以下教程為linux系統(tǒng)申請(qǐng)SSL證書，部署單/多站點(diǎn)https方法。如果對(duì)技術(shù)不熟悉，建議提交工單，由我司工程師幫您配置（會(huì)有費(fèi)用產(chǎn)生）。

另需先申請(qǐng)下載SSL證書，如還沒有，請(qǐng)點(diǎn)擊申請(qǐng)

一、linux系統(tǒng)單/多站點(diǎn)https部署方法（安裝我司默認(rèn)wdcp環(huán)境，分v3.2和v2.5教程）

說明：nginx web引擎可部署一個(gè)或多個(gè)站點(diǎn)，并且支持apache+nginx混合模式，不影響之前apache引擎的任何設(shè)置（如偽靜態(tài)、.htaccess規(guī)則等）。以下教程基于linux+apache+nginx 引擎。

1.wdcp v3.2（linux+apache+nginx）系統(tǒng)模板為：

目前wdcp v3.2默認(rèn)為nginx+apache引擎，用戶登錄wdcp界面可自助，很簡(jiǎn)單的設(shè)置。

A、首先申請(qǐng)》下載》解壓SSL證書到本地電腦。（需要先合并.cer、.crt文件，復(fù)制cer文件內(nèi)容到crt文件頭部）然后登陸wdcp控制面板，點(diǎn)網(wǎng)站管理》SSL證書管理》上傳證書crt和key，證書名稱與建立的站點(diǎn)名一致，如圖：

注意：

1、我司申請(qǐng)的證書文件列表是：test.com.cer、test.com_ca.crt、test.com.key，需要先合并證書，將cer文件內(nèi)容復(fù)制到crt文件頭部，保存改名為test.com.crt

2、證書文件名必須和站點(diǎn)域名相同才能成功部署https（參考如附圖）

B、點(diǎn)網(wǎng)站管理》站點(diǎn)列表編輯，直接啟用即可。

可針對(duì)所有站點(diǎn)，重復(fù)以上兩步部署即可。

2、wdcp v2.5（linux+apache+nginx）系統(tǒng)模板為：Linux 64/32位(CentOS6.2,預(yù)裝wd控制面板)

A、首先登錄wdcp后臺(tái)切換web引擎為nginx+apache混合模式，這樣可部署多個(gè)站點(diǎn)的https，而且偽靜態(tài)等不用做任何調(diào)整

B、開始部署：通過ftp方式將解壓后證書文件到網(wǎng)站根目錄

通過ssh方式登陸服務(wù)器后復(fù)制以下命令回車執(zhí)行

wget -O wdcp-ssl.sh http://downinfo.myhostadmin.net/vps/wdcp-ssl.sh && sh wdcp-ssl.sh Install && rm -rf wdcp-ssl.sh

C、更新證書：通過ftp方式將解壓后新證書文件到網(wǎng)站根目錄

通過ssh方式登陸服務(wù)器后復(fù)制以下命令回車執(zhí)行

wget -O wdcp-ssl.sh http://downinfo.myhostadmin.net/vps/wdcp-ssl.sh && sh wdcp-ssl.sh Update && rm -rf wdcp-ssl.sh

二、非默認(rèn)環(huán)境手工部署方法（僅為參考，因?qū)嶋H環(huán)境等不同，請(qǐng)根據(jù)實(shí)際情況調(diào)整）

1.    Apache 部署SSL證書 (只能應(yīng)用一個(gè)證書, 如果多個(gè)不同站點(diǎn)都需要安裝不同的證書,請(qǐng)使用nginx)

    a.  查看apache是否開啟ssl （特別注意要在apache配置文件中添加Listen  443否則沒有443端口監(jiān)聽）

        打開 apache安裝目錄/conf/httpd.conf 文件,找到 里面兩行      

        #LoadModule ssl_module modules/mod_ssl.so

        將行首的#去掉,保存文件

        執(zhí)行命令: apache安裝目錄/bin/httpd -M | grep ssl_module  , 出現(xiàn)圖下結(jié)果說明apache已經(jīng)支持ssl, 否則請(qǐng)先開啟apache的ssl模塊

    b.  配置證書到對(duì)應(yīng)的站點(diǎn)

         編輯站點(diǎn)對(duì)應(yīng)的站點(diǎn)配置文件,如:apache安裝目錄/conf/extra/httpd-ssl.conf, 修改內(nèi)容如下

        <VirtualHost www.domain.com:443>    

            DocumentRoot "/var/www/html"    

            ServerName www.domain.com    

            SSLEngine on    

            SSLCertificateFile          證書文件路徑/_www.domain.com.cer  

            SSLCertificateKeyFile    證書文件路徑/_www.domain.com.key    

            SSLCertificateChainFile 證書文件路徑/_www.domain.com_ca.crt  

        </VirtualHost>

    c.    重啟apache生效

2.    Nginx 部署SSL證書 （特別注意下面加紅內(nèi)容，需要先合并.crt、.cer文件）

        a.  查看nginx是否開啟ssl

        執(zhí)行命令: nginx安裝目錄/sbin/nginx -V, 查看命令結(jié)果中是否包含"--with-http_ssl_module",否則請(qǐng)先安裝ssl模塊

        b.  配置證書到對(duì)應(yīng)的站點(diǎn)

        編輯站點(diǎn)對(duì)應(yīng)的站點(diǎn)配置文件,新增或修改如下內(nèi)容

        server {

            listen          443 ssl;                                             #將原來的80 修改為443

            ...

            root /www/web/xxxx/public_html;

            ssl_certificate        證書文件路徑/_www.domain.com.crt;          #需將_www.domain.com.cer  中的內(nèi)容復(fù)制到這個(gè)文件頭部，中間不要有空行

            ssl_certificate_key 證書文件路徑/_www.domain.com.key;         #證書密鑰文件

            ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

            ssl_ciphers ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL;

            ...

        }

三、Tomcat 證書部署

    a.    配置SSL連接器

            將www.domain.com.jks文件存放到conf目錄下，然后配置同目錄下的server.xml文件, 新增如下內(nèi)容

            <Connector 

                port="443" 

                protocol="HTTP/1.1" 

                SSLEnabled="true"    

                maxThreads="150" 

                scheme="https" 

                secure="true"    

                keystoreFile="conf\www.domain.com.jks"    

                keystorePass="changeit"    

                clientAuth="false" sslProtocol="TLS" 

            />

            說明

            clientAuth如果設(shè)為true，表示Tomcat要求所有的SSL客戶出示安全證書，對(duì)SSL客戶進(jìn)行身份驗(yàn)證

            keystoreFile指定keystore文件的存放位置，可以指定絕對(duì)路徑，也可以指定相對(duì)于 （Tomcat安裝目錄）環(huán)境變量的相對(duì)路徑。如果此項(xiàng)沒有設(shè)定，默認(rèn)情況下，Tomcat將從當(dāng)前操作系統(tǒng)用戶的用戶目錄下讀取名為 “.keystore”的文件。

            keystorePass密鑰庫密碼，指定keystore的密碼。（如果申請(qǐng)證書時(shí)有填寫私鑰密碼，密鑰庫密碼即私鑰密碼）

            sslProtocol指定套接字（Socket）使用的加密/解密協(xié)議，默認(rèn)值為TLS

    b.    http自動(dòng)跳轉(zhuǎn)https的安全配置

            到conf目錄下的web.xml。在</welcome-file-list>后面，</web-app>，也就是倒數(shù)第二段里，加上這樣一段

            <web-resource-collection >    <web-resource-name >SSL</web-resource-name>    <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint>    <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint>

            這步目的是讓非ssl的connector跳轉(zhuǎn)到ssl的connector去。所以還需要前往server.xml進(jìn)行配置：

            <Connector port="8080" protocol="HTTP/1.1"    connectionTimeout="20000"    redirectPort="443" />

            redirectPort改成ssl的connector的端口443，重啟后便會(huì)生效。