Hvordan ansøger man om Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial

Hvordan ansøger man om Let's Encrypt?

Lad os kryptere SSL-certifikatprincip og installationsvejledning

Hvad er SSL?Chen WeiliangI den forrige artikel "Hvad er forskellen mellem http vs https? Detaljeret forklaring af SSL-krypteringsprocessen"Det er nævnt i.

undtagenE-handelHjemmesiden skal købe et avanceret krypteret SSL-certifikat og bruge hjemmesiden som WeChatOffentlig kontofremmeafnye medierFolk, hvis du vil installere et SSL-certifikat, kan du faktisk installere et krypteret SSL-certifikat gratis.SEONyttigt, kan forbedre placeringen af ​​webstedssøgeord i søgemaskiner.

Let's Encrypt har selv skrevet et sæt processer (https://certbot.eff.org/),brugLinuxvenner, du kan følge denne tutorial, mens du henviser til processen.

Download først certbot-auto-værktøjet, og kør derefter værktøjets installationsafhængigheder.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Generer SSL-certifikat

Dernæst medChen WeiliangTag bloggens domænenavn som et eksempel, modificer det i henhold til dine egne behov SSH kører følgende kommandoer.

Sørg for at ændre kommandoen i:

1. postkasse
2. serversti
3. hjemmesidens domænenavn

Enkelt domæne enkelt bibliotek, generer et certifikat:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Enkelt bibliotek med flere domæner, generer et certifikat: (dvs. flere domænenavne, enkelt bibliotek, brug det samme certifikat)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Det genererede SSL-certifikat vil blive gemt i:/etc/letsencrypt/live/www.chenweiliang.com/ Under indhold.

Flere domænenavne og flere mapper, generer et certifikat: (det vil sige flere domænenavne, flere mapper, brug det samme certifikat)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Når Let's Encrypt-certifikatet er installeret korrekt, vises følgende promptmeddelelse i SSH:

VIGTIGE BEMÆRKNINGER:
– Tillykke med dit certifikat og kapain er blevet gemt på:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Din nøglefil er blevet gemt på:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Dit certifikat udløber den 2018-02-26. For at få et nyt eller tweaked
version af dette certifikat i fremtiden, skal du blot køre certbot-auto
igen. Kør for ikke-interaktivt at forny *alle* dine certifikater
"certbot-auto forny"
– Hvis du kan lide Certbot, så overvej at støtte vores arbejde ved at:
Donere til ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donation til EFF: https://eff.org/donate-le

Fornyelse af SSL-certifikat

Certifikatfornyelse er også meget praktisk at brugecrontabAutomatisk fornyelse.Nogle Debian har ikke crontab installeret, du kan først installere det manuelt.

apt-get install cron

Følgende kommandoer er i henholdsvis nginx og apache / Etc / crontab Kommandoen indtastet i filen betyder, at den fornys hver 10. dag, og en 90-dages gyldighedsperiode er tilstrækkelig.

Nginx crontab fil, tilføj venligst:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab-fil, tilføj venligst:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL-certifikat Apache-konfiguration

Nu skal vi lave ændringer i Apache-konfigurationen.

Tips:

• hvis du brugerCWP kontrolpanel, i afkrydsningsfeltet Tilføj domænenavn Generer automatisk et SSL-certifikat, vil det automatisk konfigurere SSL-certifikatet til Apache.
• Hvis du gør flere af følgende trin, kan der opstå en fejl efter genstart af Apache.
• Hvis der er en fejl, skal du slette den konfiguration, du tilføjede manuelt.

Rediger httpd.conf-filen ▼

/usr/local/apache/conf/httpd.conf

Find ▼

Listen 443

• (fjern det foregående kommentarnummer #)

eller tilføj lytteport 443 ▼

Listen 443

SSH check Apache lytteport ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Find ▼

mod_ssl

• (fjern det foregående kommentarnummer #)

eller tilføj ▼

LoadModule ssl_module modules/mod_ssl.so

Find ▼

httpd-ssl

• (fjern det foregående kommentarnummer #)

SSH udfører derefter følgende kommando (bemærk for at ændre stien til din egen):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Dernæst i slutningen af ​​Apache-konfigurationen for det websted, du oprettedeunder.

Tilføj konfigurationsfilen for SSL-sektionen (bemærk for at fjerne kommentaren og ændre stien til din egen):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Genstart endelig Apache på det:

service httpd restart

Apache tvinger HTTP-omdirigering til HTTPS

• Mange webanmodninger kan altid kun køre med SSL.
• Vi skal sørge for, at hver gang vi bruger SSL, skal hjemmesiden tilgås via SSL.
• Hvis en bruger forsøger at få adgang til webstedet med en ikke-SSL-URL, skal han omdirigeres til SSL-webstedet.
• Omdiriger til SSL URL ved hjælp af Apache mod_rewrite modul.
• Såsom brug af LAMP et-klik installationspakke, indbygget automatisk installation af SSL-certifikat og tvungen omdirigering til HTTPS, omdirigering til HTTPSI kraft, behøver du ikke tilføje en HTTPS-omdirigering.

Tilføj omdirigeringsregel

• I Apaches konfigurationsfil skal du redigere webstedets virtuelle vært og tilføje følgende indstillinger.
• Du kan også tilføje de samme indstillinger til dokumentroden på dit websted i din .htaccess-fil.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Hvis du bare vil angive en bestemt URL for at omdirigere til HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Hvis nogen forsøger at få adgang besked , vil siden springe til https, og brugeren kan kun få adgang til URL'en med SSL.

Genstart Apache for at .htaccess-filen træder i kraft:

service httpd restart

注意 事项

• Skift venligst ovenstående e-mailadresse til din e-mailadresse.
• Husk at ændre ovenstående webstedsdomænenavn til dit websteds domænenavn.

Problem med placering af omdirigeringsregel

Under pseudo-statiske regler, når du placerer omdirigering hoppe regler, du normalt støder på http kan ikke omdirigere til https Problemet.

Til at begynde med kopierede vi omdirigeringskoden til .htaccess, og den vises i følgende tilfælde ▼

• [L] angiver, at den nuværende regel er den sidste regel, stop med at analysere følgende omskrivningsregler.
• Så når du får adgang til den omdirigerede artikelside, stopper [L] den følgende regel, så omdirigeringsreglen virker ikke.

Når vi besøger http-hjemmesiden, ønsker vi at udløse en URL-omdirigering, spring den pseudostatiske regel over for at udføre omdirigeringsspringreglen, så den kan opnåshttp-omdirigere til https på hele webstedet .

Indsæt ikke https-omdirigeringsregler [L] Under reglerne, læg [L] over reglerne ▼

Udvidet læsning:

• Hvad er forskellen mellem http vs https? Detaljeret forklaring af SSL-krypteringsprocessen
• Hvad skal jeg gøre, hvis jeg får fejl 500 efter installation af Let's Encrypt SSL-certifikatet i CWP-kontrolpanelet?
• Hop automatisk til domænenavnet på andet niveau uden www-topdomænenavnet: roddomænenavnet 301 omdirigerer www