为什么要是使用https
http协议的缺点
- 通信使用明文,内容可能被窃听(重要密码泄露)
- 不验证通信方身份,有可能遭遇伪装(跨站点请求伪造)
- 无法证明报文的完整性,有可能已遭篡改(运营商劫持)
HTTPS的优点
- 使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器
- HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性
- HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本
申请ssl证书
1.输入域名点击创建
2.输入平时自己用的邮箱,CSR选择浏览器生成,然后点击创建
3.会生成一个DNS配置,然后我们前往对应的所购买的域名服务商去添加一条解析规则
4.我是在阿里云购买的域名所以前往阿里云控制台找到自己购买的域名然后填写上面的对应规则
5.当配置完成后,回到刚才下发的ssl证书的网站中,点击验证按钮,如果配置解析成功会出现以下界面,否则失败,请仔细重新填写,或者等5到10分钟,等待解析规则生效
6.复制里面的内容保存成相应文件
Apache配置支持HTTPS的SSL证书
- 编辑Apache根目录下conf/httpd.conf 文件 找到#LoadModule ssl_module/mod_ssl.so 和#Include conf/extra/httpd-ssl.conf 去掉前面的#号注释
- 打开httpd-ssl.conf文件,添加一条记录,一般在
xmapp\\apache\\conf\\extra下面
<VirtualHost *:443>
DocumentRoot "你网站的路径" #如 C:\php\wwww\itnavs\blogs\blogs-itnavs ServerName www.blogs.itnavs.com ServerAlias blogs.itnavs.com ServerAdmin 470193837@qq.com ServerName itnavs.com SSLEngine on SSLCertificateFile "刚才生成的ssl路径.crt" #如 https/itnavs/blogs/blogs_itnavs.crt SSLCertificateKeyFile "刚才生成的ssl路径.key" #如 https/itnavs/blogs/blogs_itnavs.key SSLCertificateChainFile "刚才生成的ssl路径.crt" #如 https/itnavs/blogs/blogs_itnavschain.crt <Directory "你网站的路径"> #如 C:\php\wwww\itnavs\blogs\blogs-itnavs Options FollowSymLinks AllowOverride All Require all granted </Directory>
</VirtualHost>
- 重启Apache,输入https://blogs.itnavs.com/ 浏览器如若出现绿色锁说明配置成功
域名配置https已完成
httpd-ssl.conf语法扩充说明
ServerAdmin指令:
语法: ServerAdmin email-address|URL
用来设置服务器返回给客户端的错误信息中包含的管理员邮件地址。便于用户在收到错误信息后能及时与管理员取得联系。
ServerName指令:
语法:ServerName [scheme://] FQDN [:port]
用来设置服务器用于辨识自己的主机名和端口号。主要用于创建重定向URL。
DocumentRoot指令:
语法:DocumentRoot directory-path
用来设置httpd提供服务的目录。即你所在项目入口处的文件夹。
ErrorLog指令:
语法: ErrorLog file-path
来设置当服务器遇到错误时记录错误日志的文件。如果file-path不是以/开头的绝对路径,那么将会被认为是一个相对于ServerRoot的相对路径。
CustomLog指令:
语法: ErrorLog file-path common
设置日志文件,并指明日志文件所用的格式(通常通过格式的名字)。
<Directory 目录路径>...</Directory>
为主目录或虚拟目录设置权限
DirectoryIndex index.html index.htm index.php
设置访问目录后进入的默认文件
AllowOverride all
定义位于每个目录下.htaccess(访问控制)文件中的指令类型。none为禁止使用.htaccess文件
特性:
IndexesMultiViewsAllExecCGIFollowSymLinksIncludesIncludesNoExec
| 命令 | 说明 |
| Indexes | 允许目录浏览,当客户仅指定要访问的目录,但没有指定要访问目录下的哪个文件,而且目录下不存在默认文档时,Apache以超文本形式返回目录中的文件和子目录列表(虚拟目录不会出现在目录列表中) |
| MultiViews | 允许内容协商的多重视图,MultiViews其实是Apache的一个智能特性。当客户访问目录 中一个不存在的对象时,如访问“http://192.168.66.6/data/a”,则Apache会查找这个目录下所有a.*文件。由于 data目录下存在a.gif文件,因此Apache会将a.gif文件返回给客户,而不是返回出错信息 |
| All | All包含了除MultiViews之外的所有特性,如果没有Options语句,默认为All |
| ExecCGI | 允许在该目录下执行CGI脚本 |
| FollowSymLinks | 可以在该目录中使用符号连接 |
| Includes | 允许服务器端包含功能 |
| IncludesNoExec | 允许服务器端包含功能,但禁用执行CGI脚本 |
一旦定义允许目录浏览 ,就会将Web站点的文件夹和文件名结构暴露给黑客。目录浏览还会允许黑客浏览文件并掌握服务器配置信息,所以指定该权限往往带来安全性上的隐患。除非有充足的理由要使用目录浏览,否则应该禁用它
.htaccess语法扩充说明
RewriteCond语法参数:
# 位于行首时表示注释。
-d 测试字符串是否是已存在的目录
-f 测试字符串是否是已存在的文件
-s 测试字符串所指文件是否有"非零"值(非空的常规文件)
-l视为一个路径名并测试它是否为一个存在的符号连接(符号连接)
-x(可执行)视为一个路径名并测试它是否为一个存在的、具有可执行权限的文件。该权限由操作系统检测
RewriteRule语法参数:
[F] Forbidden(禁止) : 命令服务器返回 403 Forbidden错误给用户浏览器 [L] Last rule(最后一条规则) : 告诉服务器在本条规则执行完后停止重写URL [N] Next(下一条规则) : 告诉服务器继续重写,指导所有重写指令都执行过 [G] Gone(丢失) : 命令服务器返回410 GONE(no longer exists)错误消息 [P] Proxy(代理) : 告诉服务器通过mod_proxy模块处理用户请求 [C] Chain(捆绑) : 告诉服务器将当前的规则和前面的规则进行捆绑
