În acest ghid, vei învăța cum să instalezi un certificat SSL pe Apache, pas cu pas. Instrucțiunile se aplică pentru Apache 2.4, linia de versiuni stabile actuale.
Cuprins
- Cum se generează un cod CSR pe Apache?
- Instalarea unui certificat SSL pe Apache
- Testarea instalării SSL
- De unde poți cumpăra un certificat SSL pentru Apache?
Cum se generează un cod CSR pe Apache?
Certificate Signing Request, sau pe scurt CSR, este un fișier text de mici dimensiuni care conține informații despre proprietatea domeniului tău și/sau compania ta. Generarea unui CSR este o parte esențială a procesului de achiziție SSL, iar toate Autoritățile de Certificare comerciale le solicită solicitanților SSL să finalizeze acest pas.
Ai două opțiuni:
- Generează CSR-ul automat folosind Generatorul nostru de CSR.
- Urmează tutorialul nostru pas cu pas despre cum să creezi CSR-ul pe Apache.
Instalarea unui certificat SSL pe Apache
După ce Autoritatea de Certificare semnează și îți trimite certificatul SSL, îl poți instala în siguranță pe serverul tău Apache. Urmează pașii de mai jos.
Pasul 1: Pregătește fișierele certificatului
Descarcă și extrage fișierele din folderul ZIP primit de la Autoritatea de Certificare. De obicei vei găsi:
- Fișierul .crt – certificatul tău SSL principal.
- Fișierul .ca-bundle – certificatele intermediare (și rădăcină) care formează lanțul de încredere. Acest lanț este necesar pentru ca browserele și aplicațiile să poată verifica certificatul tău. Fără el, unii clienți pot marca site-ul tău ca nesigur.
Încarcă aceste fișiere, împreună cu cheia privată (.key) generată odată cu CSR-ul tău, într-un director securizat de pe server, de exemplu /etc/ssl/. Păstrează cheia privată lizibilă doar de root (chmod 600).
Recomandat (Apache 2.4.8 și versiuni mai noi): combină certificatul tău și pachetul CA într-un singur fișier „full chain”. Începând cu Apache 2.4.8, directiva SSLCertificateFile încarcă certificatele intermediare direct din acest fișier, motiv pentru care vechea directivă SSLCertificateChainFile nu mai este necesară:
cat your_domain.crt your_domain.ca-bundle > your_domain_fullchain.crt
Dacă CA-ul tău a livrat certificatele intermediare ca fișiere separate, concatenează-le cu certificatul tău mai întâi, urmate de intermediare ordonate de la cel care a semnat certificatul tău până la rădăcină (certificatul rădăcină în sine este opțional):
cat your_domain.crt intermediate.crt root.crt > your_domain_fullchain.crt
De exemplu, la instalarea unui certificat Sectigo PositiveSSL, ar trebui să concatenezi certificatul domeniului tău cu pachetul intermediar Sectigo. Folosește întotdeauna numele exacte ale fișierelor furnizate de CA-ul tău.
Pasul 2: Activează modulul SSL (mod_ssl)
Înainte de a configura HTTPS, asigură-te că modulul SSL al Apache este activat.
Pe Debian/Ubuntu, activează mod_ssl (și mod_headers, de care vei avea nevoie pentru antetul HSTS din Pasul 4):
sudo a2enmod ssl
sudo a2enmod headers
Pe RHEL/CentOS/AlmaLinux/Rocky Linux, instalează pachetul modulului SSL (modulul se încarcă automat odată instalat):
sudo dnf install mod_ssl
Pasul 3: Localizează fișierul de configurare Apache
În funcție de sistemul de operare și versiunea Apache, configurația poate fi stocată în fișiere diferite. Caută httpd.conf, apache2.conf sau un fișier de configurare dedicat SSL/site, în una dintre următoarele locații:
- Debian/Ubuntu: configurația principală /etc/apache2/apache2.conf; configurații per-site în /etc/apache2/sites-available/.
- RHEL/CentOS/AlmaLinux/Rocky: configurația principală /etc/httpd/conf/httpd.conf; configurația SSL /etc/httpd/conf.d/ssl.conf.
Notă: Dacă serverul tău Apache rulează pe Ubuntu, poți urma și instrucțiunile dedicate de instalare SSL pentru Ubuntu.
Pasul 4: Configurează virtual host-ul
Mai întâi, fă o copie de rezervă a fișierului de configurare curent. Astfel, dacă ceva nu merge bine, poți reveni rapid la modificările anterioare:
sudo cp /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf.backup
Acum deschide fișierul de configurare și configurează virtual host-ul HTTPS (portul 443). Un virtual host complet și modern arată astfel:
<VirtualHost *:443>
ServerName www.example.com
ServerAdmin [email protected]
DocumentRoot /var/www/example
SSLEngine on
# Apache 2.4.8+ : server certificate + intermediate chain in ONE file
SSLCertificateFile /etc/ssl/example_com_fullchain.crt
SSLCertificateKeyFile /etc/ssl/example_com.key
# Recommended TLS hardening (2026)
SSLProtocol -all +TLSv1.2 +TLSv1.3
SSLHonorCipherOrder off
# Tell browsers to always use HTTPS (enable only after HTTPS works)
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
ErrorLog ${APACHE_LOG_DIR}/example_error.log
CustomLog ${APACHE_LOG_DIR}/example_access.log combined
</VirtualHost>
Înlocuiește example.com, rădăcina documentului și căile fișierelor cu valorile tale proprii. Iată ce fac directivele cheie:
- SSLEngine on – activează SSL/TLS pentru acest virtual host.
- SSLCertificateFile – calea către fișierul tău full-chain (certificat + intermediare) creat în Pasul 1. Pe Apache 2.4.8+ această singură directivă înlocuiește directiva depreciată SSLCertificateChainFile.
- SSLCertificateKeyFile – calea către cheia ta privată, generată împreună cu CSR-ul.
- SSLProtocol -all +TLSv1.2 +TLSv1.3 – dezactivează protocoalele SSL/TLS vechi și nesigure și permite doar TLS 1.2 și TLS 1.3.
- Strict-Transport-Security (HSTS) – instruiește browserele să se conecteze doar prin HTTPS. Necesită mod_headers (activat în Pasul 2). Activează-l doar după ce ai confirmat că HTTPS funcționează corect.
Asigură-te că niciuna dintre aceste linii nu începe cu # (ceea ce le-ar transforma în comentarii). Pe Debian/Ubuntu, ${APACHE_LOG_DIR} se rezolvă la /var/log/apache2; pe sistemele bazate pe RHEL folosește în schimb /var/log/httpd/.
Servere vechi: Dacă folosești o versiune Apache mai veche de 2.4.8, păstrează certificatul și lanțul în fișiere separate și adaugă directiva depreciată SSLCertificateChainFile /etc/ssl/example_com.ca-bundle sub SSLCertificateFile. Pe orice server modern, abordarea cu full-chain de mai sus este preferată.
Întărire avansată (opțional): pentru un set de cifruri mai puternic și OCSP stapling, generează o configurație personalizată cu Mozilla SSL Configuration Generator. OCSP stapling necesită și o directivă SSLStaplingCache în configurația globală Apache.
Pasul 5: Redirecționează HTTP către HTTPS
Pentru a te asigura că vizitatorii ajung întotdeauna la versiunea securizată a site-ului tău, adaugă un al doilea virtual host pe portul 80 care redirecționează permanent tot traficul HTTP către HTTPS:
<VirtualHost *:80>
ServerName www.example.com
Redirect permanent / https://www.example.com/
</VirtualHost>
Pasul 6: Testează configurația și repornește Apache
Testează întotdeauna configurația înainte de repornire. O eroare de sintaxă poate scoate site-ul offline, deci rulează:
sudo apachectl configtest
Dacă totul este corect, vei vedea:
Syntax OK
Acum aplică modificările reîncărcând Apache (o reîncărcare activează noua configurație fără a întrerupe conexiunile existente):
sudo systemctl reload apache2 # Debian/Ubuntu
sudo systemctl reload httpd # RHEL/CentOS/AlmaLinux/Rocky
Dacă o reîncărcare nu este suficientă, repornește serviciul în schimb (sudo systemctl restart apache2 sau httpd). Pe sistemele mai vechi fără systemd, folosește sudo apachectl graceful.
Dacă instalarea a fost realizată cu succes, felicitări! Site-ul tău este acum securizat cu SSL/TLS.
Testarea instalării SSL
După instalarea certificatului SSL pe Apache, verifică dacă totul funcționează conform așteptărilor. O scanare instantanee va dezvălui orice erori sau vulnerabilități care ar putea afecta performanța certificatului tău. Folosește instrumentul nostru SSL Checker pentru a verifica starea instalării tale.
Poți confirma și certificatul și lanțul său direct din linia de comandă:
openssl s_client -connect www.example.com:443 -servername www.example.com
De unde poți cumpăra un certificat SSL pentru Apache?
Cel mai bun loc de unde poți obține un certificat SSL pentru Apache este SSL Dragon. Oferim prețuri și reduceri imbatabile pentru întreaga noastră gamă de produse SSL și am selectat cu grijă cele mai bune branduri SSL de pe piață pentru a-ți echipa site-ul cu protecție de neînvins. Toate certificatele noastre SSL sunt compatibile cu Apache. Obține un certificat SSL acum!
Reține că durata de viață a certificatelor SSL/TLS se reduce: valabilitatea maximă scade la 200 de zile în martie 2026, la 100 de zile în 2027 și la doar 47 de zile până în 2029. Ciclurile de viață mai scurte înseamnă reînnoiri mai frecvente, deci merită să îți planifici din timp procesul de reînnoire (și automatizarea acestuia).
Întrebări frecvente
SSL (Secure Sockets Layer), succedat acum de TLS (Transport Layer Security), este un protocol criptografic care criptează comunicarea dintre două puncte finale de rețea, de exemplu un server web precum Apache și browserul unui utilizator.
Pe distribuțiile Debian și Ubuntu, caută în configurație directiva protocolului SSL:grep -ir SSLProtocol /etc/apache2/
Dacă SSL este configurat, vei vedea un rezultat similar cu:/etc/apache2/mods-available/ssl.conf:SSLProtocol +TLSv1.2 +TLSv1.3
Poți confirma și că modulul SSL este încărcat în serverul care rulează:apachectl -M | grep ssl
Fișierul de configurare poate fi stocat în locații diferite în funcție de sistemul de operare și configurația ta. Pe Debian/Ubuntu, verifică /etc/apache2/apache2.conf și fișierele per-site din /etc/apache2/sites-available/. Pe RHEL/CentOS/AlmaLinux/Rocky, verifică /etc/httpd/conf/httpd.conf și /etc/httpd/conf.d/ssl.conf.
SSLCertificateFile indică spre certificatul serverului tău. Începând cu Apache 2.4.8, același fișier poate conține și certificatele intermediare, servind astfel lanțul complet. SSLCertificateChainFile era vechea modalitate de a furniza acele intermediare separat, dar a fost depreciată începând cu Apache 2.4.8. Pe orice server modern, plasează certificatul și intermediarele într-un singur fișier și referențiază-l doar cu SSLCertificateFile.
Economisește 10% la certificatele SSL în momentul plasării comenzii!
Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10


