apache中强制https需在virtualhost配置http端口80处添加rewriterule ^(.*)$ https://%{http_host}$1 [r=301,l],确保rewrite模块启用且allowoverride all生效,避免php层跳转引发混合内容或重定向循环。
Apache里怎么让PHP站点强制走HTTPS
直接改虚拟主机配置,别碰PHP代码本身——HTTPS是Web服务器层的事,$_SERVER['HTTPS']只是个被动信号,靠它做跳转既慢又不可靠。
常见错误是写一堆PHP判断然后header('location: https://...'),结果混合内容(Mixed Content)警告照出,还可能触发重定向循环。
- 在Apache的
VirtualHost配置里,对HTTP端口(80)加一条RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L] - 确保
a2enmod rewrite已启用,且AllowOverride All在站点目录下生效 - 别在
.htaccess里重复写跳转规则,和主配置冲突时容易500
nginx下PHP-FPM如何正确读取HTTPS状态
$_SERVER['HTTPS']在Nginx+PHP-FPM组合里默认是空的,不是PHP坏了,是Nginx没传——它不自动设置CGI变量,得手动喂。
典型现象:明明访问的是https://example.com,但$_SERVER['HTTPS']还是off或不存在,导致laravel、wordpress等框架生成的URL仍是http开头。
立即学习“PHP免费学习笔记(深入)”;
- 在Nginx的
location ~ .php$块里加:fastcgi_param HTTPS on; - 如果用了反向代理(比如前面套了CDN),要确认是否传了
X-Forwarded-Proto,并在PHP里用$_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https'辅助判断 - 别只依赖
$_SERVER['HTTPS'],有些旧版PHP-FPM会把它转成$_SERVER['REDIRECT_HTTPS']
证书文件放哪、怎么被Apache/Nginx识别
路径错一个字符,服务就起不来;权限设高了,Nginx直接拒读——证书不是丢进目录就行,得卡准位置和权限。
错误现象包括:ssl_ERROR_SSL、nginx: [emerg] SSL_CTX_use_certificate_chain_file() failed、Apache启动时报SSLCertificateFile: file '/path/to/cert.crt' does not exist or is empty。
- Apache常用三件套:
SSLCertificateFile(公钥证书)、SSLCertificateKeyFile(私钥)、SSLCertificateChainFile(中间证书,现在多合并进SSLCertificateFile) - Nginx只认两个:
ssl_certificate(证书+中间证书拼一起)、ssl_certificate_key(私钥),私钥必须chmod 600,否则Nginx拒绝加载 - 别把证书放在
/var/www/html/这种Web可访问目录下,防止意外暴露privkey.pem
Let’s Encrypt证书自动续期后PHP站点打不开
证书更新了,但Web服务器没重载配置,或者PHP缓存了旧的证书路径——这不是PHP的问题,但表现像PHP挂了。
最常踩的坑是:用certbot renew自动续期后,忘记在--post-hook里加systemctl reload nginx或apachectl graceful。
- 检查证书实际生效时间:
openssl x509 -in /path/to/fullchain.pem -noout -dates - 确认Web服务器进程看到的是新证书:
curl -I https://yoursite.com 2>/dev/NULL | grep "strict-transport-security"(有HSTS头说明HTTPS通了) - 如果用了OPcache,PHP本身不缓存证书,但某些框架(如symfony)可能缓存了路由或配置,重启PHP-FPM更稳妥
证书路径、服务重载、CGI变量传递——这三处出问题的概率加起来占了HTTPS部署故障的八成。其他细节再细,也得先过这三关。