Artikel Directory
Hvordan ansøger man om Let's Encrypt?
Lad os kryptere SSL-certifikatprincip og installationsvejledning
Hvad er SSL?Chen WeiliangI den forrige artikel "Hvad er forskellen mellem http vs https? Detaljeret forklaring af SSL-krypteringsprocessen"Det er nævnt i.
undtagenE-handelHjemmesiden skal købe et avanceret krypteret SSL-certifikat og bruge hjemmesiden som WeChatOffentlig kontofremmeafnye medierFolk, hvis du vil installere et SSL-certifikat, kan du faktisk installere et krypteret SSL-certifikat gratis.SEONyttigt, kan forbedre placeringen af webstedssøgeord i søgemaskiner.
Let's Encrypt har selv skrevet et sæt processer (https://certbot.eff.org/),brugLinuxvenner, du kan følge denne tutorial, mens du henviser til processen.
Download først certbot-auto-værktøjet, og kør derefter værktøjets installationsafhængigheder.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Generer SSL-certifikat
Dernæst medChen WeiliangTag bloggens domænenavn som et eksempel, modificer det i henhold til dine egne behov SSH kører følgende kommandoer.
Sørg for at ændre kommandoen i:
- postkasse
- serversti
- hjemmesidens domænenavn
Enkelt domæne enkelt bibliotek, generer et certifikat:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Enkelt bibliotek med flere domæner, generer et certifikat: (dvs. flere domænenavne, enkelt bibliotek, brug det samme certifikat)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Det genererede SSL-certifikat vil blive gemt i:/etc/letsencrypt/live/www.chenweiliang.com/
Under indhold.
Flere domænenavne og flere mapper, generer et certifikat: (det vil sige flere domænenavne, flere mapper, brug det samme certifikat)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Når Let's Encrypt-certifikatet er installeret korrekt, vises følgende promptmeddelelse i SSH:
VIGTIGE BEMÆRKNINGER:
– Tillykke med dit certifikat og kapain er blevet gemt på:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Din nøglefil er blevet gemt på:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Dit certifikat udløber den 2018-02-26. For at få et nyt eller tweaked
version af dette certifikat i fremtiden, skal du blot køre certbot-auto
igen. Kør for ikke-interaktivt at forny *alle* dine certifikater
"certbot-auto forny"
– Hvis du kan lide Certbot, så overvej at støtte vores arbejde ved at:
Donere til ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donation til EFF: https://eff.org/donate-le
Fornyelse af SSL-certifikat
Certifikatfornyelse er også meget praktisk at brugecrontabAutomatisk fornyelse.Nogle Debian har ikke crontab installeret, du kan først installere det manuelt.
apt-get install cron
Følgende kommandoer er i henholdsvis nginx og apache / Etc / crontab Kommandoen indtastet i filen betyder, at den fornys hver 10. dag, og en 90-dages gyldighedsperiode er tilstrækkelig.
Nginx crontab fil, tilføj venligst:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Apache crontab-fil, tilføj venligst:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL-certifikat Apache-konfiguration
Nu skal vi lave ændringer i Apache-konfigurationen.
Tips:
- hvis du brugerCWP kontrolpanel, i afkrydsningsfeltet Tilføj domænenavn Generer automatisk et SSL-certifikat, vil det automatisk konfigurere SSL-certifikatet til Apache.
- Hvis du gør flere af følgende trin, kan der opstå en fejl efter genstart af Apache.
- Hvis der er en fejl, skal du slette den konfiguration, du tilføjede manuelt.
Rediger httpd.conf-filen ▼
/usr/local/apache/conf/httpd.conf
Find ▼
Listen 443
- (fjern det foregående kommentarnummer #)
eller tilføj lytteport 443 ▼
Listen 443
SSH check Apache lytteport ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Find ▼
mod_ssl
- (fjern det foregående kommentarnummer #)
eller tilføj ▼
LoadModule ssl_module modules/mod_ssl.so
Find ▼
httpd-ssl
- (fjern det foregående kommentarnummer #)
SSH udfører derefter følgende kommando (bemærk for at ændre stien til din egen):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Dernæst i slutningen af Apache-konfigurationen for det websted, du oprettedeunder.
Tilføj konfigurationsfilen for SSL-sektionen (bemærk for at fjerne kommentaren og ændre stien til din egen):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Genstart endelig Apache på det:
service httpd restart
Apache tvinger HTTP-omdirigering til HTTPS
- Mange webanmodninger kan altid kun køre med SSL.
- Vi skal sørge for, at hver gang vi bruger SSL, skal hjemmesiden tilgås via SSL.
- Hvis en bruger forsøger at få adgang til webstedet med en ikke-SSL-URL, skal han omdirigeres til SSL-webstedet.
- Omdiriger til SSL URL ved hjælp af Apache mod_rewrite modul.
- Såsom brug af LAMP et-klik installationspakke, indbygget automatisk installation af SSL-certifikat og tvungen omdirigering til HTTPS, omdirigering til HTTPSI kraft, behøver du ikke tilføje en HTTPS-omdirigering.
Tilføj omdirigeringsregel
- I Apaches konfigurationsfil skal du redigere webstedets virtuelle vært og tilføje følgende indstillinger.
- Du kan også tilføje de samme indstillinger til dokumentroden på dit websted i din .htaccess-fil.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Hvis du bare vil angive en bestemt URL for at omdirigere til HTTPS:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Hvis nogen forsøger at få adgang besked , vil siden springe til https, og brugeren kan kun få adgang til URL'en med SSL.
Genstart Apache for at .htaccess-filen træder i kraft:
service httpd restart
注意 事项
- Skift venligst ovenstående e-mailadresse til din e-mailadresse.
- Husk at ændre ovenstående webstedsdomænenavn til dit websteds domænenavn.
Problem med placering af omdirigeringsregel
Under pseudo-statiske regler, når du placerer omdirigering hoppe regler, du normalt støder på http kan ikke omdirigere til https Problemet.
Til at begynde med kopierede vi omdirigeringskoden til .htaccess, og den vises i følgende tilfælde ▼
- [L] angiver, at den nuværende regel er den sidste regel, stop med at analysere følgende omskrivningsregler.
- Så når du får adgang til den omdirigerede artikelside, stopper [L] den følgende regel, så omdirigeringsreglen virker ikke.
Når vi besøger http-hjemmesiden, ønsker vi at udløse en URL-omdirigering, spring den pseudostatiske regel over for at udføre omdirigeringsspringreglen, så den kan opnåshttp-omdirigere til https på hele webstedet .
Indsæt ikke https-omdirigeringsregler [L] Under reglerne, læg [L] over reglerne ▼
Udvidet læsning:
- Hvad er forskellen mellem http vs https? Detaljeret forklaring af SSL-krypteringsprocessen
- Hvad skal jeg gøre, hvis jeg får fejl 500 efter installation af Let's Encrypt SSL-certifikatet i CWP-kontrolpanelet?
- Hop automatisk til domænenavnet på andet niveau uden www-topdomænenavnet: roddomænenavnet 301 omdirigerer www
Hope Chen Weiliang Blog ( https://www.chenweiliang.com/ ) delte "Hvordan ansøger du om Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial", som er nyttigt for dig.
Velkommen til at dele linket til denne artikel:https://www.chenweiliang.com/cwl-512.html
Velkommen til Telegram-kanalen på Chen Weiliangs blog for at få de seneste opdateringer!
📚 Denne guide indeholder enorm værdi, 🌟Dette er en sjælden mulighed, gå ikke glip af det! ⏰⌛💨
Del og like hvis du har lyst!
Din deling og likes er vores kontinuerlige motivation!