1. 前言
本文主要講解如何在centos8或RHEL8上安裝帶mod_ssl和mod_http2模塊的Apache。如何安裝mod_ssl的RHEL8/CentOS 8?如何在RHEL8或CentOS8上安裝mod_http2 ?本文將討論如何安裝帶有mod_ssl和mod_http2模塊的Apache web服務器。Apache是Apache軟件基金會開發的開源web服務器。web服務器(HTTP服務器)是一種網絡服務,用于通過超文本傳輸協議(HTTP)在web上向客戶機提供內容。
在CentOS8或RHEL8上安裝帶mod_ssl和mod_http2模塊的Apache httpd
在Red Hat Enterprise 8 (RHEL 8)中,Apache HTTP服務器已更新到版本2.4.33,并具有以下新特性。
- 預配置多處理模塊(MPM)
- suexec允許用戶使用的最小UID和GID現在分別是1000和500 (RHEL 7 httpd使用100和100)。
- 對于設置httpd服務的環境變量,/etc/sysconfig/httpd不再是受支持的接口
- 現在通過mod_http2包支持HTTP/2。
- 新增模塊:mod_proxy_uswsgi、mod_proxy_hcheck、mod_proxy_fdpass、mod_cache_socache、mod_md。
- 新的子包httpd-filesystem擁有目錄。
- 新的httpd-init.service。服務替換了%post script來創建自簽名的mod_sslkeypair。
- mod_auth_kerb模塊已經被mod_auth_gssapi模塊所取代。
2. 在RHEL8或者CentOS8系統上安裝Apache
RHEL8或CentOS8中的Apache Web服務器包稱為httpd。此包及其工具通過應用程序流存儲庫分發。使用該命令在RHEL8或CentOS8上安裝httpd模塊。
sudo yum install @httpd
執行輸出:
Updating Subscription Management repositories.
Updating Subscription Management repositories.
Last metadata expiration check: 0:43:01 ago on Sat 29 Dec 2018 09:52:44 AM EAT.
Dependencies resolved.
Package Arch Version Repository Size
Installing group/module packages:
httpd x86_64 2.4.35-6.el8+2089+57a79027 rhel-8-for-x86_64-Appstream-beta-rpms 1.4 M
httpd-filesystem noarch 2.4.35-6.el8+2089+57a79027 rhel-8-for-x86_64-appstream-beta-rpms 32 k
httpd-tools x86_64 2.4.35-6.el8+2089+57a79027 rhel-8-for-x86_64-appstream-beta-rpms 99 k
mod_ssl x86_64 1:2.4.35-6.el8+2089+57a79027 rhel-8-for-x86_64-appstream-beta-rpms 127 k
mod_http2 x86_64 1.11.3-1.el8+2087+db8dc917 rhel-8-for-x86_64-appstream-beta-rpms 156 k
Installing dependencies:
apr x86_64 1.6.3-8.el8 rhel-8-for-x86_64-appstream-beta-rpms 125 k
apr-util x86_64 1.6.1-6.el8 rhel-8-for-x86_64-appstream-beta-rpms 105 k
redhat-logos-httpd noarch 80.5-1.el8 rhel-8-for-x86_64-baseos-beta-rpms 24 k
Installing weak dependencies:
apr-util-bdb x86_64 1.6.1-6.el8 rhel-8-for-x86_64-appstream-beta-rpms 25 k
apr-util-openssl x86_64 1.6.1-6.el8 rhel-8-for-x86_64-appstream-beta-rpms 27 k
Installing module profiles:
httpd/default
Enabling module streams:
httpd 2.4
Transaction Summary
Install 10 Packages
Total download size: 2.1 M
Installed size: 5.7 M
Is this ok [y/N]: y
這將安裝以下httpd包。
- httpd: Apache HTTP web服務器。
- httpd-filesystem: 包含Apache HTTP服務器的基本目錄布局,包括目錄的正確權限。
- httpd-tools: 包含可以與Apache HTTP服務器一起使用的工具
- mod_http2: Apache上的2個協議(h2+h2c)
- mod_ssl: 通過安全套接字層(SSL)和傳輸層安全性(TLS)協議為Apache Web服務器提供強大的加密。
- 以及其它的依賴關系 – apr*
默認情況下,httpd服務從以下位置讀取配置。
/etc/httpd/conf/httpd.conf – 這是主要的httpd配置文件。
/etc/httpd/conf.d/ – 這是主配置文件中包含的配置文件的輔助目錄。您可以將類似于VirtualHosts的配置文件放在這個目錄中。
/etc/httpd/conf.modules.d/ – 包含加載RHEL中打包的動態模塊的配置文件。首先處理此目錄中的配置文件。
/usr/lib64/httpd/modules/ – 帶有httpd模塊的目錄。
3. 在RHEL8或CentOS 8上管理httpd服務
本節將描述如何管理Apache HTTP服務狀態——啟動、停止、重啟和檢查當前狀態。
3.1 開啟httpd服務:
sudo systemctl start httpd.service
使用下面的命令,使httpd服務在啟動時自動啟動:
sudo systemctl enable httpd.service
或者
使用一條命令設置httpd服務開機自啟動及立即啟動。
sudo systemctl enable --now httpd.service
確認服務是否設置為開機啟動。
sudo systemctl is-enabled httpd.service
enabled
3.2 停止httpd服務
要停止正在運行的httpd服務,請輸入以下命令:
sudo systemctl stop httpd.service
要防止服務在啟動時自動啟動,請鍵入:
sudo systemctl disable httpd.service
3.3 重啟httpd服務
有兩個重新啟動httpd服務的選項。
- 停止正在運行的httpd服務,并立即重新啟動它—這在安裝或刪除動態加載的模塊(如php)之后非常有用。
sudo systemctl restart httpd.service
- 重新加載配置而不影響活動請求—正在運行的httpd服務將只重新加載其配置文件,當前正在處理的所有請求將繼續使用舊的配置。
sudo systemctl reload httpd.service
要檢查配置中可能出現的錯誤,輸入:
sudo apachectl configtest
Syntax OK
如果配置文件沒有錯誤,您應該獲得Syntax OK的輸出結果。
4. 在RHEL8或者CentOS8系統上加載SSL模塊
我們安裝了mod_ssl模塊,但是在使用它之前,必須使用LoadModule指令加載模塊。
在RHEL8或者CentOS8系統上加載SSL模塊
要加載mod_ssl DSO,請在httpd.conf配置文件的末尾添加下面一行。
LoadModule ssl_module modules/mod_ssl.so
見下面截圖。
在RHEL8或者CentOS8系統上加載SSL模塊
加載模塊后重新啟動Web服務器以重新加載配置。
sudo systemctl restart httpd
默認的SSL配置文件/etc/httpd/conf.d/ssl.conf。例如,您可以通過修改這個文件中的SSL Protocol指令來禁用SSL版本2和SSL版本3。
SSLProtocol all -SSLv2 -SSLv3
下面一行將禁用所有的SSL和TLS協議除了TLS 1和以上
SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2
更改之后重新啟動Apache守護進程。
sudo systemctl restart httpd
要檢查啟用或禁用了哪些版本的SSL和TLS,可以使用openssl s_client -connect命令。openssl s_client -connect命令。openssl s_client -connect hostname:port -protocol
openssl s_client -connect <hostname>:<port> -<protocol>
可選的協議-ssl2, -ssl3,-tls1,-tls1_1,-tls1_2 等等。
查看以下案例
# Test if SSLv3 is enabled $ openssl s_client -connect localhost:443 -ssl3 # Test if TLSv1.2 is enable $ openssl s_client -connect localhost:443 -tls1_2
輸出類似的結果:
# openssl s_client -connect localhost:443 -tls1_2 CONNECTED(00000004) depth=1 C = US, O = Unspecified, OU = ca-4688871391028164607, CN = rhel8.local, emailAddress = [email protected] verify error:num=19:self signed certificate in certificate chain --- Certificate chain 0 s:C = US, O = Unspecified, CN = rhel8.local, emailAddress = [email protected] i:C = US, O = Unspecified, OU = ca-4688871391028164607, CN = rhel8.local, emailAddress = [email protected] 1 s:C = US, O = Unspecified, OU = ca-4688871391028164607, CN = rhel8.local, emailAddress = [email protected] i:C = US, O = Unspecified, OU = ca-4688871391028164607, CN = rhel8.local, emailAddress = [email protected] --- Server certificate -----BEGIN CERTIFICATE----- MIIErTCCApWgAwIBAgIIfoNXRr0/654wDQYJKoZIhvcNAQELBQAwezELMAkGA1UE BhMCVVMxFDASBgNVBAoMC1Vuc3BlY2lmaWVkMR8wHQYDVQQLDBZjYS00Njg4ODcx MzkxMDI4MTY0NjA3MRQwEgYDVQQDDAtyaGVsOC5sb2NhbDEfMB0GCSqGSIb3DQEJ ARYQcm9vdEByaGVsOC5sb2NhbDAeFw0xODEyMjkwNzQ3NDFaFw0yMDAxMDMwOTI3 NDFaMFoxCzAJBgNVBAYTAlVTMRQwEgYDVQQKDAtVbnNwZWNpZmllZDEUMBIGA1UE AwwLcmhlbDgubG9jYWwxHzAdBgkqhkiG9w0BCQEWEHJvb3RAcmhlbDgubG9jYWww ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDCXG/tlwvg8jf7Aa+rBXt8 V0ZV5krqXnkF3N2xccKjJLKRY6psny0rdaf7qNF9fjNPTNmP6PdqSvpxvhG0gjoV lo0PU79M7sq74esx8A+UdSqPkqDfnrszBthb+PYBj0yQu88/0aS6GIPWbeWF235Z uRIAYdin92ZmcXqsafX1qGlErgZN+UrisrVPZFgM2rKWMnuIxOmSeqwdsrHGIlv2 lROipNxEosqqqBXAVS3VX7Q8yMaGT3GgU6Nf8TbT84lnMDsYj4bgtlh1Ry+ck8jA muN3rujvgCsTWQ1v4s4m5/p/iq3aGFOyIq8z2qdCA24leYhSXpPrFqkKXIr7UkTt AgMBAAGjVjBUMA4GA1UdDwEB/wQEAwIFoDAJBgNVHRMEAjAAMBYGA1UdEQQPMA2C C3JoZWw4LmxvY2FsMB8GA1UdIwQYMBaAFOwi+L9TpxZTDY3TYF29uCq5mW7MMA0G CSqGSIb3DQEBCwUAA4ICAQAWgBjsNHhcI9dAAs1cuhmox6j7EYS2nGDe+BVlMdtE TVBbSfUV27L+9G3NF9XMOjrUmX67mBqEsGwLiyUaDSFS8JgcJ1zw0V2Q0k8PLgnB uGKOwkKvPWGPtB2GGJCTBbp0WCByPNsufyIG8+7GHov0StG6s8nYUSSjHHQcZpx4 2BybuLmGt6GvSgN+TMPJl5mApPHNdpUrrf8DWyyP2yAgoB6/XSy3rafBP+1WE38C s+iHgFoTH05iFtPtMVF1/oLVA4jDfU0T4thqoHFLNwAWYPts6dOgOwT9rZe8e0Ft bXCd4PJ+3RZHB+JV+IPVF6nF+GVXxr0jT/Fu6+15dHVWbdZUWzscdSV8lae0vyhp jQRgUdISqbVhmWt1ruRTgZ443fj6NgrFeht0X3pS1WnHyxMT3Aj6nAZnInlZoaX0 xNdPE31ZsgWn6yoFXVEWlVs50xZ+31V+2/LDLQiqVYMRoid1uRZxAp4X80AMUfqc v4g3/ebLhLsdStCVT7YASrJ/a8fRNNFEJhHOlPaqVsaerBvKrviyjocEQsPzX2cK oP1RlmDMUoDqFHUo8jIFsWAC2YKe0rsNTSwZTYUHZuc+FzRyKKmpsIrzFMNlgZ3h evqQPJDRyyB+Nru6mxqSn6L36PbdfYkWOWEDmllnCTAATopYBtmegsYncFRNnEnB Bg== -----END CERTIFICATE----- subject=C = US, O = Unspecified, CN = rhel8.local, emailAddress = [email protected] issuer=C = US, O = Unspecified, OU = ca-4688871391028164607, CN = rhel8.local, emailAddress = [email protected] .......
配置SSL密鑰和證書的指令如下:
SSLCertificateFile /etc/pki/tls/certs/server.crt SSLCertificateKeyFile /etc/pki/tls/private/server.key
配置防火墻
如果正在運行firewalld服務,請允許端口80和443。
sudo firewall-cmd --add-service={http,https} --permanent
success
sudo firewall-cmd --reload
success
firewall-cmd --list-services
cockpit dhcpv6-client http https ssh
5. 在RHEL8或者CentOS8系統上加載HTTP/2模塊- mod_http2
通過加載mod_http2模塊來支持HTTP/2
在RHEL8或者CentOS8系統上加載HTTP/2模塊- mod_http2
LoadModule http2_module modules/mod_http2.so
也添加下面的協議指令
Protocols h2 h2c http/1.1
協議指令參數的含義:
h2 – 指示Apache在SSL/TLS上支持HTTP/2協議
h2c – 指示Apache通過TCP支持HTTP/2
http/1.1 – 如果客戶端不接受HTTP/2,那么通過HTTP/1.1服務請求
重新啟動Apache web服務器以重新加載配置。
sudo systemctl restart httpd
6. 在RHEL8或者CentOS8系統上設置虛擬主機
Apache HTTP服務器有一個內置的虛擬主機,允許根據請求的IP地址、主機名或端口提供信息。將您的虛擬主機配置文件放在/etc/httpd/conf.d/目錄中。
舉例:
sudo vim /etc/httpd/conf.d/example.conf
輸出以下類似的結果:
<VirtualHost *:80> ServerAdmin [email protected] DocumentRoot "var/www/html/example" ServerName linuxrumen.com ServerAlias www.linuxrumen.com ErrorLog "/var/log/httpd/example-error_log" CustomLog "/var/log/httpd/example-access_log" common </VirtualHost>
ServerName必須是分配給承載站點的服務器的有效DNS名稱。
重新啟動httpd服務以激活新創建的虛擬主機。
sudo systemctl restart httpd
7. 總結
通過本文,您應該可以學習到如何在CentOS8或者RHEL8系統上安裝和配置帶mod_ssl和mod_http2模塊的Apache httpd服務了吧?
本文已同步至博客站,尊重原創,轉載時請在正文中附帶以下鏈接:
https://www.linuxrumen.com/rmxx/1490.html
點擊了解更多,快速查看更多的技術文章列表。
