Com sol·licitar Let's Encrypt? Let's Encrypt Certificat gratuït SSL i tutorial d'instal·lació

Com sol·licitar Let's Encrypt?

Anem a xifrar el principi del certificat SSL i el tutorial d'instal·lació

Què és SSL?Chen WeiliangA l'article anterior "Quina diferència hi ha entre http i https? Explicació detallada del procés de xifratge SSL"S'esmenta a.

a part deComerç electrònicEl lloc web ha d'adquirir un certificat SSL xifrat avançat i utilitzar el lloc web com a WeChatPromoció del compte públicDenous suportsGent, si voleu instal·lar un certificat SSL, podeu instal·lar un certificat SSL xifrat de manera gratuïta.SEOÚtil, pot millorar la classificació de les paraules clau del lloc web als motors de cerca.

El mateix Let's Encrypt ha escrit un conjunt de processos (https://certbot.eff.org/), úsLinuxamics, podeu seguir aquest tutorial mentre feu referència al procés.

Baixeu primer l'eina certbot-auto i, a continuació, executeu les dependències d'instal·lació de l'eina.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Generar certificat SSL

A continuació, ambChen WeiliangPreneu com a exemple el nom del domini del bloc, modifiqueu-lo segons les vostres necessitats. SSH executa les ordres següents.

Assegureu-vos de modificar l'ordre a:

1. Bústia
2. ruta del servidor
3. nom de domini del lloc web

Directori únic de domini únic, genereu un certificat:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Directori únic multidomini, generar un certificat: (és a dir, diversos noms de domini, directori únic, utilitzar el mateix certificat)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

El certificat SSL generat es desarà a:/etc/letsencrypt/live/www.chenweiliang.com/ Sota els continguts.

Diversos noms de domini i diversos directoris, genereu un certificat: (és a dir, diversos noms de domini, diversos directoris, utilitzeu el mateix certificat)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Un cop instal·lat correctament el certificat Let's Encrypt, apareixerà el missatge següent a SSH:

NOTES IMPORTANTS:
– Enhorabona! El teu certificat i capain s'han desat a:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
El vostre fitxer de claus s'ha desat a:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
El vostre certificat caducarà el 2018/02/26. Per obtenir-ne un nou o modificat
versió d'aquest certificat en el futur, només cal que executeu certbot-auto
Per renovar de manera no interactiva *tots* els vostres certificats, executeu
"certbot-auto renovació"
- Si us agrada Certbot, penseu en donar suport a la nostra feina fent servir:
Donant a ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donació a FEP: https://eff.org/donate-le

Renovació del certificat SSL

La renovació del certificat també és molt convenient, utilitzantcrontabRenovació automàtica.Alguns Debian no tenen crontab instal·lat, primer podeu instal·lar-lo manualment.

apt-get install cron

Les ordres següents estan a nginx i apache respectivament / Etc / crontab L'ordre introduïda al fitxer significa que es renova cada 10 dies i n'hi ha prou amb un període de validesa de 90 dies.

Fitxer crontab Nginx, si us plau afegiu:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Fitxer crontab Apache, si us plau afegiu:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

Certificat SSL de configuració d'Apache

Ara, hem de fer canvis a la configuració d'Apache.

Consells:

• si feu servirTauler de control CWP, a la casella Afegeix un nom de domini Genera automàticament un certificat SSL, configurarà automàticament el certificat SSL per a Apache.
• Si feu més dels passos següents, es pot produir un error després de reiniciar Apache.
• Si hi ha un error, suprimiu la configuració que heu afegit manualment.

Editeu el fitxer httpd.conf ▼

/usr/local/apache/conf/httpd.conf

Cerca ▼

Listen 443

• (elimineu el número de comentari anterior #)

o afegiu el port d'escolta 443 ▼

Listen 443

Comprova SSH el port d'escolta d'Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Cerca ▼

mod_ssl

• (elimineu el número de comentari anterior #)

o afegeix ▼

LoadModule ssl_module modules/mod_ssl.so

Cerca ▼

httpd-ssl

• (elimineu el número de comentari anterior #)

A continuació, SSH executeu l'ordre següent (nota per canviar el camí al vostre):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

A continuació, al final de la configuració d'Apache per al lloc web que heu creatsota.

Afegiu el fitxer de configuració de la secció SSL (nota per eliminar el comentari i canviar el camí al vostre):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Finalment, reinicieu Apache:

service httpd restart

Apache força la redirecció HTTP a HTTPS

• Moltes sol·licituds web sempre només es poden executar amb SSL.
• Hem d'assegurar-nos que cada vegada que utilitzem SSL s'ha d'accedir al lloc web mitjançant SSL.
• Si algun usuari intenta accedir al lloc web amb una URL no SSL, s'ha de redirigir al lloc web SSL.
• Redirigeix ​​a l'URL SSL mitjançant el mòdul Apache mod_rewrite.
• Com ara utilitzar el paquet d'instal·lació LAMP d'un sol clic, instal·lació automàtica integrada del certificat SSL i redirecció forçada a HTTPS, redirecció a HTTPSEn vigor, no cal que afegiu una redirecció HTTPS.

Afegeix una regla de redirecció

• Al fitxer de configuració d'Apache, editeu l'amfitrió virtual del lloc web i afegiu la configuració següent.
• També podeu afegir la mateixa configuració a l'arrel del document del vostre lloc web al fitxer .htaccess.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Si només voleu especificar un URL determinat per redirigir a HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Si algú intenta accedir missatge , la pàgina saltarà a https i l'usuari només pot accedir a l'URL amb SSL.

Reinicieu Apache perquè el fitxer .htaccess tingui efecte:

service httpd restart

注意 事项

• Si us plau, canvieu l'adreça electrònica anterior per la vostra adreça electrònica.
• Recordeu canviar el nom de domini del lloc web anterior pel nom del domini del vostre lloc web.

Problema d'ubicació de la regla de redirecció

Sota regles pseudoestàtiques, quan col·loqueu regles de salt de redirecció, normalment us trobeu http no pot redirigir a https El problema.

Inicialment vam copiar el codi de redirecció a .htaccess i apareixerà en els casos següents ▼

• [L] indica que la regla actual és l'última regla, deixeu d'analitzar les regles de reescriptura següents.
• Així, quan accedeix a la pàgina de l'article redirigit, [L] atura les regles següents, de manera que les regles de redirecció no funcionen.

Quan visitem la pàgina d'inici http, volem activar una redirecció d'URL, saltar la regla pseudoestàtica per executar la regla de salt de redirecció, de manera que es pugui aconseguirRedirecció http a tot el lloc a https .

No introduïu regles de redirecció https [L] Per sota de les regles, posa [L] per sobre de les regles ▼

Lectura ampliada:

• Quina diferència hi ha entre http i https? Explicació detallada del procés de xifratge SSL
• Què he de fer si rebo un error 500 després d'instal·lar el certificat SSL Let's Encrypt al tauler de control de CWP?
• Salta automàticament al nom de domini de segon nivell sense el nom de domini de primer nivell www: el nom de domini arrel 301 redirigeix ​​www.