RockyLinux SSL/TLS加密配置（手把手教你为RockyLinux服务器启用HTTPS安全加密）

步骤一：安装OpenSSL工具

大多数RockyLinux系统默认已安装OpenSSL，但为了确保万无一失，我们可以手动检查并安装：

sudo dnf update -ysudo dnf install openssl -y  

步骤二：生成自签名SSL证书（测试用）

如果你只是用于本地测试或内部系统，可以创建一个自签名证书。注意：自签名证书不会被浏览器信任，生产环境建议使用Let's Encrypt等免费CA颁发的证书。

# 创建证书存放目录sudo mkdir -p /etc/ssl/privatesudo chmod 700 /etc/ssl/private# 生成私钥和自签名证书sudo openssl req -x509 -nodes -days 365 \  -newkey rsa:2048 \  -keyout /etc/ssl/private/rockylinux.key \  -out /etc/ssl/certs/rockylinux.crt \  -subj "/C=CN/ST=Beijing/L=Beijing/O=MyOrg/CN=your-domain.com"  

请将 your-domain.com 替换为你自己的域名。

步骤三：为Apache配置SSL/TLS（以Apache为例）

如果你使用的是Apache Web服务器，需要启用mod_ssl模块：

sudo dnf install mod_ssl -ysudo systemctl restart httpd  

然后编辑虚拟主机配置文件（例如 /etc/httpd/conf.d/ssl.conf 或你自定义的站点配置）：

<VirtualHost _default_:443>    ServerName your-domain.com    DocumentRoot /var/www/html    SSLEngine on    SSLCertificateFile "/etc/ssl/certs/rockylinux.crt"    SSLCertificateKeyFile "/etc/ssl/private/rockylinux.key"    <Directory "/var/www/html">        AllowOverride All        Require all granted    </Directory></VirtualHost>  

保存后，测试配置并重启Apache：

sudo httpd -tsudo systemctl restart httpd  

步骤四：配置防火墙允许HTTPS流量

确保firewalld允许443端口（HTTPS）：

sudo firewall-cmd --permanent --add-service=httpssudo firewall-cmd --reload  

生产环境建议：使用Let's Encrypt免费证书

对于正式网站，强烈推荐使用由Let's Encrypt提供的免费、自动化的可信SSL证书。你可以通过Certbot工具轻松获取：

sudo dnf install certbot python3-certbot-apache -ysudo certbot --apache -d your-domain.com  

Certbot会自动完成证书申请、配置和自动续期，极大简化了RockyLinux Web服务器安全的维护工作。

总结

通过以上步骤，你已经成功在RockyLinux上配置了SSL/TLS加密，实现了HTTPS安全通信。无论是使用自签名证书进行测试，还是通过Let's Encrypt部署生产级证书，都显著提升了网站的安全性。记住定期更新系统和证书，以应对新的安全威胁。

希望这篇教程能帮助你掌握RockyLinux SSL/TLS配置的核心技能！如有疑问，欢迎在评论区交流。