Unsaon pag-apply sa Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial

Unsaon pag-apply sa Let's Encrypt?

Atong I-encrypt ang Prinsipyo sa SSL Certificate ug Tutorial sa Pag-install

Unsa ang SSL?Chen WeiliangSa miaging artikulo "Unsa ang kalainan tali sa http vs https? Detalyadong pagpatin-aw sa proseso sa pag-encrypt sa SSL” nga gihisgotan sa.

gawas saE-commerceAng website kinahanglang mopalit ug advanced encrypted SSL certificate ug gamiton ang website isip WeChatPromosyon sa publiko nga accountsabag-ong mediaAng mga tawo, kung gusto nimo mag-install usa ka sertipiko sa SSL, mahimo nimo nga i-install ang usa ka naka-encrypt nga sertipiko sa SSL nga libre.SEOMakatabang kini ug makapauswag sa ranggo sa mga keyword sa website sa mga search engine.

Ang Let's Encrypt mismo nagsulat ug usa ka hugpong sa mga proseso (https://certbot.eff.org/), gamitaLinuxmga higala, mahimo nimong sundon kini nga panudlo samtang nagtumong sa proseso.

I-download una ang tool sa certbot-auto, dayon padagana ang mga dependency sa pag-install sa himan.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Paghimo SSL certificate

Sunod, uban saChen WeiliangGamita ang blog domain name isip usa ka pananglitan, palihog usba kini sumala sa imong kaugalingong mga panginahanglan. Ang SSH nagpadagan sa mosunod nga mga sugo.

Siguroha nga usbon ang sugo sa:

1. Mailbox
2. agianan sa server
3. ngalan sa domain sa website

Usa ka domain nga usa ka direktoryo, paghimo usa ka sertipiko:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Multi-domain nga single directory, makamugna og certificate: (ie, multiple domain names, single directory, gamita ang samang certificate)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Ang namugna nga SSL certificate ma-save sa:/etc/letsencrypt/live/www.chenweiliang.com/ Ubos sa sulod.

Daghang mga ngalan sa domain ug daghang mga direktoryo, paghimo usa ka sertipiko: (nga mao, daghang mga ngalan sa domain, daghang mga direktoryo, gamita ang parehas nga sertipiko)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Human ma-install nga malampuson ang Let's Encrypt certificate, ang mosunod nga prompt nga mensahe makita sa SSH:

MAHINUNGDANON NGA NOTA:
– Congratulations!Ang imong sertipiko ug chain naluwas sa:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Ang imong yawe nga file gitipigan sa:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Ma-expire ang imong sertipikasyon sa 2018-02-26. Para makakuha ug bag-o o gi-tweake
nga bersyon sa kini nga sertipiko sa umaabot, pagdagan lang ang certbot-auto
pag-usab. Aron dili interactive nga mabag-o *tanan* sa imong mga sertipiko, pagdagan
"certbot-auto renew"
- Kon gusto ka sa Certbot, palihug ikonsiderar ang pagsuporta sa among buhat pinaagi sa:
Pagdonar sa ISRG / Let's Encrypt: https://letsencrypt.org/donate
Pagdonar sa EFF: https://eff.org/donate-le

Pag-renew sa SSL Certificate

Ang pagbag-o sa sertipiko dali usab kaayo, gamitcrontabAwtomatikong pagbag-o.Ang ubang mga Debian walay crontab nga na-install, mahimo nimo kini i-install sa mano-mano una.

apt-get install cron

Ang mosunod nga mga sugo anaa sa nginx ug apache matag usa / etc / crontab Ang sugo nga gisulod sa file nagpasabot nga kini gibag-o matag 10 ka adlaw, ug igo na ang 90 ka adlaw nga validity period.

Nginx crontab file, palihug idugang:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab file, palihug idugang:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL certificate Apache configuration

Karon, kinahanglan namong magbag-o sa configuration sa Apache.

Mga Tip:

• kon imong gamitonCWP Control Panel, sa Add domain name check Awtomatikong makamugna og SSL certificate, kini awtomatik nga i-configure ang SSL certificate para sa Apache.
• Kung buhaton nimo ang labi pa sa mga mosunud nga lakang, mahimo’g mahitabo ang usa ka sayup pagkahuman i-restart ang Apache.
• Kung adunay kasaypanan, tangtanga ang configuration nga imong gidugang sa mano-mano.

I-edit ang httpd.conf file ▼

/usr/local/apache/conf/httpd.conf

Pangitaa ang ▼

Listen 443

• (kuhaa ang nag-una nga numero sa komento #)

o idugang ang listening port 443 ▼

Listen 443

SSH check Apache listening port ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Pangitaa ang ▼

mod_ssl

• (kuhaa ang nag-una nga numero sa komento #)

o idugang ang ▼

LoadModule ssl_module modules/mod_ssl.so

Pangitaa ang ▼

httpd-ssl

• (kuhaa ang nag-una nga numero sa komento #)

Dayon, ipatuman sa SSH ang mosunod nga sugo (timan-i nga usbon ang dalan ngadto sa imong kaugalingon):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Sunod, sa katapusan sa Apache configuration alang sa website nga imong gibuhatilalum.

Idugang ang configuration file sa SSL nga seksyon (pahinumdom aron tangtangon ang komento, ug usba ang dalan sa imoha):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Sa katapusan i-restart ang Apache niini:

service httpd restart

Gipugos sa Apache ang HTTP nga pag-redirect sa HTTPS

• Daghang mga hangyo sa web mahimo ra nga magamit sa SSL.
• Kinahanglan natong sigurohon nga sa matag higayon nga gamiton nato ang SSL, ang website kinahanglang ma-access pinaagi sa SSL.
• Kung adunay bisan kinsa nga tiggamit nga mosulay sa pag-access sa website gamit ang usa ka non-SSL URL, kinahanglan nga i-redirect siya sa website sa SSL.
• Pag-redirect sa SSL URL gamit ang Apache mod_rewrite module.
• Kung mogamit ka sa LAMP one-click nga pakete sa pag-install, built-in nga awtomatikong pag-install sa sertipiko sa SSL ug pinugos nga pag-redirect sa HTTPS, pag-redirect sa HTTPSSa puwersa, dili nimo kinahanglan nga magdugang ug HTTPS redirect.

Idugang ang redirect rule

• Sa configuration file sa Apache, i-edit ang virtual host sa website ug idugang ang mosunod nga mga setting.
• Mahimo usab nimong idugang ang parehas nga mga setting sa gamut sa dokumento sa imong website sa imong .htaccess file.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Kung gusto lang nimo ipiho ang usa ka URL nga i-redirect sa HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Kung adunay mosulay sa pag-access mensahe , ang panid molukso sa https, ug ang user maka-access lang sa URL gamit ang SSL.

I-restart ang Apache alang sa .htaccess nga payl aron ma-epekto:

service httpd restart

Pagpangandam

• Palihug usba ang email address sa ibabaw sa imong email address.
• Palihug hinumdumi nga usbon ang naa sa ibabaw nga ngalan sa domain sa website ngadto sa ngalan sa domain sa imong website.

Problema sa lokasyon sa pag-redirect sa lagda

Ubos sa pseudo-static nga mga lagda, kung ibutang ang mga lagda sa pag-redirect sa paglukso, kasagaran nimo masugatan Ang http dili maka-redirect sa https Ang problema.

Sa sinugdan among gikopya ang redirect code ngadto sa .htaccess ug kini makita sa mosunod nga mga kaso ▼

• Gipakita sa [L] nga ang kasamtangang lagda mao ang kataposang lagda, hunong sa pag-analisar sa mosunod nga mga lagda sa pagsulat pag-usab.
• Mao nga kung mag-access sa gi-redirect nga panid sa artikulo, gihunong [L] ang mosunod nga lagda, aron ang lagda sa pag-redirect dili molihok.

Kung nagbisita sa http homepage, gusto namon nga mag-trigger sa usa ka pag-redirect sa URL, laktawan ang pseudo-static nga lagda aron ipatuman ang lagda sa pag-redirect sa paglukso, aron kini makab-otAng tibuok site nga http redirect sa https .

Ayaw ibutang ang https redirect rules [L] Ubos sa mga lagda, ibutang [L] labaw sa mga lagda ▼

Gipadako nga pagbasa:

• Unsa ang kalainan tali sa http vs https? Detalyadong pagpatin-aw sa proseso sa pag-encrypt sa SSL
• Unsa ang akong buhaton kung makakuha ako usa ka sayup 500 pagkahuman ma-install ang Let's Encrypt SSL certificate sa CWP control panel?
• Awtomatikong ambak sa ikaduhang lebel nga ngalan sa domain nga wala ang www nga top-level nga ngalan sa domain: ang gamut nga ngalan sa domain nga 301 nag-redirect sa www