是否有使用SSL的标准/推荐的Apache配置。

我现在的这个是基于不同的网络资源，但自从我上次查看它以来，事情可能已经发生了变化。

谢谢

安德鲁

#安全套接字

SSL证书文件/etc/letscrypt/live/[dir]/cert.pem

SSL认证密钥文件/ETC/letsENCRYPT/live/[目录]/Prikey.pem

SSL认证链文件/ETC/letsENCRYPT/live/[目录]/chain.pem

#SSL装订

SSLStaplingCacheshmcb：/tmp/staping_cache(128000)

#中级配置，按需调整

SSL协议全部-SSLv2-SSLv3

SSL密码套件ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA：！aNULL：！eNULL：！EXPORT：！DES：！RC4：！MD5：！PSK：！aECDH：！EDH-DSS-DES-CBC3-SHA：！EDH-RSA-DES-CBC3-SHA：！KRB5-DES-CBC3-SHA

SSLHonorCipherOrder启用

SSL压缩关闭

SSLOptions+StrictRequire，在POST#7中通过平均修复解决

再次感谢！

_AZ的解决方案是：

SSL认证文件/etc/letscrypt/live/[dir]/fullchain.pem

SSL认证密钥文件/ETC/letsENCRYPT/live/[目录]/Prikey.pem

不要担心SSLCA的…，aavMurphy：

是否有使用SSL的标准/推荐的Apache配置。

是的，有。

谢谢阿兹。

这似乎是一个如此显而易见的问题，以至于必须有一个官方的答案。

=>Mozilla配置省略了链文件

=>sslLabs测试想要它(没有它，得到B，有它，A+)

如果你在Apache2.4.8或更高版本中将fullchain.pem传递给SSLcerfiateFile.pem，它将自动为你处理链接中间件。

如果您在配置生成器上的Server Version字段中输入您的Apache版本，它将自动为您调整配置，以反映上述情况。

OpenSSL版本和密码套件选择也是如此。，再次感谢_az

这个得A+

这是推荐配置的摘录。我是否需要SSLCA认证文件？

SSL认证文件/etc/letscrypt/live/[dir]/fullchain.pem

SSL认证密钥文件/ETC/letsENCRYPT/live/[目录]/Prikey.pem

#使用客户端证书身份验证时取消注释以下指令

#SSLCA认证文件/路径/to/ca_certs_for_CLIENT_AUTHENTICATION，不，它是用于相互身份验证的客户端证书(如果您需要它，您会知道的)。，再次感谢！

_AZ的解决方案是：

SSL认证文件/etc/letscrypt/live/[dir]/fullchain.pem

SSL认证密钥文件/ETC/letsENCRYPT/live/[目录]/Prikey.pem

而且不用担心SSLCA认证文件指令