使用 Apache 反向代理并自动启用 HTTPS 的通用教程

9 months ago

Ruian Ding

2 minutes

本教程适用于希望使用 Apache 反向代理本地服务，并通过 Let’s Encrypt 自动申请 SSL 证书，实现 HTTPS 访问。

1. 配置 DNS 解析

在你的 DNS 服务商（如 Cloudflare、阿里云、腾讯云等）添加 A 记录，使域名解析到服务器的公网 IP。

示例：

域名: example.com
记录类型: A
值: 服务器公网 IP

确认解析生效后，可以使用 ping example.com 验证是否解析成功。

2. 安装 Apache 和 Certbot

在服务器上安装 Apache 和 Certbot（Let’s Encrypt 客户端）：

sudo apt update && sudo apt install -y apache2 certbot python3-certbot-apache

安装完成后，启用 Apache 的必要模块：

sudo a2enmod rewrite proxy proxy_http ssl headers
sudo systemctl restart apache2

3. 配置 Apache 反向代理（先不启用 HTTPS 跳转）

创建 Apache 虚拟主机配置文件，例如 example.com.conf。

sudo vim /etc/apache2/sites-available/example.com.conf

添加以下内容（先不做 HTTPS 跳转）：

<VirtualHost *:80>
    ServerName example.com

    RewriteEngine On
    # 重定向所有请求到 HTTPS
    RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

    ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
    CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined
</VirtualHost>

4. 启用配置并申请 SSL 证书

运行以下命令以启用该站点配置：

sudo a2ensite example.com.conf
sudo systemctl reload apache2

然后使用 Certbot 申请 Let’s Encrypt 证书：

sudo certbot --apache -d example.com

按照提示完成证书申请，并让 Certbot 自动配置 SSL。

请确保带配置的域名能正常指向我们正在进行配置的Apache服务器：

5. 配置 HTTPS 和反向代理

修改 example.com.conf 配置文件，添加 HTTPS 配置。

sudo vim /etc/apache2/sites-available/example.com.conf

更新内容如下：

<VirtualHost *:80>
    ServerName example.com

    RewriteEngine On
    # 重定向所有请求到 HTTPS
    RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

    ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
    CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined
</VirtualHost>

<VirtualHost *:443>
    ServerName example.com

    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

    ProxyPreserveHost On

    # 开启重写模块处理 WebSocket 升级
    RewriteEngine On
    RewriteCond %{HTTP:Upgrade} =websocket [NC]
    RewriteRule /(.*) ws://127.0.0.1:app_port/$1 [P,L]

    # HTTP 正常流量反向代理到后端
    ProxyPass / http://127.0.0.1:app_port/
    ProxyPassReverse / http://127.0.0.1:app_port/

    ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
    CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined
</VirtualHost>

6. 重新启用站点并重启 Apache

sudo a2ensite example.com.conf
sudo systemctl restart apache2

7. 配置自动续期

Let’s Encrypt 证书默认有效期为 90 天，可以使用以下命令测试自动续期功能：

sudo certbot renew --dry-run

如果没有错误，则 Certbot 会自动续期证书。

8. 测试反向代理

可以使用 curl 测试反向代理是否正常工作：

curl -v https://example.com

如果返回的是后端 127.0.0.1:your_port 提供的服务内容，则配置成功。

在配置 Apache 反向代理时，我遇到了一个非常典型的疑难杂症：我的 VirtualHost 配置正确，后端网页服务在 127.0.0.1:37360 上也正常运行（尤其是在我的 frps 代理环境下，这个端口被转发），但访问域名时，Apache 却一直展示默认页面。

我排除了配置冲突和连接问题后，意识到 Apache 正在默默地忽略我的 ProxyPass 指令，并回退执行该 VirtualHost 继承的默认 DocumentRoot。最终，我将标准的 ProxyPass / 替换成了基于正则表达式的 ProxyPassMatch ^/(.*)$。这个改变立即解决了问题。我的怀疑是，在像 frps 这种复杂的转发和多 VirtualHost 环境中，ProxyPassMatch 的优先级或解析方式高于简单的 ProxyPass，从而确保了代理指令被 Apache 强制执行，避免了配置被意外覆盖或忽略。

    # HTTP 正常流量反向代理到后端
ProxyPassMatch ^/(.*)$ http://127.0.0.1:37360/$1
ProxyPassReverse / http://127.0.0.1:37360/

#APACHE