كيف يمكن التقدم بطلب للحصول على برنامج Let's Encrypt؟ لنقم بتشفير مبدأ الشهادة المجانية لـ SSL ودروس التثبيت

كيفية التقدم بطلب للحصول على Let's Encrypt؟

لنقم بتشفير مبدأ شهادة SSL ودروس التثبيت

ما هو SSL؟تشن ويليانجفي المقال السابق "ما الفرق بين http مقابل https؟ شرح مفصل لعملية تشفير SSL"مذكور في.

除了التجارة الإلكترونيةيجب على موقع الويب شراء شهادة SSL مشفرة متقدمة واستخدام موقع الويب مثل WeChatترويج الحساب العام的وسائط جديدةأيها الأشخاص ، إذا كنت ترغب في تثبيت شهادة SSL ، فيمكنك بالفعل تثبيت شهادة SSL مشفرة مجانًا.تحسين محركات البحثإنه مفيد ويمكن أن يحسن ترتيب الكلمات الرئيسية لموقع الويب في محركات البحث.

لقد كتب Let's Encrypt نفسها مجموعة من العمليات (https://certbot.eff.org/)،استعماللينكسالأصدقاء ، يمكنك اتباع هذا البرنامج التعليمي أثناء الإشارة إلى العملية.

قم بتنزيل أداة certbot-auto أولاً ، ثم قم بتشغيل تبعيات تثبيت الأداة.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

إنشاء شهادة SSL

بعد ذلك ، معتشن ويليانجخذ اسم نطاق المدونة كمثال ، يرجى تعديله وفقًا لاحتياجاتك الخاصة. يقوم SSH بتشغيل الأوامر التالية.

تأكد من تعديل الأمر في:

1. صندوق البريد
2. مسار الخادم
3. اسم مجال الموقع

دليل واحد بمجال واحد ، قم بإنشاء شهادة:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

دليل واحد متعدد المجالات ، إنشاء شهادة: (على سبيل المثال ، أسماء نطاقات متعددة ، دليل واحد ، استخدم نفس الشهادة)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

سيتم حفظ شهادة SSL التي تم إنشاؤها في:/etc/letsencrypt/live/www.chenweiliang.com/ تحت المحتويات.

أسماء نطاقات متعددة وأدلة متعددة ، قم بإنشاء شهادة: (أي ، أسماء نطاقات متعددة ، أدلة متعددة ، استخدم نفس الشهادة)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

بعد تثبيت شهادة Let's Encrypt بنجاح ، ستظهر رسالة المطالبة التالية في SSH:

IMPORTANT NOTES:
- مبروك شهادتك والفصلaiتم حفظ n في:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
تم حفظ ملف المفتاح الخاص بك في:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
ستنتهي صلاحية شهادتك في 2018-02-26. للحصول على شهادة جديدة أو معدلة
نسخة من هذه الشهادة في المستقبل ، ما عليك سوى تشغيل certbot-auto
مرة أخرى. لتجديد * جميع * شهاداتك بشكل غير تفاعلي ، قم بتشغيل
"certbot-auto تجديد"
- إذا كنت تحب Certbot ، يرجى النظر في دعم عملنا من خلال:
التبرع لـ ISRG / Let's Encrypt: https://letsencrypt.org/donate
التبرع إلى EFF: https://eff.org/donate-le

تجديد شهادة SSL

تجديد الشهادة مناسب جدًا أيضًا ، باستخدامكرونتابيجدد ذاتيا.بعض دبيان لا يحتوي على crontab مثبتًا ، يمكنك تثبيته يدويًا أولاً.

apt-get install cron

الأوامر التالية موجودة في nginx و apache على التوالي / الخ / كرونتاب الأمر الذي تم إدخاله في الملف يعني أنه يتم تجديده كل 10 أيام ، وفترة صلاحية 90 يومًا كافية.

ملف Nginx crontab ، الرجاء إضافة:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

ملف Apache crontab ، الرجاء إضافة:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

تكوين Apache لشهادة SSL

الآن ، نحتاج إلى إجراء تغييرات على تكوين Apache.

النصائح:

• كما ترىلوحة تحكم CWP، في تحديد إضافة اسم المجال ، يقوم تلقائيًا بإنشاء شهادة SSL ، سيقوم تلقائيًا بتهيئة شهادة SSL لـ Apache.
• إذا قمت بإجراء المزيد من الخطوات التالية ، فقد يحدث خطأ بعد إعادة تشغيل Apache.
• إذا كان هناك خطأ ، فاحذف التكوين الذي أضفته يدويًا.

قم بتحرير ملف httpd.conf ▼

/usr/local/apache/conf/httpd.conf

ابحث عن ▼

Listen 443

• (إزالة رقم التعليق السابق #)

أو إضافة منفذ الاستماع 443 ▼

Listen 443

SSH تحقق من منفذ استماع Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

ابحث عن ▼

mod_ssl

• (إزالة رقم التعليق السابق #)

أو أضف ▼

LoadModule ssl_module modules/mod_ssl.so

ابحث عن ▼

httpd-ssl

• (إزالة رقم التعليق السابق #)

بعد ذلك ، نفذ SSH الأمر التالي (لاحظ تغيير المسار إلى المسار الخاص بك):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

بعد ذلك ، في نهاية تكوين Apache لموقع الويب الذي قمت بإنشائهالأتى.

أضف ملف التكوين الخاص بقسم SSL (ملاحظة لإزالة التعليق وتغيير المسار إلى المسار الخاص بك):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

أخيرًا أعد تشغيل Apache عليه:

service httpd restart

يفرض Apache إعادة توجيه HTTP إلى HTTPS

• يمكن دائمًا تشغيل العديد من طلبات الويب باستخدام SSL فقط.
• نحتاج إلى التأكد من أنه في كل مرة نستخدم SSL ، يجب الوصول إلى موقع الويب عبر SSL.
• إذا حاول أي مستخدم الوصول إلى موقع الويب باستخدام عنوان URL غير SSL ، فيجب إعادة توجيهه إلى موقع SSL على الويب.
• إعادة التوجيه إلى SSL URL باستخدام وحدة Apache mod_rewrite.
• إذا كنت تستخدم حزمة تثبيت LAMP بنقرة واحدة ، والتثبيت التلقائي المدمج لشهادة SSL وإعادة التوجيه القسري إلى HTTPS ، وإعادة التوجيه إلى HTTPSبالقوة، لست بحاجة إلى إضافة إعادة توجيه HTTPS.

أضف قاعدة إعادة التوجيه

• في ملف تكوين Apache ، قم بتحرير المضيف الظاهري للموقع وإضافة الإعدادات التالية.
• يمكنك أيضًا إضافة نفس الإعدادات إلى جذر المستند على موقع الويب الخاص بك في ملف htaccess الخاص بك.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

إذا كنت ترغب فقط في تحديد عنوان URL معين لإعادة التوجيه إلى HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• إذا حاول شخص ما الوصول الرسالة ، ستنتقل الصفحة إلى https ، ويمكن للمستخدم الوصول إلى عنوان URL فقط باستخدام SSL.

أعد تشغيل Apache حتى يصبح ملف htaccess ساري المفعول:

service httpd restart

注意 事项

• يرجى تغيير عنوان البريد الإلكتروني أعلاه إلى عنوان البريد الإلكتروني الخاص بك.
• يرجى تذكر تغيير اسم مجال موقع الويب أعلاه إلى اسم مجال موقع الويب الخاص بك.

إعادة توجيه مشكلة موقع القاعدة

بموجب القواعد الزائفة الثابتة ، عند وضع قواعد قفزة إعادة التوجيه ، فإنك تواجه عادةً لا يمكن لـ http إعادة التوجيه إلى https المشكلة.

في البداية قمنا بنسخ كود إعادة التوجيه إلى htaccess وسيظهر في الحالات التالية ▼

• [L] يشير إلى أن القاعدة الحالية هي القاعدة الأخيرة ، توقف عن تحليل قواعد إعادة الكتابة التالية.
• لذلك عند الوصول إلى صفحة المقالة المعاد توجيهها ، توقف [L] القاعدة التالية ، وبالتالي فإن قاعدة إعادة التوجيه لا تعمل.

عند زيارة صفحة http الرئيسية ، نريد تشغيل إعادة توجيه عنوان URL ، وتخطي القاعدة الزائفة الثابتة لتنفيذ قاعدة انتقال إعادة التوجيه ، بحيث يمكن تحقيقهاإعادة توجيه http على مستوى الموقع إلى https .

لا تضع قواعد إعادة التوجيه https فيها [ل] تحت القواعد ، ضع [ل] فوق القواعد ▼

قراءة موسعة:

• ما الفرق بين http مقابل https؟ شرح مفصل لعملية تشفير SSL
• ماذا أفعل إذا تلقيت خطأ 500 بعد تثبيت شهادة Let's Encrypt SSL في لوحة تحكم CWP؟
• انتقل تلقائيًا إلى اسم مجال المستوى الثاني بدون اسم مجال المستوى الأعلى www: يقوم اسم المجال الجذر 301 بإعادة التوجيه www