Як падаць заяўку на Let's Encrypt? Прынцып і падручнік па ўсталёўцы бясплатнага сертыфіката SSL ад Let's Encrypt

Як падаць заяўку на Let's Encrypt?

Давайце зашыфруем прынцып сертыфіката SSL і падручнік па ўсталёўцы

Што такое SSL?Чэнь ВэйлянУ папярэднім артыкуле "У чым розніца паміж http і https? Падрабязнае тлумачэнне працэсу шыфравання SSL” згадваецца ў.

АкрамяЭлектронная камерцыяВэб-сайт павінен набыць пашыраны зашыфраваны сертыфікат SSL і выкарыстоўваць вэб-сайт як WeChatРаскрутка публічнага акаўнтаOfновыя СМІЛюдзі, калі вы хочаце ўсталяваць сертыфікат SSL, вы сапраўды можаце ўсталяваць зашыфраваны сертыфікат SSL бясплатна.SEOКарысна, можа палепшыць рэйтынг ключавых слоў вэб-сайта ў пошукавых сістэмах.

Сама Let's Encrypt напісала набор працэсаў (https://certbot.eff.org/), выкарыстоўвацьLinuxсябры, вы можаце сачыць за гэтым падручнікам, спасылаючыся на працэс.

Спачатку спампуйце інструмент certbot-auto, а потым запусціце ўсталявальныя залежнасці інструмента.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Стварыце сертыфікат SSL

Далей, сЧэнь ВэйлянВозьмем даменнае імя блога ў якасці прыкладу, змяніце яго ў адпаведнасці з вашымі ўласнымі патрэбамі. SSH выконвае наступныя каманды.

Не забудзьцеся змяніць каманду ў:

1. Паштовая скрыня
2. шлях да сервера
3. даменнае імя сайта

Аднадаменны адзіны каталог, згенераваць сертыфікат:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Мультыдаменны адзіны каталог, стварыць сертыфікат: (г.зн. некалькі даменных імёнаў, адзін каталог, выкарыстоўваць адзін і той жа сертыфікат)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Створаны сертыфікат SSL будзе захаваны ў:/etc/letsencrypt/live/www.chenweiliang.com/ Пад зместам.

Некалькі даменных імёнаў і некалькі каталогаў, стварыць сертыфікат: (гэта значыць, некалькі даменных імёнаў, некалькі каталогаў, выкарыстоўваць адзін і той жа сертыфікат)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Пасля паспяховай устаноўкі сертыфіката Let's Encrypt у SSH з'явіцца наступнае паведамленне:

ВАЖНЫЯ Заўвагі:
– Віншую, атэстат і глain былі захаваны ў:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Ваш ключавы файл быў захаваны па адрасе:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Тэрмін дзеяння вашага сертыфіката скончыцца 2018. Каб атрымаць новы або дапрацаваны
версіі гэтага сертыфіката ў будучыні, проста запусціце certbot-auto
Каб неінтэрактыўна абнавіць *усе* вашы сертыфікаты, запусціце
"certbot-аўтаматычнае абнаўленне"
- Калі вам падабаецца Certbot, падумайце аб падтрымцы нашай працы:
Ахвяраванне ISRG / Let's Encrypt: https://letsencrypt.org/donate
Ахвяраванне EFF: https://eff.org/donate-le

Абнаўленне сертыфіката SSL

Абнаўленне сертыфіката таксама вельмі зручна, карыстаючысякронтабАўтаматычнае падаўжэнне.У некаторых Debian не ўсталяваны crontab, вы можаце спачатку ўсталяваць яго ўручную.

apt-get install cron

Наступныя каманды ёсць у nginx і apache адпаведна / І г.д. / кронтаб Уведзеная ў файл каманда азначае, што ён абнаўляецца кожныя 10 дзён, і дастаткова 90-дзённага тэрміну дзеяння.

Файл Nginx crontab, калі ласка, дадайце:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Файл Apache crontab, калі ласка, дадайце:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

Сертыфікат SSL Канфігурацыя Apache

Цяпер нам трэба ўнесці змены ў канфігурацыю Apache.

Парады:

• калі вы выкарыстоўваецеПанэль кіравання CWP, у Дадаць даменнае імя праверце Аўтаматычна стварыць сертыфікат SSL, гэта аўтаматычна наладзіць сертыфікат SSL для Apache.
• Калі вы выканаеце больш наступных дзеянняў, пасля перазапуску Apache можа ўзнікнуць памылка.
• Калі ёсць памылка, выдаліце ​​канфігурацыю, якую вы дадалі ўручную.

Адрэдагуйце файл httpd.conf ▼

/usr/local/apache/conf/httpd.conf

Знайдзі ▼

Listen 443

• (выдаліце ​​нумар папярэдняга каментара #)

або дадаць порт праслухоўвання 443 ▼

Listen 443

SSH праверка праслухоўвання порта Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Знайдзі ▼

mod_ssl

• (выдаліце ​​нумар папярэдняга каментара #)

або дадаць ▼

LoadModule ssl_module modules/mod_ssl.so

Знайдзі ▼

httpd-ssl

• (выдаліце ​​нумар папярэдняга каментара #)

Затым SSH выканайце наступную каманду (звярніце ўвагу, каб змяніць шлях на свой):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Далей, у канцы канфігурацыі Apache для вэб-сайта, які вы стварылінаступнае.

Дадайце файл канфігурацыі раздзела SSL (звярніце ўвагу, каб выдаліць каментарый і змяніць шлях на свой):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Нарэшце перазапусціце на ім Apache:

service httpd restart

Apache прымусова перанакіроўвае HTTP на HTTPS

• Многія вэб-запыты заўсёды могуць працаваць толькі з SSL.
• Мы павінны пераканацца, што кожны раз, калі мы выкарыстоўваем SSL, доступ да вэб-сайта павінен ажыццяўляцца праз SSL.
• Калі любы карыстальнік спрабуе атрымаць доступ да вэб-сайта з URL-адрасам без SSL, ён павінен быць перанакіраваны на вэб-сайт SSL.
• Перанакіраванне на SSL URL з дапамогай модуля Apache mod_rewrite.
• Калі вы выкарыстоўваеце пакет усталёўкі LAMP у адзін клік, убудаваную аўтаматычную ўстаноўку сертыфіката SSL і прымусовае перанакіраванне на HTTPS, перанакіраванне на HTTPSУ сіле, вам не трэба дадаваць перанакіраванне HTTPS.

Дадаць правіла перанакіравання

• У канфігурацыйным файле Apache адрэдагуйце віртуальны хост вэб-сайта і дадайце наступныя налады.
• Вы таксама можаце дадаць тыя ж параметры ў корань дакумента на вашым вэб-сайце ў вашым файле .htaccess.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Калі вы проста хочаце ўказаць пэўны URL для перанакіравання на HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Калі хтосьці спрабуе атрымаць доступ паведамленне , старонка пяройдзе да https, і карыстальнік зможа атрымаць доступ да URL толькі з SSL.

Перазапусціце Apache, каб файл .htaccess уступіў у сілу:

service httpd restart

注意 事项

• Калі ласка, змяніце вышэйзгаданы адрас электроннай пошты на свой.
• Калі ласка, не забудзьцеся змяніць прыведзенае вышэй даменнае імя вэб-сайта на даменнае імя вашага вэб-сайта.

Праблема месцазнаходжання правіла перанакіравання

У адпаведнасці з псеўдастатычнымі правіламі пры размяшчэнні правілаў пераходу перанакіравання вы звычайна сутыкаецеся з http не можа перанакіроўваць на https Праблема.

Першапачаткова мы скапіявалі код перанакіравання ў .htaccess, і ён з'явіцца ў наступных выпадках ▼

• [L] паказвае, што бягучае правіла з'яўляецца апошнім, спыніць аналіз наступных правілаў перазапісу.
• Такім чынам, пры доступе да перанакіраванай старонкі артыкула [L] спыняе наступнае правіла, таму правіла перанакіравання не працуе.

Пры наведванні галоўнай старонкі http мы хочам запусціць перанакіраванне URL, прапусціць псеўдастатычнае правіла, каб выканаць правіла пераходу перанакіравання, каб яго можна было дасягнуцьhttp-перанакіраванне ўсяго сайта на https .

Не ўсталёўвайце правілы перанакіравання https [L] Ніжэй правілаў, пастаў [L] над правіламі ▼

Пашыранае чытанне:

• У чым розніца паміж http і https? Падрабязнае тлумачэнне працэсу шыфравання SSL
• Што мне рабіць, калі я атрымліваю памылку 500 пасля ўстаноўкі сертыфіката Let's Encrypt SSL на панэлі кіравання CWP?
• Аўтаматычны пераход да даменнага імя другога ўзроўню без даменнага імя верхняга ўзроўню www: каранёвае даменнае імя 301 перанакіроўвае www