在Apache服务器安装SSL证书_数字证书管理服务（原SSL证书）(SSL Certificate)-阿里云帮助中心

本文介绍在Apache服务器上配置单域名或多域名证书、以及通配符域名证书的方法，包括证书文件的下载与上传、配置证书参数及安装后的验证步骤。

重要

如有问题，请联系产品技术专家进行咨询，详情请参见专家一对一服务。

适用范围

开始配置前，确保满足以下条件：

证书状态：已拥有由权威机构签发的 SSL 证书。若证书即将过期或已过期，请先续费SSL证书。
域名匹配：确保证书能够匹配所有需保护的域名。如需添加或修改，请参见追加和更换域名。
- 精确域名：仅对指定域名生效。
  - example.com 仅对 example.com 生效。
  - www.example.com 仅对 www.example.com 生效。
- 通配符域名：仅对其一级子域名生效。
  - *.example.com 对 www.example.com、a.example.com 等一级子域名生效。
  - *.example.com 对根域名 example.com 和多级子域名 a.b.example.com 不生效。
说明
如需匹配多级子域名，绑定域名中需包含该域名（如 a.b.example.com），或包含相应的通配符域名（如 *.b.example.com）。
服务器权限：需要使用 root 账户或一个具有 sudo 权限的账户。
域名备案与解析：
- ICP 备案：域名已完成工信部 ICP 备案（仅适用于中国内地服务器）。
- 域名解析：域名已通过 A 记录解析至服务器的公网 IP。
说明
可访问网络诊断分析工具，输入域名，检查 DNS 服务商解析结果和备案检查项，确保满足要求。

操作步骤

步骤一：准备证书文件

进入SSL证书管理页面，在目标证书操作列单击更多进入证书详情页面，然后在下载页签中下载服务器类型为 Apache 的证书。
解压下载的证书压缩包：
- 若同时包含证书文件（<绑定域名>_public.crt）、证书链文件（<绑定域名>_chain.crt）和私钥文件（<绑定域名>.key），请妥善保存上述文件，后续部署时均需使用。
- 若仅包含证书文件（<绑定域名>_public.crt）、证书链文件（<绑定域名>_chain.crt），不含私钥文件（<绑定域名>.key），需配合您本地保存的私钥文件一起部署。
  说明
  若申请证书时使用 OpenSSL、Keytool 等工具生成 CSR 文件，私钥文件仅保存在您本地，下载的证书包中不包含私钥。如私钥遗失，证书将无法使用，需重新购买正式证书并生成CSR和私钥。
将解压后的证书文件、证书链文件和私钥文件上传至服务器，并存放在一个安全的外部目录（/etc/ssl/cert目录）。
说明
您可以使用远程登录工具的本地文件上传功能来上传文件。例如PuTTY、Xshell或WinSCP等工具。如果您使用的是阿里云云服务器 ECS，关于上传文件的具体操作，请参见上传或下载文件。

步骤二：配置系统与网络环境

确保安全组和防火墙允许外部流量访问。

在服务器终端执行以下命令，检测443端口的开放情况：

RHEL/CentOS

command -v nc > /dev/null 2>&1 || sudo yum install -y nc
# 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443

如果输出 Ncat: Connected to <当前服务器公网 IP>:443，则表明443端口已开放。否则需在安全组和防火墙中开放443端口。

Debian/Ubuntu

command -v nc > /dev/null 2>&1 || sudo apt-get install -y netcat
# 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l -p 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443

若输出 Connection to <当前服务器公网 IP> port [tcp/https] succeeded! 或 [<当前服务器公网 IP>] 443 (https) open，则表明443端口已开放。否则需在安全组和防火墙中开放443端口。

在安全组配置开放443端口。
重要
若您的服务器部署在云平台，请确保其安全组已开放 443 端口 (TCP)，否则外部无法访问服务。以下操作以阿里云 ECS 为例，其他云平台请参考其官方文档。
进入云服务器ECS实例，单击目标实例名称进入实例详情页面，请参考添加安全组规则，在安全组中添加一条授权策略为允许、协议类型为 TCP、目的端口范围为 HTTPS(443)、授权对象为任何位置(0.0.0.0/0)的规则。

在防火墙中开放443端口。

执行以下命令，识别系统当前的防火墙服务类型：

if command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet firewalld; then
    echo "firewalld"
elif command -v ufw >/dev/null 2>&1 && sudo ufw status | grep -qw active; then
    echo "ufw"
elif command -v nft >/dev/null 2>&1 && sudo nft list ruleset 2>/dev/null | grep -q 'table'; then
    echo "nftables"
elif command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet iptables; then
    echo "iptables"
elif command -v iptables >/dev/null 2>&1 && sudo iptables -L 2>/dev/null | grep -qE 'REJECT|DROP|ACCEPT'; then
    echo "iptables"
else
    echo "none"
fi

若输出为 none，则无需进一步操作。否则，请根据输出的类型（firewalld、ufw、nftables、iptables），执行以下命令开放 443 端口：

firewalld

sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reload

ufw

sudo ufw allow 443/tcp

nftables

sudo nft add table inet filter 2>/dev/null
sudo nft add chain inet filter input '{ type filter hook input priority 0; }' 2>/dev/null
sudo nft add rule inet filter input tcp dport 443 counter accept 2>/dev/null

iptables

sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

为避免 iptables 规则在系统重启后失效，请执行以下命令持久化 iptables 规则：

RHEL/CentOS

sudo yum install -y iptables-services
sudo service iptables save

Debian/Ubuntu

sudo apt-get install -y iptables-persistent
sudo iptables-save | sudo tee /etc/iptables/rules.v4 >/dev/null

步骤三：在Apache服务器安装证书

确认 SSL 模块已启用。
1. 执行以下命令检查mod_ssl.so是否安装成功：
  RHEL/CentOS
```
httpd -M | grep 'ssl_module'
```
  Debian/Ubuntu
```
apachectl -M | grep 'ssl_module'
```
  如果模块已安装并成功加载，您会看到类似如下的输出（表明 ssl_module 是一个共享模块）：
```
ssl_module (shared)
```
2. 如未安装，可根据不同Linux发行版执行相应命令安装mod_ssl.so模块，以启用SSL功能。
  RHEL/CentOS
```
sudo yum install -y mod_ssl
# 或在较新版本(8.0+)中使用：
sudo dnf install -y mod_ssl
```
  Debian/Ubuntu
```
# 启用SSL模块（通常已预装）
sudo a2enmod ssl
```
请执行以下命令，检查Apache的安装版本。
RHEL/CentOS
```
httpd -v
```
Debian/Ubuntu
```
apache2 -v
```

请根据不同的Apache安装版本，参考如下步骤修改配置文件。

Apache 2.4.8 及更高版本（推荐）

合并证书文件

请参考如下命令，将解压后的证书文件（domain_name_public.crt）和证书链文件（domain_name_chain.crt）合并为一个文件。

# 将证书链文件内容追加到服务器证书之后，形成一个完整的证书链文件
cat domain_name_public.crt domain_name_chain.crt > domain_name_fullchain.pem

合并完成后，最终只需要两个文件：domain_name_fullchain.pem和domain_name.key。

修改配置文件

编辑SSL虚拟主机配置文件。
说明
配置文件通常位于 /etc/httpd/conf.d/ssl.conf 或 /etc/apache2/sites-available/your-site-ssl.conf 中
```
vim /etc/httpd/conf.d/ssl.conf
```

定位至SSL相关的参数，并修改证书配置。

<VirtualHost *:443>
    
    # 请将example.com替换为您证书绑定的域名。
    ServerName example.com
    
    # 证书文件。请使用合并后的实际证书文件路径。
    SSLCertificateFile /etc/ssl/cert/domain_name_fullchain.pem
    
    # 私钥文件。请替换为实际的私钥文件路径。
    SSLCertificateKeyFile /etc/ssl/cert/domain_name.key
    
    # 其他配置
    # ...
    
</VirtualHost>

Apache 2.4.7 及更早版本

准备证书文件

请确保证书目录中包含：证书文件（domain_name_public.crt）、证书链文件（domain_name_chain.crt）、私钥文件（domain_name.key）三个文件。

修改配置文件

编辑SSL虚拟主机配置文件。
说明
配置文件通常位于 /etc/httpd/conf.d/ssl.conf 或 /etc/apache2/sites-available/your-site-ssl.conf 中
```
vim /etc/httpd/conf.d/ssl.conf
```

定位至SSL相关的参数，并修改证书配置。

<VirtualHost *:443>
    
    # 请将example.com替换为您证书绑定的域名。
    ServerName example.com
    
    # 证书文件。请替换为实际的证书文件路径。
    SSLCertificateFile /etc/ssl/cert/domain_name_public.crt
    
    # 证书链文件（单独指定）。请替换为实际的证书链文件路径。
    SSLCertificateChainFile /etc/ssl/cert/domain_name_chain.crt
    
    # 私钥文件。请替换为实际的私钥文件路径。
    SSLCertificateKeyFile /etc/ssl/cert/domain_name.key
    
    # 其他配置
    # ...
    
</VirtualHost>

检查配置文件语法是否正确。如果输出 Syntax OK则表示语法正确，可以继续操作。
RHEL/CentOS
```
sudo httpd -t
```
Debian/Ubuntu
```
sudo apache2ctl -t
```

重载或重启 Apache 服务。

RHEL/CentOS

# 使用 reload (平滑重载，推荐)
sudo systemctl reload httpd

# 或使用 restart (强制重启)
sudo systemctl restart httpd

Debian/Ubuntu

# 使用 reload (平滑重载，推荐)
sudo systemctl reload apache2

# 或使用 restart (强制重启)
sudo systemctl restart apache2

步骤四：验证部署结果

请通过 HTTPS 访问您已绑定证书的域名（如 https://yourdomain.com，yourdomain.com 需替换为实际域名）。
若浏览器地址栏显示安全锁图标，说明证书已成功部署。如访问异常或未显示安全锁，请先清除浏览器缓存或使用无痕（隐私）模式重试。
Chrome 浏览器自 117 版本起，地址栏中的已被新的替代，需单击该图标后查看安全锁信息。

说明

如仍有问题，请参考常见问题进行排查。

应用于生产环境

在生产环境部署时，遵循以下最佳实践可提升安全性、稳定性和可维护性：

使用非管理员权限用户运行：
为应用创建专用的、低权限的系统用户，切勿使用拥有管理员权限的账户运行应用。
说明
建议使用网关层配置 SSL的方案，即将证书部署在负载均衡SLB上，由其终结 HTTPS 流量，再将解密后的 HTTP 流量转发到后端应用。
凭证外部化管理：
切勿将密码等敏感信息硬编码在代码或配置文件中。使用环境变量、Vault 或云服务商提供的密钥管理服务来注入凭证。
启用 HTTP 到 HTTPS 强制跳转：
确保所有通过 HTTP 访问的流量都被自动重定向到 HTTPS，防止中间人攻击。
配置现代 TLS 协议：
在服务器配置中禁用老旧且不安全的协议（如 SSLv3, TLSv1.0, TLSv1.1），仅启用 TLSv1.2 和 TLSv1.3。
证书监控与自动续期：
建议在证书部署完成后，为域名开启域名监控功能。阿里云将自动检测证书有效期，并在证书到期前发送提醒，帮助您及时续期，避免服务中断。具体操作请参见购买并开启公网域名监控。

常见问题

安装或更新证书后，证书未生效或 HTTPS 无法访问

常见原因如下：

域名未完成备案。请参见ICP备案流程。
服务器安全组或防火墙未开放 443 端口。请参见配置系统与网络环境。
证书的绑定域名未包含当前访问的域名。请参见域名匹配。
修改 Apache/Apache2配置文件后，未重启服务。具体操作可参见重载或重启 Apache 服务。
证书文件未正确替换，或 Apache 配置未正确指定证书路径。请检查 Apache 配置文件和所用证书文件是否为最新且有效。
域名已接入 CDN、SLB 或 WAF 等云产品，但未在相应产品中安装证书。请参阅流量经过多个云产品时证书的部署位置完成相关操作。
当前域名的 DNS 解析指向多台服务器，但证书仅在部分服务器上安装。需分别在每个服务器中安装证书。

说明

如需进一步排查，请参考：根据浏览器错误提示解决证书部署问题和 SSL证书部署故障自助排查指南。

浏览器提示“证书名称不匹配”或“NET::ERR_CERT_COMMON_NAME_INVALID”？

当前访问的域名与证书中绑定的域名不匹配。请参见：域名匹配。

如何更新（替换）Apache 中已安装的 SSL 证书

请先备份服务器上原有的证书文件（.crt，以及.key文件），然后登录数字证书管理服务控制台，下载新的证书文件，并上传到目标服务器覆盖原有文件（确保路径和文件名一致）。最后，重启Apache服务，使新证书生效。