[Centos7] HTTPS/SSL憑證的SELINUX設置 @新精讚

[無邊框]

4706

[Centos7] HTTPS/SSL憑證的SELINUX設置

“

把申請來的憑證檔放到指定的位置後，沒辦法啟動，怎麼辦？

„

分享此文連結 //n.sfs.tw/12047

分享連結 [Centos7] HTTPS/SSL憑證的SELINUX設置@新精讚

(文章歡迎轉載，務必尊重版權註明連結來源)

2021-07-20 15:53:48 最後編修

2017-11-20 01:23:42 By 張○○

自動目錄

放置憑證檔
- /etc/pki/tls/certs/
- /etc/pki/tls/private/
安裝 mod_ssl
編輯 ssl.conf
SELINUX 設置
防火牆
HTTP指定到HTTPS
相關連結

要讓網頁支援SSL，先決條件，你得申請或購買SSL的憑證，取回的憑證會有以下檔案。

放置憑證檔

/etc/pki/tls/certs/

root.cer, server.cer, server-chain.cer(不一定有中繼憑證)

/etc/pki/tls/private/

privatekey.key

安裝 mod_ssl

檢查 mod_ssl

rpm -qa | grep mod_ssl

如果沒有顯示任何東囑，請安裝

dnf install mod_ssl

編輯 ssl.conf

# vi /etc/httpd/conf.d/ssl.conf

SSLCertificateFile /etc/pki/tls/certs/server.cer
SSLCertificateKeyFile /etc/pki/tls/private/privatekey.key
SSLCACertificateFile /etc/pki/tls/certs/root.cer

# 中繼視情況加上，無則省略
SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt

完整ssl.conf 範列

Listen 443 https
<VirtualHost _default_:443>
    SSLEngine on
    DocumentRoot /home/ddns/public_html
    ServerName ddnss.tc.edu.tw
    <Directory "/home/ddns/public_html">
        Options -Indexes
        AllowOverride All
        Require all granted
    </Directory>
SSLCertificateFile /etc/pki/tls/certs/your_certificate.crt
SSLCertificateKeyFile /etc/pki/tls/private/your_private.key
SSLCACertificateFile /etc/pki/tls/certs/your_ca_certificate.crt
# SSLCertificateChainFile /etc/pki/tls/certs/your_cert_chain.crt
</VirtualHost>

SELINUX 設置

上面的所有憑證檔案，你都得給他們 cert_t 的type

# chcon -u system_u -t cert_t *.cer

# chcon -u system_u -t cert_t privatekey.key

如果沒設置SELINUX，重啟APACHE後，會出現這樣的錯誤，竟然系統說找不到檔案？？

11月 20 00:55:40 example.com httpd[21960]: AH00526: Syntax error on line 102 of /etc/httpd/conf.d/ssl.conf:
11月 20 00:55:40 example.com httpd[21960]: SSLCertificateFile: file '/etc/pki/tls/certs/server.cer' does not exist or is empty

防火牆

# firewall-cmd --zone=public --add-port=443/tcp --permanent

HTTP指定到HTTPS

這個放在你原本的80埠設定裡

<VirtualHost *:80>
...
RewriteEngine on
RewriteCond %{SERVER_NAME} =example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

重啟 APACHE

你可能感興趣的文章

安裝網頁套件管理程式 Bower 一個非常棒的Javascript套件管理程式bower，用完愛不釋手。

Centos7 的ifconfig和netstat Centos7 和RHEL 7 最小安裝中竟然沒有ifconfig和netstat？原來centos/rhel準備把這兩個指令作廢，那怎麼辦？

使用GPG檔案加解密簡易的檔案加解密方式，可以讓你重要的資料包括文字檔加解密。

[Centos7] 安裝php套件管理程式Composer+ Codeignioter3 很多人在用的套件管理程式 Composer+ Codeignioter3+ 指定安裝目錄

[Redhat Linux9] 安裝docker+ docker compose+ apache+ maraidb+ phpmyadmin+ php7 Rocky Linux(Centos9) 下安裝docker及docker compose

PHP for sphinx 函式庫安裝 PECL/sphinx PHP>= 5.2.2 已經能原生支援 sphinx，可是預設的沒有裝，我們得自己裝才能用

隨機好文

沒有非誰做不可的事，也沒有不可被取代的人沒有非誰做不可的事，也沒有不可被取代的人

好用的3+2碼郵遞區號查詢系統推薦網路上找到用地址輸入判斷3+2碼郵遞區號的辨識率不高，除了這個網站…

精讚的版面變化 ▓此文僅作為舊文的記錄▓ 這篇文章為了紀念改版完成而撰寫。原本的部落格是民國97年的作品，那時還是用舊有的技術來寫，很

[AS3] FLASH 引入外部as檔 FLASH AS3中，若要引用另外撰寫的 class(*.as) 檔案，該如何處理？

[CodeIgniter 3] 自寫找不到頁面(page404)的方法使用CI3框架中如果找不到頁面，就會導到一個自定的404頁面，該怎麼做？

放置憑證檔
- /etc/pki/tls/certs/
- /etc/pki/tls/private/
安裝 mod_ssl
編輯 ssl.conf
SELINUX 設置
防火牆
HTTP指定到HTTPS
相關連結

到最底端