我在 one.com 上托管了一个 Apache Web 服务器。OpenSSL 模块处于活动状态并正常工作。我可以操作 .htaccess 并看到响应。我想依赖 SSL,通过重写进行重定向可以正常工作。此外,我需要用户身份验证。它可以很好地与 配合使用AuthType Basic。只有一个缺点:当用户请求http://sub.example.com/non-existent-file(没有 SSL,当然是用我的真实域名),他们将看到没有 SSL 的登录提示。当然,我想禁止发送未加密的密码。我读到,最简单的解决方案是使用指令SSLRequireSSL,但我的 Apache 似乎不喜欢它。让我分解示例以重现错误。完全黑色的 .htaccess文件允许服务器在 http 和 https 上提供内容。如果我只SSLRequireSSL在 .htaccess 中添加内容而不添加任何其他内容,则会收到 HTTP 500 内部服务器错误。
.htaccess
SSLRequireSSL
→ 500 内部服务器错误
为什么会这样?我SSLRequireSSL该如何使用?
我的完整 .htaccess 文件没有SSLRequireSSL:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=307]
Redirect 307 /index.php /pages/welcome.php
</IfModule>
<IfModule mod_authn_file.c>
AuthName "Get username and password from admin."
AuthType Basic
<if "%{REMOTE_ADDR} -ipmatch '192.168.0.0/24'">
AuthUserFile /home/user/www/sub.example.com/html/.htpasswd
</if>
<else>
AuthUserFile /customers/1/a/0/example.com/httpd.www/sub/.htpasswd
</else>
Require valid-user
Order deny,allow
Deny from all
Allow from 192.168.0.0/24 w3.org googlebot.com
Satisfy Any
</IfModule>
我无法确定我的 Apache 版本。PHP 函数apache_get_version()不存在。php_sapi_name()返回cgi-fcgi。我可以访问 SSH 终端。没有以 apache… 或 Apache… 开头的命令。但我认为 Apache 正在运行,因为其中phpinfo()提到一个常量$_SERVER['SERVER_SOFTWARE']设置为Apache并且$_ENV['SERVER_SOFTWARE']也设置为Apache。
答案1
以下是我使用.htaccess 进行管理的方法:
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
<If "%{HTTPS} == 'on'">
AuthType Basic
AuthName "Restricted Files"
AuthBasicProvider file
AuthUserFile "/var/www/html/secrets/.passwd"
Require valid-user
</If>