博客是我工作的好帮手,遇到困难就来博客找资料
分类: 系统运维
2017-03-13 18:35:01
Linux下搭建Apache服务器(完整版)
什么是Apache?
Apache Licence是著名的非盈利开源组织Apache采用的协议。该协议和BSD类似,同样鼓励代码共享和尊重原作者的著作权,同样允许代码修改,再发布(作为开源或商业软件)。需要满足的条件也和BSD类似
Apache主要特点
1、开放源代码、跨平台应用
2、支持多种网页编程语言
3、模块化设计 、运行稳定、良好的安全性
Apache软件版本
1.X
1、目前最高版本是1.3,运行稳定
2、向下兼容性较好,但缺乏一些较新的功能
2.X
1、目前主要包括2.0和2.2两个版本
2、具有更多的功能特性
3、与1.X相比,配置管理风格存在较大差异
Apache编译安装的优点
1、具有较大的自由度,功能可定制
2、可及时获得最新的软件版本
3、普遍适用于大多数Linux版本,便于移植使用
一:实验要求
1:学会编译安装httpd服务器
2:熟悉httpd服务的部署过程及常见配置
3:学会构建AWStats日志分析系统
4:httpd服务的访问控制
客户机的地址限制
用户授权限制
5:构建虚拟WEB主机
基于域名的虚拟主机
基于IP地址、端口的虚拟主机
二:实验环境
1:需要的软件包
apr-1.5.2.tar.gz
apr-util-1.5.4.tar.gz
httpd-2.4.25.tar.gz
2:搭建服务器的环境
RHEL6.5版本
IP地址:192.168.1.63 255.255.255.0
配置好yum仓库
三:实验代码
第一块:搭建apache服务器
主要目录和文件:
服务目录:/usr/local/httpd/
主配置文件:/usr/local/httpd/conf/httpd.conf
网页目录:/usr/local/httpd/htdocs/
服务脚本:/usr/local/httpd/bin/apachectl
执行程序:/usr/local/httpd/bin/httpd
访问日志: /usr/local/httpd/log/access_log
错误日志: /usr/local/httpd/log/error_log
第1步:卸载httpd软件及相关软件包
[root@xuegod63 ~]# rpm -e httpd httpd-manual webalizer subversion mod_python mod_ssl mod_perl system-config-httpd php php-cli php-ldap php-common mysql dovecot --nodeps
注释:--nodeps是强制接触依赖关系
第2步:检查手工编译需要的4中软件包是否安装
[root@xuegod63 ~]# rpm -q gcc
gcc-4.4.7-4.el6.x86_64
[root@xuegod63 ~]# rpm -q gcc-c++
gcc-c++-4.4.7-4.el6.x86_64
[root@xuegod63 ~]# rpm -q make
make-3.81-20.el6.x86_64
[root@xuegod63 ~]# yum install pcre-devel -y
第3步:解压软件包
[root@xuegod63 ~]# tar zxvf httpd-2.4.25.tar.gz -C /opt/
[root@xuegod63 ~]# tar -zxvf apr-1.5.2.tar.gz -C /opt/
[root@xuegod63 ~]# tar -zxvf apr-util-1.5.4.tar.gz -C /opt/
[root@xuegod63 opt]# cp -r apr-1.5.2/ httpd-2.4.25/srclib/apr
[root@xuegod63 opt]# cp -r apr-util-1.5.4/ httpd-2.4.25/srclib/apr-util
注释:解压后复制到httpd的srclib解压目录中(不带版本号)
第4步:源码编译安装Apache
[root@xuegod63 ~]# cd /opt/httpd-2.4.25/
[root@xuegod63 httpd-2.4.25]# ./configure \ #源码
--prefix=/usr/local/apache \
--enable-so \
--enable-rewrite \
--enable-mods-shared=most \
--with-mpm=worker \
--disable-cgid \
--disable-cgi
[root@xuegod63 httpd-2.4.25]# echo $?
0
[root@xuegod63 httpd-2.4.25]# make -j 4 #编译,将编译程序变为可执行程序
[root@xuegod63 httpd-2.4.25]# make install #安装
参数解释:
--prefix= //来指定安装路径
--enable-so //该参数表示支持用mod_so模块提供的功能,用LoadModule在httpd.conf文件或包含的conf文件中动态加载某个模块。让 Apache 可以支持DSO模式
--enable-rewrite //支持 URL 重写
--enable-mods-shared=most //选项:告诉编译器将所有标准模块都动态编译为DSO模块。
--with-mpm=worker // 让apache以worker方式运行
--with-mpm=worker //该参数是配置apache将以何种模式编译的。Apache网站文档指出不同操作系统下的不同的默认模式.
--disable-cgid //禁止用一个外部 CGI 守护进程执行CGI脚本
--disable-cgi //禁止编译 CGI 版本的 PHP
第5步:命令链接到PATH变量并且管理service
[root@xuegod63 httpd-2.4.25]# ls /usr/local/apache/bin/apachectl #检查apachectl命令
/usr/local/apache/bin/apachectl
[root@xuegod63 httpd-2.4.25]# echo $PATH #查看PATH变量
/usr/lib64/qt-3.3/bin:/usr/local/sbin:/usr/sbin:/sbin:/usr/local/bin:/usr/bin:/bin:/root/bin
注释:Linux系统中所有的命令都是放在PATH变量中的,可以放在/usr/local//sbin或者/usr/local/bin下。
[root@xuegod63 httpd-2.4.25]# ln -s /usr/local/apache/bin/* /usr/local/bin/
[root@xuegod63 httpd-2.4.25]# ls -l /usr/local/bin/apachectl /usr/local/bin/httpd
lrwxrwxrwx 1 root root 31 3月 9 17:32 /usr/local/bin/apachectl -> /usr/local/apache/bin/apachectl
lrwxrwxrwx 1 root root 27 3月 9 17:32 /usr/local/bin/httpd -> /usr/local/apache/bin/httpd
注释:优化路径,将/usr/local/apache/bin/下的所有命令内容链接到PATH变量中的路径下。
只有将命令链接到PATH变量的路径中,命令才可以被使用。
[root@xuegod63 httpd-2.4.25]# grep -v "#" /usr/local/apache/bin/apachectl > /etc/init.d/httpd
[root@xuegod63 httpd-2.4.25]# vim /etc/init.d/httpd
#!/bin/sh
# chkconfig: 2345 85 15
# description: Apache is a World Wide Web server.
[root@xuegod63 httpd-2.4.25]# chmod +x /etc/init.d/httpd
[root@xuegod63 httpd-2.4.25]# chkconfig --add httpd
[root@xuegod63 httpd-2.4.25]# chkconfig --list httpd
httpd 0:关闭1:关闭2:关闭3:关闭4:关闭5:关闭6:关闭
注释:使程序可以使用service 管理,"service管理的命令都在/etc/init.d/这个目录下的"。
如果是rpm命令安装的软件包就不需要使用service命令管理,可以直接执行service命令,
但是手工源码编译的软件包,程序就不可以直接执行service命令。
第6步:将配置文件链接到/etc下
[root@xuegod63 httpd-2.4.25]# ln -s /usr/local/apache/conf/httpd.conf /etc/httpd.conf
[root@xuegod63 httpd-2.4.25]# vim /etc/httpd.conf
ServerName
[root@xuegod63 httpd-2.4.25]# service httpd start #启动服务没有效果
[root@xuegod63 httpd-2.4.25]# netstat -anutp | grep http #监听http服务
tcp 0 0 :::80 :::* LISTEN 32974/httpd
第7步:物理机验证http服务
[root@xuegod63 httpd-2.4.25]# service iptables stop #关闭防火墙
[root@xuegod63 httpd-2.4.25]# cd /usr/local/apache/ #
[root@xuegod63 apache]# cat htdocs/index.html
注释:在/usr/local/apache/htdocs/下存放着apache服务自带的index。Html网页,用于验证,次服务是否启动成功,在此目录下,可以创建更多的网页文件。
[root@xuegod63 htdocs]# vim a.html 创建一个新的网页
第二块:Httpd服务访问控制
作用:
控制对网站资源的访问
为特定的网站目录添加访问授权
常用访问控制方式:
客户机地址限制
用户授权限制
第1步:共享虚拟目录
[root@xuegod63 ~]# vim /etc/httpd.conf
Include conf.d/*.conf #在主配置文件末尾增加。
注释:httpd.conf是apache服务器的主配置文件,由于内容过多,不易查看,因此初见一个子主配置文件,当主配置文件读完之后就开始读子主配置文件,所以直接在子配置文件中修改配置文件。
[root@xuegod63 ~]# cd /usr/local/apache/ #切换至服务目录
[root@xuegod63 apache]# mkdir conf.d #创建子主配置文件目录
[root@xuegod63 apache]# cd conf.d/
[root@xuegod63 conf.d]# vim vdir.conf #创建子主配置文件
Alias /doc/ "/usr/share/doc/" #定义虚拟目录doc,物理共享路径在/usr/share/doc/
#定义这个目录的权限如下内容
Options Indexes MultiViews FollowSymLinks #固定模式
AllowOverride None #固定的不允许重写
Order allow,deny #先允许,后拒绝
Allow from all #允许从任何客户机访问
Require all granted #对这个目录给予授权,这是6.0手动编译安装的apache时,定义被访问目录的权限
[root@xuegod63 conf.d]# service httpd restart
第2步:共享目录授权访问
[root@xuegod63 conf.d]# vim vdir.conf #修改子主配置文件
Alias /man/ "/usr/share/man/" #共享出去的目录和共享出去的别名
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
AuthName "**********welcome*********" #定义受保护的领域名称,该内容将在浏览器弹出的认证对话框中显示
AuthType Basic #设置认证的类型,basic为基本的认证
AuthUserFile /usr/local/apache/user #设置用于保存用户账号、密码的认证文件
路径(htpasswd)
require valid-user #要求只有认证文件中的合法用户才能访问。valid-user表示所有合法用户
#Require all granted
[root@xuegod63 conf.d]# htpasswd -c /usr/local/apache/user test #创建用户认证的数据库
New password: 123456
Re-type new password:123456
Adding password for user test
注意:htpasswd命令指的是创建用户认证的数据库中的用户名称和密码,
‘-c’指的是创建用户认证的数据库的路径。第一次创建需要加‘-c’,第二次以后就不需要了。
[root@xuegod63 conf.d]# htpasswd /usr/local/apache/user jack
New password: 456789
Re-type new password:456789
Adding password for user jack
[root@xuegod63 conf.d]# cat /usr/local/apache/user
test:$apr1$KQuygE7p$H7qBAPM5Z2V0SXrWfTFlo0
jack:$apr1$spCSLlRw$WYGcMNUbYqXUQZNkoMXcm1
[root@xuegod63 conf.d]# service httpd restart
第三块:构建虚拟WEB主机
虚拟Web主机
在同一台服务器中运行多个Web站点,其中每一个站点并不独立占用一台真正的计算机
httpd支持的虚拟主机类型
1、基于域名的虚拟主机
2、基于IP地址的虚拟主机
3、基于端口的虚拟主机
第1步:基于ip的虚拟主机
需求:
1:构建2个虚拟Web站点:
,IP地址为 192.168.1.36
,IP地址为 192.168.1.63
2:在浏览器中访问这两个域名时,分别显示不同的内容
分析:在虚拟机中添加网卡,给定网桥模式,修改添加网卡信息,并且将mack地址修改。
[root@xuegod63 conf.d]# vim vhost.conf
#定义虚拟主机,给定IP地址
ServerAdmin 741215208@qq.com #定义此虚拟主机的IP地址
DocumentRoot /opt/accp/ #定义虚拟主机的归属目录
ServerName #定义域名
ErrorLog logs/accp.com-error_log #错误日志
CustomLog logs/accp.com-access_log common
#定义虚拟主机的目录权限
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
Require all granted
ServerAdmin admin@benet.com
DocumentRoot /opt/benet/
ServerName
ErrorLog logs/benet.com-error_log
CustomLog logs/benet.com-access_log common
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
Require all granted
[root@xuegod63 conf.d]# mkdir /opt/accp #创建虚拟主机的文件夹目录
[root@xuegod63 conf.d]# mkdir /opt/benet
[root@xuegod63 conf.d]# echo "
[root@xuegod63 conf.d]# echo "
[root@xuegod63 conf.d]# service httpd restart
[root@xuegod63 conf.d]# service iptables stop
第2步:基于端口地址的虚拟主机
[root@xuegod63 conf.d]# vim vhost.conf
Listen 192.168.1.63:8080
ServerAdmin 741215208@qq.com
DocumentRoot /opt/accp/
ServerName
ErrorLog logs/accp.com-error_log
CustomLog logs/accp.com-access_log common
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
Require all granted
ServerAdmin admin@benet.com
DocumentRoot /opt/benet/
ServerName
ErrorLog logs/benet.com-error_log
CustomLog logs/benet.com-access_log common
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
Require all granted
[root@xuegod63 conf.d]# service httpd restart
第3步:基于域名的虚拟主机
[root@xuegod63 conf.d]# vim vhost.conf
Listen 192.168.1.63:8080
ServerAdmin 741215208@qq.com
DocumentRoot /opt/accp/
ServerName
ErrorLog logs/accp.com-error_log
CustomLog logs/accp.com-access_log common
<Directory "/opt/accp">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
Require all granted
<VirtualHost 192.168.1.63:80>
ServerAdmin admin@benet.com
DocumentRoot /opt/benet/
ServerName
ErrorLog logs/benet.com-error_log
CustomLog logs/benet.com-access_log common
<Directory "/opt/benet">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
Require all granted
注释:hosts文件在C:\Windows\System32\drivers\etc下,hosts文件中添加以下内容,需要将此文件拖出到桌面修改,修改完之后再拖回去。
192.168.1.63
192.168.1.63
Apache中的虚拟主机的配置(基于IP)
简单介绍一下环境
OS:RED HAT AS 4.0
IP:192.168.1.108
MASK:255.255.255.0
GW:192.168.1.1
DNS:192.168.1.2
1.先添加一个IP因为服务器现在是单网卡,所以要添加一个网卡,操作步骤
#cd /etc/sysconfig/network-scripts
#vi ifcfg-eth0:0
添加内容:
DEVICE="eth0:0"
IPADDR="192.168.1.109"
NETMASK="255.255.255.0"
ONBOOT="yes"
#reboot
2.测试网卡是否已经开始工作
说明两块网卡都开始正常工作
2.修改APACHE的配置文件
DocumentRoot /var/www/html/test1
DocumentRoot /var/www/html/test2
记得把原来的DocumentRoot注释掉
3测试结果:在浏览器里分别输入
[url][/url]
[url][/url]
应该看到不同的页面
我的页面如下:
http协议简介
http协议,全称HyperText Transfer Protocol,中文名称超文本传输协议,是互联网应用最为广泛的一种网络协议,所有的www都必须遵守这个标准,设计http最初的目的为了提供一种发布和接收HTML(一种页面标记语言)
web服务器介绍
万维网又称web(world wide web,www),是在internet上以超文本为基础形成的信息网,用户可以通过浏览器可以访问web服务器上面的信息资源
web服务的历史和工作原理
web服务的历史
Internet上最热门的服务之一就是万维网,它是因特网上以超文本为基础形成的信息网,用户可以通过查阅Internet上的信息资源,例如:平时上网使用浏览器访问网站信息的最常见应用。
web在1989年起源于欧洲的一个国家核能源研究院中,由于随着研究的深入和发展,研究院的文件越来越多,而且人员流动非常大,要找到相关的资料是非常困难的,于是一个科学家就提出这样的一个建议,咋服务器上维护一个目录,目录的链接指向每个人的文件,每个人维护自己的文件,保证别人访问的时候总是最新的文档,这个建议得到了采纳并不断的完善后,最终形成如今Internet上最常见的www服务
web的工作原理
web系统是客户端/服务端的C/S架构,所以有服务器端端和客户端程序两个部分,
常用的服务器端软件有Apache,IIS,nginx等,
常见的客户端浏览器有IE,Mozilla等,用户在浏览器地址栏中输入资源定位地址(URL)来访问web页面
web页面是以超文本标记语言(HTML)进行编写,它是文本不在是传统的书页方式文本,而是可以在浏览
器上面从一个页面跳转到另一个页面,使用HTML语言编制的web除了文本意外还可以嵌入视频,音乐,图
象等 .
浏览一个页面时,(比如)浏览器会向服务器发送一条HTTP请求,服务器会去寻找所期望的对象(在这个例子就是/index.html),如果发送成功,就将对象,对象类型,对象长度以及其他一些信息放在http响应中发给客户端。
[root@localhost ~]# curl -I
HTTP/1.1 200 OK
Server: bfe/1.0.8.18
Date: Thu, 06 Oct 2016 07:23:46 GMT
Content-Type: text/html
Content-Length: 277
Last-Modified: Mon, 13 Jun 2016 02:50:09 GMT
Connection: Keep-Alive
ETag: "575e1f61-115"
Cache-Control: private, no-cache, no-store, proxy-revalidate, no-transform
Pragma: no-cache
Accept-Ranges: bytes
一次完整的Http请求处理过程:
(1) 建立或处理连接请求;
(2) 接收请求;
(3) 解析请求,处理请求;
(4) 加载用户请求的资源;
(5) 构建响应报文;
(6) 发送响应报文;
(7) 记录访问于日志中;
访问错误响应码
1xx:
2xx: 成功响应
3xx: 重定向响应
4xx: 客户端错误
5xx: 服务端错误
Windows系统中默认Web服务程序是IIS(Internet Information Services),这是一款图形化的网站管理工具,IIS程序不光能提供Web网站服务,还能够提供FTP、NMTP、SMTP等服务功能,但只能在Windows系统中使用。
nginx——最初于2004年10月4日为俄罗斯知名门户站点而开发的,作为一款轻量级的网站服务软件,因其稳定性和丰富的功能而深受信赖,但最最最被认可的是低系统资源、占用内存少且并发能力强,目前国内如新浪、网易、腾讯等门户站均使用。
Apache——取自美国印第安人土著语Apache,寓意着拥有高超的作战策略和无穷的耐性,由于其跨平台和安全性广泛被认可且拥有快速、可靠、简单的API扩展。目前拥有很高的Web服务软件市场占用率,全球使用最多的Web服务软件,开源、跨平台(可运行于Unix,linux,windows中)。
Tomcat——属于轻量级的Web服务软件,一般用于开发和调试JSP代码,通常认为Tomcat是Apache的扩展程序。
关于Apache服务
Nginx程序作为Web服务软件届的后起之秀已经通过自身的努力与优势赢得了大批站长的信赖,不得不说真的很棒!但是Apache程序作为老牌的Web服务软件因其卓越的稳定性与安全性成为了红帽RHEL7系统中默认的网站服务软件,同样也是红帽RHCSA与RHCE考试认证中避不开的考题。
Apache简介
Apache是一种开源的httpd服务器软件,可以在UNIX、Linux以及Windows在内的大多数主流计算机操作系统系统上面运行,Apache是由Illinois大学Urbana-Champaign的国家高级计算机程序中心开发,它的名字取自apatchy server 的读音,即充满补丁的服务器,可见在最初的时候该程序并不是非常完善
Apache优点
但由于Apache是开源软件,所以得到开源社区的支持,不断开发出新的功能特性,并修补了原来的缺陷,经过多年不断的完善,如今的Apache已经是最流行的web服务端软件之一Apache拥有以下众多的特性,保证了它可以高速稳定的运行
支持所有的计算机平台
简单有效的配置文件
支持虚拟主机
支持多种方式的http认证
集成Perl脚本语言
集成代理服务器模块
支持实时监视服务器状态和定制服务器日志
支持服务器端包含指令
支持Php
支持第三方软件开发商提供的软件
Apache模块化
Apache服务器的安装使用
httpd相关软件及安装
httpd-2.2.15-29.el6_4.x86_64.rpm //服务端主程序包,服务器运行核心软件包
httpd-devel-2.2.15-29.el6_4.x86_64.rpm //apache开发程序包,如开发附加模块的时候需要此软件
httpd-manual-2.2.15-29.el6_4.noarch.rpm //Apache手册文档
httpd-tools-2.2.15-29.el6_4.x86_64.rpm //一起apache的工具,如htpasswd
apr-devel-1.3.9-5.el6_2.x86_64.rpm //安装httpd-devel的时候的依赖包
apr-util-devel-1.3.9-3.el6_0.1.x86_64.rpm //安装httpd-devel的时候的依赖包
expat-devel-2.0.1-11.el6_2.x86_64.rpm //安装httpd-devel的时候的依赖包
安装Apache
Linux基本都自带Apache软件
[root@localhost ~]# ls /mnt/Packages/ | grep "httpd"
httpd-2.2.15-53.el6.centos.x86_64.rpm
[root@localhost ~]# yum install -y httpd httpd-manual
[root@localhost ~]# yum install -y elinks //这是一个字符界面浏览器 使用方式 “elinks 域名”
[root@localhost ~]# service httpd restart //服务启动
[root@localhost ~]# chkconfig httpd on //服务开机启动
[root@localhost ~]# netstat -antup | grep 80 //启动是否成功,查看端口是否开放
相关文件
[root@localhost ~]# ls /etc/httpd/ //apache工作目录,配置文件目录
[root@localhost ~]# ls /etc/httpd/conf/httpd.conf //yum或rpm方式安装的配置文件位置
[root@localhost ~]# ls /etc/httpd/conf.d/ //这个是默认httpd.conf里面include位置
[root@localhost ~]# ls /var/log/httpd/ //默认日志目录
[root@localhost ~]# ls /var/log/httpd/access_log //默认访问日志
[root@localhost ~]# ls /var/log/httpd/error_log //默认错误日志
[root@localhost ~]# ls /var/www/html/ //默认网站根目录
[root@localhost ~]# ls /etc/httpd/modules/ //apache库文件,模块文件目录
[root@localhost ~]# ls /etc/httpd/run/httpd.pid //apache运行的进程pid
[root@localhost ~]# ls /var/www/manual/ //apache手册也,需要安装httpd-manual
查看Apache的相关信息
查看Apache软件版本信息
[root@localhost ~]# httpd -V
Server version: Apache/2.2.15 (Unix)
Server built: May 11 2016 19:28:33
Server's Module Magic Number: 20051115:25
Server loaded: APR 1.3.9, APR-Util 1.3.9
Compiled using: APR 1.3.9, APR-Util 1.3.9
Architecture: 64-bit
Server MPM: Prefork
threaded: no
forked: yes (variable process count)
查看已经被编译的模块
[root@localhost ~]# httpd -l
Compiled in modules:
core.c
prefork.c
http_core.c
mod_so.c
httpd.conf主配置文件的解释
ServerTokens OS #返回操作系统类型,如apache/2.0.54(unix)
ServerRoot "/etc/httpd" #服务器配置文件目录
ServerName 192.168.1.235:80 #服务器主机名
PidFile run/httpd.pid #apache运行进程ID存放
Timeout 60 #超时时间,多少s没有反应就超时
KeepAlive Off #是否允许一个永久的链接,设置为OFF的时候,不能保持连接功能,传输效率比较低,设置为ON时,可以提高服务器传输文件的效率,建议开启
MaxKeepAliveRequests 100 #设置KeepAlive为ON时,设置客户端每次连接允许请求相应最大文件数,默认100个
KeepAliveTimeout 15 #超时时间,同一个客户端下一个请求15s没收到就超时
Listen 80 #监听端口,默认本地IP,如果指定ip写上IP:80
StartServers 8 #服务开始起启动8个进程
MinSpareServers 5 #最小空闲5个进程
MaxSpareServers 20 #最多空闲20个进程
ServerLimit 256 #服务器允许配置进程数上线
MaxClients 256 #最大连接数256,超过要进入等候队列
MaxRequestsPerChild 4000 #每个进程生存期内服务最大的请求数量,0表示用不结束
Options FollowSymLinks #Options Indexes 目录浏览 FollowSymLinks用连接浏览
AllowOverride None #设置为none,忽略.htaccess
LoadModule auth_basic_module modules/mod_auth_basic.so #载入的库,模块
● ● ● ● ● ●
Include conf.d/*.conf #conf.d里面的conf文件也属有效配置文件
User apache #apache运行以哪个身份运行
Group apache #apache运行以哪个组的身份运行
ServerAdmin root@localhost #管理员邮箱
DocumentRoot "/var/www/html" #默认的主目录,如果改动要改动两处,Directory
<Directory "/var/www/html">
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny #这里默认后者生效,也就是deny生效
Allow from all #这里说允许所有
Directory>
LogLevel warn #日志等级
DirectoryIndex index.html index.html.var #首页
AccessFileName .htaccess #access文件名
AddDefaultCharset UTF-8 #支持的语言,默认编码
#配置文件的最后是虚拟主机的字段,其中你大部分字段做个了解即可,用到的时候去查即可
检测配置文件语法
[root@localhost ~]# cat /etc/httpd/conf/httpd.conf | grep "^Listen" //修改web端口为55667
Listen 55667
[root@localhost ~]# apachectl configtest
httpd: Could not reliably determine the server's fully qualified domain name, using localhost.localdomain for ServerName
Syntax OK
[root@localhost ~]# service httpd reload //切记http服务不可以随便重启,修改配置文件要重新载入配置文件
Reloading httpd:
创建一个测试首页
[root@localhost ~]# cd /var/www/html/
[root@localhost html]# ls
[root@localhost html]# echo "
[root@localhost html]# ll
total 4
-rw-r--r-- 1 root root 33 Oct 6 09:06 index.html
符号链接和虚拟目录
DocumentRoot的参数是指定web发布文档的主目录,在默认情况下,用户通过http访问web服务器浏览
的所有资料都是存在该目录下,该参数只能设置一个目录作为参数值,那么是不是在Apache中就能有一
个目录存放文档文件呢?如果文档根目录空间不足,要放到其他的文件系统中应该怎么办,
符号链接
例如:/var/www/html/doc这个目录,希望吧/usr/share/doc目录映射成/var/www/html/doc,配置就是一个软连接就行
[root@localhost html]# ln -s /usr/share/doc/ doc
[root@localhost html]# ll
total 4
lrwxrwxrwx 1 root root 15 Oct 6 09:49 doc -> /usr/share/doc/
-rw-r--r-- 1 root root 33 Oct 6 09:06 index.html
虚拟目录(别名)
使用虚拟目录是另一种将根目录以外的内容加入站点中的办法,下面举一个简单的例子,把/var/log目
录映射成网站根目录下的/log下
1、打开httpd.conf文件,添加如下内容
Alias /log "/var/log"
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
2、重载httpd服务,然后访问加资源URL/log路径
service httpd reload
页面重定向
如果用户经常访问某个网站的网页,他很可能会把页面的URL添加到收藏夹,在每次访问网站的时候,可
以直接点击收藏夹的记录访问,但是如果网站进行了目录架构的更改,用户再使用原来的URL访问时就会
出现404页面无法找到的错误,为了方便用户能够使用原来的URL进行访问,这时就需要页面重定向了
假设网站有一个doc目录,现在管理员要对网站的目录结构就行整理,并把/doc目录移动到/old-doc目录下,如果用户还是访问原来的URL就会出现404的错误,
1、打开httpd.conf配置文件,添加如下内容
Alias /old-doc "/usr/share/doc"
Options Indexes FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
#指定当用户访问/doc目录遇到404错误自动重定向到
Redirect 303 /doc
2、重载httpd服务
3、使用浏览器再次访问
Apache日志文件
Apache运行会生成两个日志文件,access_log(访问日志)error_log(错误日志)
[root@localhost httpd]# pwd
/var/log/httpd
[root@localhost httpd]# ls
access_log error_log
1、访问日志文件
Apache的访问日志就是记录web服务器的所有访问活动(如下图)
容可以看出,每一行都记录了一次访问记录,由7个部分组成
192.168.211.1 - - [06/Oct/2016:10:23:26 +0800] "GET /old-doc/ HTTP/1.1" 200 149404 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36"
//客户端地址、访问者的标示、访问者的验证名字、请求的时间、请求类型、请求的http代码、发送给客户端的字节数
部分详细说明
客户端地址:表明访问网站的客户端IP地址
访问者的标示:该项一般为空白,用“-”代替
访问者验证的名字:该项用于记录访问者进行身份验证时提供的名字,一般情况下该项也为空白
请求的时间:记录访问操作的发生时间
请求类型:该项记录了服务器收到是一个什么类型的请求,一般类型包括GET、post、HEAD
请求的代码:通过该项信息可以知道请求是否成功,遇到了什么样的问题错误,正常情况下,为200
发送给客户端的字节数:表示发送给客户端的总的字节数,通过检查该数值是否和文件大小相同,可以知道传输是否被中断
2、错误日志
错误日志是Apache提供的另外一种标准日志,该日志记录了Apache服务运行过程发生的错误日志,httpd.conf配置文件中提供了一下两个配置参数:
ErrorLog logs/error_log
LogLevel warn
它们分别用于配置错误日志的位置和日志的级别
日志的级别说明
严重程度 等级 说明
1 emerg 系统不可以用
2 alert 需要立即引起注意的情况
3 crit 危急情况
4 error 错误信息
5 warn 警告信息
6 notiee 需要引起注意的情况
7 info 一般信息
8 debug 由运行于debug模式的程序输出的信息
emerg级别的信息最为严重,debug级别最低,如果用户吧错误日志设置成warn级别,则严重程度由1-5会被记录下来
容可以看出,每一行记录了一个错误,由3个部分组成,
时间 错误等级 错误信息
[Thu Oct 06 10:22:24 2016] [error] [client 192.168.211.1] Directory index forbidden by Options directive: /usr/share/doc/
第一个括号是错误发生的时间 2016年10月06 10:22:24
第二个是错误等级:error
第三个是错误的内容:[客户192.168.211.1]目录索引选项禁止指令:/usr/share/doc/
Apache安全配置
Apache提供了多种安装控制手段,包括web访问控制,用户登录密码设置及.htaccess文件
访问控制
访问控制是提高apache服务器安全级别的最有效的手段之一,看下Diertory段,Diertory段用于设置与
目录相关的参数和指令,包括访问控制和认证
目录相关的配置参数和指令
每个Diretory段以开始结束。
指定目录及其里面的所有文件和子目录,在段中可以设置与目录相关的参数和指令,包括访
问控制和认证
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
1、Allow 指令
Allow指令用于设置那些客户端可以访问Apache
Allow for [All/全域名/部分域名/ip地址/网络地址/cidr地址。。。]
all表示所有客户端
全域名:表示域名对应的客户端
部分域名:表示域内的所有客户端 baidu.com
IP地址:如172.16.2.1
网络地址:如192.168.1.0/256.356.355.0
CIDR地址:172.16.20.0/24
2、Deny指令
Deny指令用户设置拒绝那些客户端访问Apache,格式和Allow一样
3、Order指令
Order指令用于指定访问规则的先后顺序,有一下两种
Order Allow,Deny;先执行允许访问规则,在执行拒绝访问规则
Order Deny,Allow; 先执行拒绝访问规则,在执行允许访问规则
实例:
现在,假设网站中一个logo目录,是登录网站后台的目录,所以网站管理员希望该目录只能由该网站管理员访问(192.168.211.1),其他都不能访问
1、打开httpd.conf配置文件添加如下内容
Options Indexes FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 192.168.211.1
httpd: Could not reliably determine the server's fully qualified domain name, using localhost.localdomain for ServerName
Syntax OK
[root@localhost httpd]# service httpd reload
Reloading httpd:
用户认证
Apache的用户认证方式包括基本(Basic)认证和摘要(Digest)认证两种,摘要认证比基本认证更加安
全,但有个别浏览器不支持,基本认证很简单,当用户在浏览器输入认证模式的URL时候,会弹出一个对
话框,要求输入账户密码,当用户输入后,web服务验证他的正确性,如果正确,则返回页面,错误则返
回401页面
要使用用户认证,首先要创建好用户名和密码,在Apache中提供htpasswd命令用于创建和修改密码文件,该命令在/support目录下
要在/etc/httpd/conf/下创建一个名为users的认证密码文件,并在密码文件添加sam用户
[root@localhost ~]# htpasswd -c /etc/httpd/conf/users sam
New password:
Re-type new password:
Adding password for user sam
认证密码文件创建后,如果再向users文件添加一个ken的用户 不加-C
[root@localhost ~]# htpasswd /etc/httpd/conf/users ken
New password:
Re-type new password:
Adding password for user ken
与/etc/passwd文件类似,认证密码都是一行一个
[root@localhost ~]# cat /etc/httpd/conf/users
sam:fGNODsapTMn72
ken:8HenVGxWHKF8A
用户名:加密后的密码
htpasswd没有删除账户指令,直接在配置文件里面删除
创建完成认证密码后,还要对配置文件进行修改,用户认证是在httpd.conf配置文件中段中进行设置
案例:
现在网站管理员为了更加安全,加强控制,对log目录经过sam用户认证才能访问
1、在httpd.conf配置文件添加如下内容
Options Indexes FollowSymLinks
AllowOverride None
AuthType Basic //设置认证的方式
AuthName "doc" //设置保护区域的名称
AuthUserFile /etc/httpd/conf/users //认证密码的文件
require user sam //指定那些用户可以进行访问
Order deny,allow
Deny from all
Allow from 192.168.211.1
2、检测语法,重载服务
[root@localhost ~]# apachectl configtest
httpd: Could not reliably determine the server's fully qualified domain name, using localhost.localdomain for ServerName
Syntax OK
[root@localhost ~]# service httpd reload
Reloading httpd:
[root@localhost ~]#
虚拟主机
虚拟主机就是指将一台物理服务器虚拟多台web服务器,可以有效的节省硬件资源,Apache支持基于IP地址或主机名的虚拟机服务
虚拟主机的介绍
虚拟主机就是将一台物理服务器虚拟成多台web服务器,对于一些小规模的网站,通过web虚拟主机技术、可以跟其他网站共享一台服务器,有效减少系统的运行成本,
比如说,一家从事web托管的公司,他为企业提供web服务,那么他肯定不会为每个企业准备一台物理服务器,
Apache提供3中虚拟主机方案:基于IP的虚拟主机服务,基于主机名的虚拟主机和基于端口的虚拟主机
基于IP的虚拟主机
基于IP的虚拟主机,服务上面必须设置多个IP地址,服务器根据请求目的的IP地址来判断请求的是哪个虚拟主机
Apache中是通过httpd.conf配置文件的段来配置虚拟主机服务的
虚拟主机的相关配置参数和指令
案例:
假设一台服务器上面有两个IP地址,分别为192.168.211.128和192.168.211.130,对应和,现在要根据这两个IP地址来实现虚拟主机
当客户端访问192.168.211.128访问/var/www/html/server1
当客户端访问192.168.211.130访问/var/www/html/server2
问题:
如果服务器只有一个网卡,可以通过单网卡配置多IP来模拟
1、在/var/www/html/server1和server2下,分别生成index.html文件
[root@localhost html]# mkdir server{1,2}
[root@localhost html]# ls
index.html log loganalyze old-doc server1 server2
[root@localhost server1]# cat index.html
基于IP的虚拟主机测试
基于IP的虚拟主机测试:
为了管理方便在/etc/httpd/conf.d/下面创建一个vhost.conf
(在httpd.conf主配置里面有指定,conf.d/*.conf都是可生效的文件)
[root@localhost conf.d]# vim /etc/httpd/conf.d/vhost.conf
ServerAdmin admin@zabbix.com
DocumentRoot /var/www/html/server1
AllowOverride none
Allow from all
Order Allow,deny
ErrorLog /log/httpd/vhost_log/error_server1.log
ServerAdmin admin@zabbix.com
DocumentRoot /var/www/html/server2
AllowOverride none
Allow from all
Order Allow,deny
ErrorLog /log/httpd/vhost_log/error_server2.log
重载Apache服务访问
基于主机名的虚拟主机(域名)
大多数物理机IP有限,基于IP这种方式太浪费IP资源了,更多的都是使用基于域名的虚拟主机服务
http1.1协议中,增加了对主机名的虚拟主机服务的支持,具体的说,当客户端向web服务器发送请求
时,客户端想要访问的主机名也通过请求头中的Host语句传递给web服务器,web服务器接受到这个请求
后,通过检查Host语言来判断客户端请求的是哪个虚拟主机
与基于IP地址虚拟主机的配置方法不同,用户必须在conf配置文件使用NameVirtualHost参数
NameVirtualHost IP地址/主机名[:端口]
NameVirtualHost 192.168.211.128
<VirtualHost 192.168.211.128>
ServerName
DocumentRoot /var/www/html/server1
<Directory "/var/www/html/server1">
AllowOverride none
Allow from all
Order Allow,deny
ErrorLog /log/httpd/vhost_log/error_server1.log
NameVirtualHost 192.168.211.130
ServerName
DocumentRoot /var/www/html/server2
AllowOverride none
Allow from all
Order Allow,deny
ErrorLog /log/httpd/vhost_log/error_server2.log
检查配置语法,重载httpd服务
基于端口的虚拟主机
在同一IP,同一主机名下,使用监听不同端口,访问时需要加访问的端口。使用不多,一般用来做内网测试使用
配置文件
ServerName
DocumentRoot /var/www/html/server1
AllowOverride none
Allow from all
Order Allow,deny
ErrorLog /log/httpd/vhost_log/error_server1.log
Listen 8080 //添加监听端口
ServerName
DocumentRoot /var/www/html/server2
AllowOverride none
Allow from all
Order Allow,deny
ErrorLog /log/httpd/vhost_log/error_server2.log
重载服务
Apache配置详解
Apache的配置由httpd.conf文件配置,因此下面的配置指令都是在httpd.conf文件中修改。
主站点的配置(基本配置)
(1) 基本配置:
ServerRoot "/mnt/software/apache2" #你的apache软件安装的位置。其它指定的目录如果没有指定绝对路径,则目录是相对于该目录。
PidFile logs/httpd.pid #第一个httpd进程(所有其他进程的父进程)的进程号文件位置。
Listen 80 #服务器监听的端口号。
ServerName #主站点名称(网站的主机名)。
ServerAdmin admin@clusting.com #管理员的邮件地址。
DocumentRoot "/mnt/web/clusting" #主站点的网页存储位置。
以下是对主站点的目录进行访问控制:
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
在上面这段目录属性配置中,主要有下面的选项:
Options:配置在特定目录使用哪些特性,常用的值和基本含义如下:
ExecCGI: 在该目录下允许执行CGI脚本。
FollowSymLinks: 在该目录下允许文件系统使用符号连接。
Indexes: 当用户访问该目录时,如果用户找不到DirectoryIndex指定的主页文件(例如index.html),则返回该目录下的文件列表给用户。
SymLinksIfOwnerMatch: 当使用符号连接时,只有当符号连接的文件拥有者与实际文件的拥有者相同时才可以访问。
AllowOverride:允许存在于.htaccess文件中的指令类型(.htaccess文件名是可以改变的,其文件名由AccessFileName指令决定):
None: 当AllowOverride被设置为None时。不搜索该目录下的.htaccess文件(可以减小服务器开销)。
All: 在.htaccess文件中可以使用所有的指令。
其他的可用值及含义(如:Options FileInfo AuthConfig Limit等),请参看:
Order:控制在访问时Allow和Deny两个访问规则哪个优先:
Allow:允许访问的主机列表(可用域名或子网,例如:Allow from 192.168.0.0/16)。
Deny:拒绝访问的主机列表。
更详细的用法可参看:
DirectoryIndex index.html index.htm index.php #主页文件的设置(本例将主页文件设置为:index.html,index.htm和index.php)
(2) 服务器的优化 (MPM: Multi-Processing Modules)
apache2主要的优势就是对多处理器的支持更好,在编译时同过使用--with-mpm选项来决定apache2的工作模式。如果知道当前的apache2使用什么工作机制,可以通过httpd -l命令列出apache的所有模块,就可以知道其工作方式:
prefork:如果httpd -l列出prefork.c,则需要对下面的段进行配置:
StartServers 5 #启动apache时启动的httpd进程个数。
MinSpareServers 5 #服务器保持的最小空闲进程数。
MaxSpareServers 10 #服务器保持的最大空闲进程数。
MaxClients 150 #最大并发连接数。
MaxRequestsPerChild 1000 #每个子进程被请求服务多少次后被kill掉。0表示不限制,推荐设置为1000。
在该工作模式下,服务器启动后起动5个httpd进程(加父进程共6个,通过ps -ax|grep httpd命令可以看到)。当有用户连接时,apache会使用一个空闲进程为该连接服务,同时父进程会fork一个子进程。直到内存中的空闲进程达到MaxSpareServers。该模式是为了兼容一些旧版本的程序。我缺省编译时的选项。
worker:如果httpd -l列出worker.c,则需要对下面的段进行配置:
StartServers 2 #启动apache时启动的httpd进程个数。
MaxClients 150 #最大并发连接数。
MinSpareThreads 25 #服务器保持的最小空闲线程数。
MaxSpareThreads 75 #服务器保持的最大空闲线程数。
ThreadsPerChild 25 #每个子进程的产生的线程数。
MaxRequestsPerChild 0 #每个子进程被请求服务多少次后被kill掉。0表示不限制,推荐设置为1000。
该模式是由线程来监听客户的连接。当有新客户连接时,由其中的一个空闲线程接受连接。服务器在启动时启动两个进程,每个进程产生的线程数是固定的(ThreadsPerChild决定),因此启动时有50个线程。当50个线程不够用时,服务器自动fork一个进程,再产生25个线程。
perchild:如果httpd -l列出perchild.c,则需要对下面的段进行配置:
NumServers 5 #服务器启动时启动的子进程数
StartThreads 5 #每个子进程启动时启动的线程数
MinSpareThreads 5 #内存中的最小空闲线程数
MaxSpareThreads 10 #最大空闲线程数
MaxThreadsPerChild 2000 #每个线程最多被请求多少次后退出。0不受限制。
MaxRequestsPerChild 10000 #每个子进程服务多少次后被重新fork。0表示不受限制。
该模式下,子进程的数量是固定的,线程数不受限制。当客户端连接到服务器时,又空闲的线程提供服务。 如果空闲线程数不够,子进程自动产生线程来为新的连接服务。该模式用于多站点服务器。
(3) HTTP返头回信息配置:
ServerTokens Prod #该参数设置http头部返回的apache版本信息,可用的值和含义如下:
Prod:仅软件名称,例如:apache
Major:包括主版本号,例如:apache/2
Minor:包括次版本号,例如:apache/2.0
Min:仅apache的完整版本号,例如:apache/ 2.0.54
OS:包括操作系统类型,例如:apache/2.0.54(Unix)
Full:包括apache支持的模块及模块版本号,例如:Apache/2.0.54 (Unix) mod_ssl/2.0.54 OpenSSL/0.9.7g
ServerSignature Off #在页面产生错误时是否出现服务器版本信息。推荐设置为Off
(4) 持久性连接设置
KeepAlive On #开启持久性连接功能。即当客户端连接到服务器,下载完数据后仍然保持连接状态。
MaxKeepAliveRequests 100 #一个连接服务的最多请求次数。
KeepAliveTimeout 30 #持续连接多长时间,该连接没有再请求数据,则断开该连接。缺省为15秒。
别名设置
对于不在DocumentRoot指定的目录内的页面,既可以使用符号连接,也可以使用别名。别名的设置如下:
Alias /download/ "/var/www/download/" #访问时可以输入:http://www.custing.com/download/
Options Indexes MultiViews
AllowOverride AuthConfig
Order allow,deny
Allow from all
CGI设置
ScriptAlias /cgi-bin/ "/mnt/software/apache2/cgi-bin/" # 访问时可以: 。但是该目录下的CGI脚本文件要加可执行权限!
AllowOverride None
Options None
Order allow,deny
Allow from all
个人主页的设置 (public_html)
UserDir public_html (间用户的主页存储在用户主目录下的public_html目录下 URL ~bearzhang/file.html 将读取 /home/bearzhang/public_html/file.html 文件)
chmod 755 /home/bearzhang #使其它用户能够读取该文件。
UserDir /var/html (the URL ~bearzhang/file.html 将读取 /var/html/bearzhang/file.html)
UserDir /var/www/*/docs (the URL ~bearzhang/file.html 将读取 /var/www/bearzhang/docs/file.html)
日志的设置
(1)错误日志的设置
ErrorLog logs/error_log #日志的保存位置
LogLevel warn #日志的级别
显示的格式日下:
[Mon Oct 10 15:54:29 2005] [error] [client 192.168.10.22] access to /download/ failed, reason: user admin not allowed access
(2)访问日志设置
日志的缺省格式有如下几种:
LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" combined
LogFormat "%h %l %u %t "%r" %>s %b" common #common为日志格式名称
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
CustomLog logs/access_log common
格式中的各个参数如下:
%h --客户端的ip地址或主机名
%l --The 这是由客户端 identd 判断的RFC 1413身份,输出中的符号 "-" 表示此处信息无效。
%u --由HTTP认证系统得到的访问该网页的客户名。有认证时才有效,输出中的符号 "-" 表示此处信息无效。
%t --服务器完成对请求的处理时的时间。
"%r" --引号中是客户发出的包含了许多有用信息的请求内容。
%>s --这个是服务器返回给客户端的状态码。
%b --最后这项是返回给客户端的不包括响应头的字节数。
"%{Referer}i" --此项指明了该请求是从被哪个网页提交过来的。
"%{User-Agent}i" --此项是客户浏览器提供的浏览器识别信息。
下面是一段访问日志的实例:
192.168.10.22 - bearzhang [10/Oct/2005:16:53:06 +0800] "GET /download/ HTTP/1.1" 200 1228
192.168.10.22 - - [10/Oct/2005:16:53:06 +0800] "GET /icons/blank.gif HTTP/1.1" 304 -
192.168.10.22 - - [10/Oct/2005:16:53:06 +0800] "GET /icons/back.gif HTTP/1.1" 304 -
用户认证的配置
(1)in the httpd.conf:
AccessFileName .htaccess
.........
Alias /download/ "/var/www/download/"
Options Indexes
AllowOverride AuthConfig
(2) create a password file:
/usr/local/apache2/bin/htpasswd -c /var/httpuser/passwords bearzhang
(3)onfigure the server to request a password and tell the server which users are allowed access.
vi /var/www/download/.htaccess:
AuthType Basic
AuthName "Restricted Files"
AuthUserFile /var/httpuser/passwords
Require user bearzhang
#Require valid-user #all valid user
虚拟主机的配置
(1)基于IP地址的虚拟主机配置
Listen 80
DocumentRoot /www/example1
ServerName
DocumentRoot /www/example2
ServerName
(2) 基于IP和多端口的虚拟主机配置
Listen 172.20.30.40:80
Listen 172.20.30.40:8080
Listen 172.20.30.50:80
Listen 172.20.30.50:8080
DocumentRoot /www/example1-80
ServerName
DocumentRoot /www/example1-8080
ServerName
DocumentRoot /www/example2-80
ServerName
DocumentRoot /www/example2-8080
ServerName
(3)单个IP地址的服务器上基于域名的虚拟主机配置:
# Ensure that Apache listens on port 80
Listen 80
# Listen for virtual host requests on all IP addresses
NameVirtualHost *:80
DocumentRoot /www/example1
ServerName
ServerAlias example1.com. *.example1.com
# Other directives here
DocumentRoot /www/example2
ServerName
# Other directives here
(4)在多个IP地址的服务器上配置基于域名的虚拟主机:
Listen 80
# This is the "main" server running on 172.20.30.40
ServerName server.domain.com
DocumentRoot /www/mainserver
# This is the other address
NameVirtualHost 172.20.30.50
DocumentRoot /www/example1
ServerName
# Other directives here ...
DocumentRoot /www/example2
ServerName
# Other directives here ...
(5)在不同的端口上运行不同的站点(基于多端口的服务器上配置基于域名的虚拟主机):
Listen 80
Listen 8080
NameVirtualHost 172.20.30.40:80
NameVirtualHost 172.20.30.40:8080
ServerName
DocumentRoot /www/domain-80
ServerName
DocumentRoot /www/domain-8080
ServerName
DocumentRoot /www/otherdomain-80
ServerName
DocumentRoot /www/otherdomain-8080
(6)基于域名和基于IP的混合虚拟主机的配置:
Listen 80
NameVirtualHost 172.20.30.40
DocumentRoot /www/example1
ServerName
DocumentRoot /www/example2
ServerName
DocumentRoot /www/example3
ServerName
SSL加密的配置
首先在配置之前先来了解一些基本概念:
证书的概念:首先要有一个根证书,然后用根证书来签发服务器证书和客户证书,一般理解:服务器证书和客户证书是平级关系。SSL必须安装服务器证书来认证。 因此:在此环境中,至少必须有三个证书:根证书,服务器证书,客户端证书。 在生成证书之前,一般会有一个私钥,同时用私钥生成证书请求,再利用证书服务器的根证来签发证书。
SSL所使用的证书可以自己生成,也可以通过一个商业性CA(如Verisign 或 Thawte)签署证书。
签发证书的问题:如果使用的是商业证书,具体的签署方法请查看相关销售商的说明;如果是知己签发的证书,可以使用openssl自带的CA.sh脚本工具。
如果不为单独的客户端签发证书,客户端证书可以不用生成,客户端与服务器端使用相同的证书。
(1) conf/ssl.conf 配置文件中的主要参数配置如下:
Listen 443
SSLPassPhraseDialog buildin
#SSLPassPhraseDialog exec:/path/to/program
SSLSessionCache dbm:/usr/local/apache2/logs/ssl_scache
SSLSessionCacheTimeout 300
SSLMutex file:/usr/local/apache2/logs/ssl_mutex
# General setup for the virtual host
DocumentRoot "/usr/local/apache2/htdocs"
ServerName
ServerAdmin you@example.com
ErrorLog /usr/local/apache2/logs/error_log
TransferLog /usr/local/apache2/logs/access_log
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt
SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key
CustomLog /usr/local/apache2/logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b"
(2) 创建和使用自签署的证书:
a.Create a RSA private key for your Apache server
/usr/local/openssl/bin/openssl genrsa -des3 -out /usr/local/apache2/conf/ssl.key/server.key 1024
b. Create a Certificate Signing Request (CSR)
/usr/local/openssl/bin/openssl req -new -key /usr/local/apache2/conf/ssl.key/server.key -out /usr/local/apache2/conf/ssl.key/server.csr
c. Create a self-signed CA Certificate (X509 structure) with the RSA key of the CA
/usr/local/openssl/bin/openssl req -x509 -days 365 -key /usr/local/apache2/conf/ssl.key/server.key -in /usr/local/apache2/conf/ssl.key/server.csr -out /usr/local/apache2/conf/ssl.crt/server.crt
/usr/local/openssl/bin/openssl genrsa 1024 -out server.key
/usr/local/openssl/bin/openssl req -new -key server.key -out server.csr
/usr/local/openssl/bin/openssl req -x509 -days 365 -key server.key -in server.csr -out server.crt
(3) 创建自己的CA(认证证书),并使用该CA来签署服务器的证书。
mkdir /CA
cd /CA
cp openssl-0.9.7g/apps/CA.sh /CA
./CA.sh -newca
openssl genrsa -des3 -out server.key 1024
openssl req -new -key server.key -out server.csr
cp server.csr newreq.pem
./CA.sh -sign
cp newcert.pem /usr/local/apache2/conf/ssl.crt/server.crt
cp server.key /usr/local/apache2/conf/ssl.key/