Каталог артыкулаў
Як падаць заяўку на Let's Encrypt?
Давайце зашыфруем прынцып сертыфіката SSL і падручнік па ўсталёўцы
Што такое SSL?Чэнь ВэйлянУ папярэднім артыкуле "У чым розніца паміж http і https? Падрабязнае тлумачэнне працэсу шыфравання SSL” згадваецца ў.
АкрамяЭлектронная камерцыяВэб-сайт павінен набыць пашыраны зашыфраваны сертыфікат SSL і выкарыстоўваць вэб-сайт як WeChatРаскрутка публічнага акаўнтаOfновыя СМІЛюдзі, калі вы хочаце ўсталяваць сертыфікат SSL, вы сапраўды можаце ўсталяваць зашыфраваны сертыфікат SSL бясплатна.SEOКарысна, можа палепшыць рэйтынг ключавых слоў вэб-сайта ў пошукавых сістэмах.
Сама Let's Encrypt напісала набор працэсаў (https://certbot.eff.org/), выкарыстоўвацьLinuxсябры, вы можаце сачыць за гэтым падручнікам, спасылаючыся на працэс.
Спачатку спампуйце інструмент certbot-auto, а потым запусціце ўсталявальныя залежнасці інструмента.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Стварыце сертыфікат SSL
Далей, сЧэнь ВэйлянВозьмем даменнае імя блога ў якасці прыкладу, змяніце яго ў адпаведнасці з вашымі ўласнымі патрэбамі. SSH выконвае наступныя каманды.
Не забудзьцеся змяніць каманду ў:
- Паштовая скрыня
- шлях да сервера
- даменнае імя сайта
Аднадаменны адзіны каталог, згенераваць сертыфікат:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Мультыдаменны адзіны каталог, стварыць сертыфікат: (г.зн. некалькі даменных імёнаў, адзін каталог, выкарыстоўваць адзін і той жа сертыфікат)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Створаны сертыфікат SSL будзе захаваны ў:/etc/letsencrypt/live/www.chenweiliang.com/
Пад зместам.
Некалькі даменных імёнаў і некалькі каталогаў, стварыць сертыфікат: (гэта значыць, некалькі даменных імёнаў, некалькі каталогаў, выкарыстоўваць адзін і той жа сертыфікат)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Пасля паспяховай устаноўкі сертыфіката Let's Encrypt у SSH з'явіцца наступнае паведамленне:
ВАЖНЫЯ Заўвагі:
– Віншую, атэстат і глain былі захаваны ў:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Ваш ключавы файл быў захаваны па адрасе:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Тэрмін дзеяння вашага сертыфіката скончыцца 2018. Каб атрымаць новы або дапрацаваны
версіі гэтага сертыфіката ў будучыні, проста запусціце certbot-auto
Каб неінтэрактыўна абнавіць *усе* вашы сертыфікаты, запусціце
"certbot-аўтаматычнае абнаўленне"
- Калі вам падабаецца Certbot, падумайце аб падтрымцы нашай працы:
Ахвяраванне ISRG / Let's Encrypt: https://letsencrypt.org/donate
Ахвяраванне EFF: https://eff.org/donate-le
Абнаўленне сертыфіката SSL
Абнаўленне сертыфіката таксама вельмі зручна, карыстаючысякронтабАўтаматычнае падаўжэнне.У некаторых Debian не ўсталяваны crontab, вы можаце спачатку ўсталяваць яго ўручную.
apt-get install cron
Наступныя каманды ёсць у nginx і apache адпаведна / І г.д. / кронтаб Уведзеная ў файл каманда азначае, што ён абнаўляецца кожныя 10 дзён, і дастаткова 90-дзённага тэрміну дзеяння.
Файл Nginx crontab, калі ласка, дадайце:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Файл Apache crontab, калі ласка, дадайце:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
Сертыфікат SSL Канфігурацыя Apache
Цяпер нам трэба ўнесці змены ў канфігурацыю Apache.
Парады:
- калі вы выкарыстоўваецеПанэль кіравання CWP, у Дадаць даменнае імя праверце Аўтаматычна стварыць сертыфікат SSL, гэта аўтаматычна наладзіць сертыфікат SSL для Apache.
- Калі вы выканаеце больш наступных дзеянняў, пасля перазапуску Apache можа ўзнікнуць памылка.
- Калі ёсць памылка, выдаліце канфігурацыю, якую вы дадалі ўручную.
Адрэдагуйце файл httpd.conf ▼
/usr/local/apache/conf/httpd.conf
Знайдзі ▼
Listen 443
- (выдаліце нумар папярэдняга каментара #)
або дадаць порт праслухоўвання 443 ▼
Listen 443
SSH праверка праслухоўвання порта Apache ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Знайдзі ▼
mod_ssl
- (выдаліце нумар папярэдняга каментара #)
або дадаць ▼
LoadModule ssl_module modules/mod_ssl.so
Знайдзі ▼
httpd-ssl
- (выдаліце нумар папярэдняга каментара #)
Затым SSH выканайце наступную каманду (звярніце ўвагу, каб змяніць шлях на свой):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Далей, у канцы канфігурацыі Apache для вэб-сайта, які вы стварылінаступнае.
Дадайце файл канфігурацыі раздзела SSL (звярніце ўвагу, каб выдаліць каментарый і змяніць шлях на свой):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Нарэшце перазапусціце на ім Apache:
service httpd restart
Apache прымусова перанакіроўвае HTTP на HTTPS
- Многія вэб-запыты заўсёды могуць працаваць толькі з SSL.
- Мы павінны пераканацца, што кожны раз, калі мы выкарыстоўваем SSL, доступ да вэб-сайта павінен ажыццяўляцца праз SSL.
- Калі любы карыстальнік спрабуе атрымаць доступ да вэб-сайта з URL-адрасам без SSL, ён павінен быць перанакіраваны на вэб-сайт SSL.
- Перанакіраванне на SSL URL з дапамогай модуля Apache mod_rewrite.
- Калі вы выкарыстоўваеце пакет усталёўкі LAMP у адзін клік, убудаваную аўтаматычную ўстаноўку сертыфіката SSL і прымусовае перанакіраванне на HTTPS, перанакіраванне на HTTPSУ сіле, вам не трэба дадаваць перанакіраванне HTTPS.
Дадаць правіла перанакіравання
- У канфігурацыйным файле Apache адрэдагуйце віртуальны хост вэб-сайта і дадайце наступныя налады.
- Вы таксама можаце дадаць тыя ж параметры ў корань дакумента на вашым вэб-сайце ў вашым файле .htaccess.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Калі вы проста хочаце ўказаць пэўны URL для перанакіравання на HTTPS:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Калі хтосьці спрабуе атрымаць доступ паведамленне , старонка пяройдзе да https, і карыстальнік зможа атрымаць доступ да URL толькі з SSL.
Перазапусціце Apache, каб файл .htaccess уступіў у сілу:
service httpd restart
注意 事项
- Калі ласка, змяніце вышэйзгаданы адрас электроннай пошты на свой.
- Калі ласка, не забудзьцеся змяніць прыведзенае вышэй даменнае імя вэб-сайта на даменнае імя вашага вэб-сайта.
Праблема месцазнаходжання правіла перанакіравання
У адпаведнасці з псеўдастатычнымі правіламі пры размяшчэнні правілаў пераходу перанакіравання вы звычайна сутыкаецеся з http не можа перанакіроўваць на https Праблема.
Першапачаткова мы скапіявалі код перанакіравання ў .htaccess, і ён з'явіцца ў наступных выпадках ▼
- [L] паказвае, што бягучае правіла з'яўляецца апошнім, спыніць аналіз наступных правілаў перазапісу.
- Такім чынам, пры доступе да перанакіраванай старонкі артыкула [L] спыняе наступнае правіла, таму правіла перанакіравання не працуе.
Пры наведванні галоўнай старонкі http мы хочам запусціць перанакіраванне URL, прапусціць псеўдастатычнае правіла, каб выканаць правіла пераходу перанакіравання, каб яго можна было дасягнуцьhttp-перанакіраванне ўсяго сайта на https .
Не ўсталёўвайце правілы перанакіравання https [L] Ніжэй правілаў, пастаў [L] над правіламі ▼
Пашыранае чытанне:
- У чым розніца паміж http і https? Падрабязнае тлумачэнне працэсу шыфравання SSL
- Што мне рабіць, калі я атрымліваю памылку 500 пасля ўстаноўкі сертыфіката Let's Encrypt SSL на панэлі кіравання CWP?
- Аўтаматычны пераход да даменнага імя другога ўзроўню без даменнага імя верхняга ўзроўню www: каранёвае даменнае імя 301 перанакіроўвае www
Блог Hope Chen Weiliang ( https://www.chenweiliang.com/ ) падзяліўся "Як падаць заяўку на Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial", які быў карысным для вас.
Запрашаем падзяліцца спасылкай на гэты артыкул:https://www.chenweiliang.com/cwl-512.html
Сардэчна запрашаем на канал Telegram у блогу Чэнь Вэйляна, каб атрымліваць апошнія абнаўленні!
📚 Гэты дапаможнік мае вялікую каштоўнасць, 🌟Гэта рэдкая магчымасць, не прапусціце яе! ⏰⌛💨
Падзяліцеся і лайкайце, калі хочаце!
Ваш абмен і лайкі - наша пастаянная матывацыя!