Kako se prijaviti za Let's Encrypt? Let's Encrypt SSL Free Certificate Princip & Installation Tutorial

Kako se prijaviti za Let's Encrypt?

Hajde da šifrujemo SSL sertifikat Princip i vodič za instalaciju

Šta je SSL?Chen WeiliangU prethodnom članku "Koja je razlika između http i https? Detaljno objašnjenje procesa SSL enkripcije„Pominje se u.

osimE-trgovinaWeb lokacija mora kupiti napredni šifrirani SSL certifikat i koristiti web stranicu kao WeChatPromocija javnog nalogaodnovi medijiLjudi, ako želite instalirati SSL certifikat, zapravo možete besplatno instalirati šifrirani SSL certifikat.SEOKorisno, može poboljšati rangiranje ključnih riječi web stranice u tražilicama.

Sam Let's Encrypt je napisao skup procesa (https://certbot.eff.org/), koristitiLinuxprijatelji, možete pratiti ovaj vodič dok se pozivate na proces.

Prvo preuzmite certbot-auto alat, a zatim pokrenite instalacijske zavisnosti alata.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Generirajte SSL certifikat

Dalje, saChen WeiliangUzmite ime domene bloga kao primjer, modificirajte ga prema vlastitim potrebama SSH pokreće sljedeće komande.

Obavezno izmijenite naredbu u:

1. Poštansko sanduče
2. putanja servera
3. naziv domene web stranice

Pojedinačna domena, jedan direktorij, generirajte certifikat:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Višedomenski pojedinačni direktorij, generirajte certifikat: (tj. više imena domena, jedan direktorij, koristite isti certifikat)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Generirani SSL certifikat će biti sačuvan u:/etc/letsencrypt/live/www.chenweiliang.com/ Pod sadržajem.

Više imena domena i više direktorija, generirajte certifikat: (tj. više imena domena, više direktorija, koristite isti certifikat)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Nakon što se certifikat Let's Encrypt uspješno instalira, SSH prompt će se pojaviti na sljedeći način:

VAŽNE NAPOMENE:
– Čestitamo!Vaša potvrda i glain su sačuvani na:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Vaš fajl ključeva je sačuvan na:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Vaš certifikat će isteći 2018. Za dobivanje novog ili izmijenjenog
verziju ovog certifikata u budućnosti, jednostavno pokrenite certbot-auto
Da neinteraktivno obnovite *sve* svoje certifikate, pokrenite
"certbot-auto renew"
- Ako vam se sviđa Certbot, razmislite o podržavanju našeg rada:
Donacija za ISRG / Let's Encrypt: https://letsencrypt.org/donate
Doniranje EFF: https://eff.org/donate-le

Obnova SSL sertifikata

Obnova sertifikata je takođe veoma zgodna, korišćenjemcrontabAutomatsko obnavljanje.Neki Debian nema instaliran crontab, možete ga prvo instalirati ručno.

apt-get install cron

Sljedeće naredbe su u nginx-u i apache-u / etc / crontab Komanda unesena u fajl znači da se obnavlja svakih 10 dana, a dovoljan je period važenja od 90 dana.

Nginx crontab fajl, dodajte:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab fajl, dodajte:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL certifikat Apache konfiguracija

Sada, moramo napraviti promjene u Apache konfiguraciji.

Savjeti:

• ako koristiteCWP Control Panel, u provjeri Dodaj ime domene Automatski generiraj SSL certifikat, automatski će konfigurirati SSL certifikat za Apache.
• Ako uradite više od sljedećih koraka, može doći do greške nakon ponovnog pokretanja Apachea.
• Ako postoji greška, izbrišite konfiguraciju koju ste dodali ručno.

Uredite httpd.conf datoteku ▼

/usr/local/apache/conf/httpd.conf

Pronađite ▼

Listen 443

• (ukloni prethodni komentar broj #)

ili dodajte port za slušanje 443 ▼

Listen 443

SSH provjerite Apache port za slušanje ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Pronađite ▼

mod_ssl

• (ukloni prethodni komentar broj #)

ili dodajte ▼

LoadModule ssl_module modules/mod_ssl.so

Pronađite ▼

httpd-ssl

• (ukloni prethodni komentar broj #)

Zatim, SSH izvrši sljedeću naredbu (napomena da promijenite putanju na svoju):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Zatim, na kraju Apache konfiguracije za web lokaciju koju ste kreiraliispod.

Dodajte konfiguracijsku datoteku SSL odjeljka (napomena da uklonite komentar i promijenite putanju na svoju):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Konačno ponovo pokrenite Apache na njemu:

service httpd restart

Apache prisiljava HTTP preusmjeravanje na HTTPS

• Mnogi web zahtjevi uvijek se mogu pokrenuti samo sa SSL-om.
• Moramo biti sigurni da svaki put kada koristimo SSL, web stranici se mora pristupiti putem SSL-a.
• Ako bilo koji korisnik pokuša pristupiti web stranici s URL-om koji nije SSL, mora biti preusmjeren na SSL web stranicu.
• Preusmjeravanje na SSL URL koristeći Apache mod_rewrite modul.
• Kao što je korištenje LAMP paketa za instalaciju jednim klikom, ugrađena automatska instalacija SSL certifikata i prisilno preusmjeravanje na HTTPS, preusmjeravanje na HTTPSNa snazi, ne morate dodati HTTPS preusmjeravanje.

Dodajte pravilo preusmjeravanja

• U Apacheovoj konfiguracijskoj datoteci uredite virtuelni host web stranice i dodajte sljedeće postavke.
• Također možete dodati iste postavke u korijen dokumenta na vašoj web stranici u vašoj .htaccess datoteci.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ako samo želite odrediti određeni URL za preusmjeravanje na HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Ako neko pokuša da pristupi poruka , stranica će skočiti na https, a korisnik može pristupiti URL-u samo sa SSL-om.

Ponovo pokrenite Apache da bi .htaccess datoteka stupila na snagu:

service httpd restart

Predostrožnosti

• Molimo promijenite gornju adresu e-pošte u svoju adresu e-pošte.
• Ne zaboravite da promijenite gornji naziv domene web stranice u naziv domene vaše web stranice.

Problem lokacije pravila preusmjeravanja

Pod pseudostatičkim pravilima, kada postavljate pravila skoka preusmeravanja, obično se susrećete http ne može preusmjeriti na https Problem.

Prvobitno smo kopirali kod za preusmjeravanje u .htaccess i on će se pojaviti u sljedećim slučajevima ▼

• [L] označava da je trenutno pravilo posljednje pravilo, prestanite analizirati sljedeća pravila ponovnog pisanja.
• Dakle, kada pristupite preusmjerenoj stranici članka, [L] zaustavlja sljedeće pravilo, tako da pravilo preusmjeravanja ne radi.

Prilikom posjete http početnoj stranici, želimo pokrenuti URL preusmjeravanje, preskočiti pseudostatičko pravilo da izvršimo pravilo skoka preusmjeravanja, tako da se može postićihttp na cijeloj web lokaciji preusmjerava na https .

Nemojte stavljati https pravila za preusmjeravanje [L] Ispod pravila, stavite [L] iznad pravila ▼

Prošireno čitanje:

• Koja je razlika između http i https? Detaljno objašnjenje procesa SSL enkripcije
• Šta da radim ako dobijem grešku 500 nakon instaliranja Let's Encrypt SSL sertifikata u CWP kontrolnu tablu?
• Automatski skoči na naziv domene drugog nivoa bez imena najvišeg domena www: ime korijenskog domena 301 preusmjerava www