Hoe om aansoek te doen vir Let's Encrypt? Kom ons Encrypt SSL Free Certificate Principle & Installation Tutoriaal

Hoe om aansoek te doen vir Let's Encrypt?

Kom ons enkripteer SSL-sertifikaatbeginsel en installasie-tutoriaal

Wat is SSL?Chen WeiliangIn die vorige artikel "Wat is die verskil tussen http en https? Gedetailleerde verduideliking van SSL enkripsie proses“Dit word genoem in.

behalwe virE-handelDie webwerf moet 'n gevorderde geënkripteerde SSL-sertifikaat koop en die webwerf as WeChat gebruikOpenbare rekening bevordering的nuwe mediaMense, as jy 'n SSL-sertifikaat wil installeer, kan jy eintlik 'n geënkripteerde SSL-sertifikaat gratis installeer.SEONuttig, kan die rangorde van webwerf sleutelwoorde in soekenjins verbeter.

Let's Encrypt het self 'n stel prosesse geskryf (https://certbot.eff.org/),gebruikLinuxvriende, jy kan hierdie tutoriaal volg terwyl jy na die proses verwys.

Laai eers die certbot-auto-instrument af en voer dan die installasie-afhanklikhede van die instrument uit.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Genereer SSL-sertifikaat

Volgende, metChen WeiliangNeem die blog-domeinnaam as 'n voorbeeld, wysig dit asseblief volgens jou eie behoeftes. SSH voer die volgende opdragte uit.

Maak seker dat u die opdrag verander in:

1. posbus
2. bediener pad
3. webwerf domeinnaam

Enkel domein enkele gids, genereer 'n sertifikaat:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Multi-domein enkelgids, genereer 'n sertifikaat: (dws veelvuldige domeinname, enkelgids, gebruik dieselfde sertifikaat)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Die gegenereerde SSL-sertifikaat sal gestoor word in:/etc/letsencrypt/live/www.chenweiliang.com/ Onder inhoud.

Veelvuldige domeinname en veelvuldige dopgehou, genereer 'n sertifikaat: (dit wil sê, veelvuldige domeinname, veelvuldige dopgehou, gebruik dieselfde sertifikaat)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Nadat die Let's Encrypt-sertifikaat suksesvol geïnstalleer is, sal die volgende vinnige boodskap in SSH verskyn:

BELANGRIKE NOTAS:
– Baie geluk!U sertifikaat en hfstain is gestoor by:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Jou sleutellêer is gestoor by:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Jou sertifikaat sal op 2018-02-26 verval. Om 'n nuwe of aangepas te kry
weergawe van hierdie sertifikaat in die toekoms, hardloop eenvoudig certbot-auto
Weereens. Om *al* jou sertifikate nie-interaktief te hernu, hardloop
"certbot-outomatiese hernu"
- As jy van Certbot hou, oorweeg dit asseblief om ons werk te ondersteun deur:
Skenk aan ISRG / Kom ons Enkripteer: https://letsencrypt.org/donate
Skenk aan EFF: https://eff.org/donate-le

SSL-sertifikaathernuwing

Sertifikaat hernuwing is ook baie gerieflik, met behulp vancrontabOuto-hernu.Sommige Debian het nie crontab geïnstalleer nie, jy kan dit eers handmatig installeer.

apt-get install cron

Die volgende opdragte is onderskeidelik in nginx en apache / etc / crontab Die opdrag wat in die lêer ingevoer word, beteken dat dit elke 10 dae hernu word, en 'n geldigheidstydperk van 90 dae is voldoende.

Nginx crontab-lêer, voeg asseblief by:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab-lêer, voeg asseblief by:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL-sertifikaat Apache-konfigurasie

Nou moet ons veranderinge aan die Apache-konfigurasie aanbring.

Wenke:

• as jy gebruikCWP-kontrolepaneel, in die Voeg domeinnaam by tjek Genereer outomaties 'n SSL-sertifikaat, dit sal outomaties die SSL-sertifikaat vir Apache opstel.
• As u meer van die volgende stappe doen, kan 'n fout voorkom nadat u Apache herbegin het.
• As daar 'n fout is, verwyder die konfigurasie wat jy met die hand bygevoeg het.

Wysig die httpd.conf-lêer ▼

/usr/local/apache/conf/httpd.conf

Vind ▼

Listen 443

• (verwyder die voorafgaande opmerkingnommer #)

of voeg luisterpoort 443 ▼ by

Listen 443

SSH kyk na Apache-luisterpoort ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Vind ▼

mod_ssl

• (verwyder die voorafgaande opmerkingnommer #)

of voeg ▼ by

LoadModule ssl_module modules/mod_ssl.so

Vind ▼

httpd-ssl

• (verwyder die voorafgaande opmerkingnommer #)

SSH voer dan die volgende opdrag uit (let op om die pad na jou eie te verander):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Volgende, aan die einde van die Apache-konfigurasie vir die webwerf wat jy geskep hetonder.

Voeg die konfigurasielêer van die SSL-afdeling by (let wel om die opmerking te verwyder en die pad na jou eie te verander):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Herbegin uiteindelik Apache daarop:

service httpd restart

Apache dwing HTTP-herleiding na HTTPS

• Baie webversoeke kan altyd net met SSL loop.
• Ons moet seker maak dat elke keer as ons SSL gebruik, toegang tot die webwerf via SSL verkry moet word.
• Indien enige gebruiker probeer om toegang tot die webwerf te verkry met 'n nie-SSL URL, moet hy herlei word na die SSL webwerf.
• Herlei na SSL URL met behulp van Apache mod_rewrite module.
• Soos die gebruik van LAMP een-klik installasie pakket, ingeboude outomatiese installering van SSL sertifikaat en gedwonge herleiding na HTTPS, herleiding na HTTPSIn krag, hoef jy nie 'n HTTPS-aanstuur by te voeg nie.

Voeg herleidingreël by

• In Apache se konfigurasielêer, wysig die webwerf se virtuele gasheer en voeg die volgende instellings by.
• Jy kan ook dieselfde instellings by die dokumentwortel op jou webwerf in jou .htaccess-lêer voeg.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

As jy net 'n sekere URL wil spesifiseer om na HTTPS te herlei:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• As iemand probeer om toegang te verkry boodskap , sal die bladsy na https spring, en die gebruiker kan slegs toegang tot die URL met SSL kry.

Herbegin Apache vir die .htaccess-lêer om in werking te tree:

service httpd restart

注意 事项

• Verander asseblief die bogenoemde e-posadres na jou e-posadres.
• Onthou asseblief om die bogenoemde webwerf-domeinnaam na u webwerf-domeinnaam te verander.

Herlei reël ligging probleem

Onder pseudo-statiese reëls, wanneer jy herleidingsprongreëls plaas, kom jy gewoonlik teë http kan nie herlei na https nie Die probleem.

Ons het aanvanklik die herleidingskode na .htaccess gekopieer en dit sal in die volgende gevalle verskyn ▼

• [L] dui aan dat die huidige reël die laaste reël is, hou op om die volgende herskryfreëls te ontleed.
• So wanneer toegang tot die herlei artikelbladsy verkry word, stop [L] die volgende reël, sodat die herleidingreël nie werk nie.

Wanneer ons die http-tuisblad besoek, wil ons 'n URL herleiding aktiveer, slaan die pseudo-statiese reël oor om die herleidingspringreël uit te voer, sodat dit bereik kan wordWerfwye http herlei na https .

Moenie https-herleidingreëls insit nie [L] Onder die reëls, sit [L] bo die reëls ▼

Uitgebreide leesstof:

• Wat is die verskil tussen http en https? Gedetailleerde verduideliking van SSL enkripsie proses
• Wat moet ek doen as ek 'n fout 500 kry nadat ek die Let's Encrypt SSL-sertifikaat in die CWP-kontrolepaneel geïnstalleer het?
• Spring outomaties na die tweedevlakdomeinnaam sonder die www-topvlakdomeinnaam: die worteldomeinnaam 301 herlei www