-combined.crt

SSLCertificateKeyFile /etc/apache2/ssl/private.key

其他配置...

第四步：测试并重启Apache

在正式重启前，先测试配置文件是否有语法错误：

sudo apachectl configtest

如果没有问题，你会看到"Syntax OK"的提示。然后重启Apache服务使更改生效：

sudo systemctl restart apache2

常见问题及解决方案

问题1：浏览器显示"不安全"警告

可能原因及解决方法：

1. 信任链不完整 → 确保已正确合并中间CA和主证书（参考第二步）

2. 时间不同步 → 使用命令 `date` 检查服务器时间是否正确同步

问题2：某些子域名无法识别通配符证书

1. ServerAlias未正确设置 → Apache配置中必须包含 `ServerAlias *.example.com`

2. DNS解析问题 → 使用 `dig subdomain.example.com`检查DNS记录是否正确指向服务器IP

问题3：性能下降明显

如果启用HTTPS后网站变慢：

1. 启用OCSP Stapling减少验证时间 → 在配置中添加：

```apache

SSLUseStapling on

SSLStaplingCache "shmcb:logs/stapling-cache(150000)"

HTTPS最佳实践建议

除了基本的通配符SSL配置外，我还建议你做以下安全增强措施：

1. 强制HTTPS重定向

在80端口的VirtualHost中添加重定向规则：

ServerName example.com

ServerAlias *.example.com

Redirect permanent / https://%{HTTP_HOST}%{REQUEST_URI}

2. 启用HSTS

添加以下头部强制浏览器只使用HTTPS连接：

```apache

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

3. 选择更安全的加密套件

禁用老旧不安全的协议和加密算法：

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1

4.定期更新和监控

设置提醒更新即将过期的通配符SSL证书。可以使用Let's Encrypt的自动续期功能或商业CA提供的提醒服务。

5.日志监控

监控错误日志中与SSL相关的警告信息:

6.性能优化

7.多服务器同步

通过以上步骤和最佳实践,你已经成功为Apache服务器配置了通配符SSL

TAG:apache怎么配置通配符ssl证书,apache基本配置,apache配置文件详解,apache配置https协议,apache如何配置