Πώς να υποβάλετε αίτηση για Let's Encrypt; Let's Encrypt SSL Free Certificate Principle & Installation Tutorial

Πώς να υποβάλετε αίτηση για Let's Encrypt;

Ας κρυπτογραφήσουμε την αρχή του πιστοποιητικού SSL και το Οδηγό εγκατάστασης

Τι είναι το SSL;Chen WeiliangΣτο προηγούμενο άρθρο "Ποια είναι η διαφορά μεταξύ http και https; Λεπτομερής επεξήγηση της διαδικασίας κρυπτογράφησης SSL«Αναφέρεται στο.

εκτός απόΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟΟ ιστότοπος πρέπει να αγοράσει ένα προηγμένο κρυπτογραφημένο πιστοποιητικό SSL και να χρησιμοποιήσει τον ιστότοπο ως WeChatΠροώθηση δημόσιου λογαριασμού的νέα μέσαΛοιπόν, αν θέλετε να εγκαταστήσετε ένα πιστοποιητικό SSL, μπορείτε πραγματικά να εγκαταστήσετε ένα κρυπτογραφημένο πιστοποιητικό SSL δωρεάν.SEOΕίναι χρήσιμο και μπορεί να βελτιώσει την κατάταξη των λέξεων-κλειδιών του ιστότοπου στις μηχανές αναζήτησης.

Το Let's Encrypt το ίδιο έχει γράψει ένα σύνολο διαδικασιών (https://certbot.eff.org/),χρήσηLinuxφίλοι, μπορείτε να ακολουθήσετε αυτό το σεμινάριο ενώ αναφέρεστε στη διαδικασία.

Κατεβάστε πρώτα το εργαλείο certbot-auto και, στη συνέχεια, εκτελέστε τις εξαρτήσεις εγκατάστασης του εργαλείου.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Δημιουργία πιστοποιητικού SSL

Στη συνέχεια, μεChen WeiliangΠάρτε για παράδειγμα το όνομα τομέα του ιστολογίου, τροποποιήστε το σύμφωνα με τις δικές σας ανάγκες. Το SSH εκτελεί τις ακόλουθες εντολές.

Φροντίστε να τροποποιήσετε την εντολή στο:

1. Γραμματοκιβώτιο
2. διαδρομή διακομιστή
3. όνομα τομέα ιστότοπου

Ένας κατάλογος ενός τομέα, δημιουργήστε ένα πιστοποιητικό:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Μεμονωμένος κατάλογος πολλαπλών τομέων, δημιουργία πιστοποιητικού: (δηλαδή, πολλά ονόματα τομέα, ένας κατάλογος, χρήση του ίδιου πιστοποιητικού)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Το πιστοποιητικό SSL που δημιουργήθηκε θα αποθηκευτεί σε:/etc/letsencrypt/live/www.chenweiliang.com/ Κάτω από το περιεχόμενο.

Πολλαπλά ονόματα τομέα και πολλοί κατάλογοι, δημιουργία πιστοποιητικού: (δηλαδή, πολλά ονόματα τομέα, πολλαπλοί κατάλογοι, χρήση του ίδιου πιστοποιητικού)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Αφού εγκατασταθεί με επιτυχία το πιστοποιητικό Let's Encrypt, θα εμφανιστεί το ακόλουθο μήνυμα προτροπής στο SSH:

ΣΗΜΑΝΤΙΚΕΣ ΣΗΜΕΙΩΣΕΙΣ:
– Συγχαρητήρια!Το πιστοποιητικό σας και το κεφain έχουν αποθηκευτεί στο:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Το αρχείο κλειδιού σας έχει αποθηκευτεί στη διεύθυνση:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Το πιστοποιητικό σας θα λήξει στις 2018-02-26. Για να αποκτήσετε ένα νέο ή τροποποιημένο
έκδοση αυτού του πιστοποιητικού στο μέλλον, απλώς εκτελέστε το certbot-auto
Για να ανανεώσετε μη διαδραστικά *όλα* τα πιστοποιητικά σας, εκτελέστε
"certbot-αυτόματη ανανέωση"
- Εάν σας αρέσει το Certbot, σκεφτείτε το ενδεχόμενο να υποστηρίξετε το έργο μας από:
Δωρεά στο ISRG / Let's Encrypt: https://letsencrypt.org/donate
Δωρεά στο EFF: https://eff.org/donate-le

Ανανέωση Πιστοποιητικού SSL

Η ανανέωση πιστοποιητικού είναι επίσης πολύ βολική, χρησιμοποιώνταςcrontabΑυτόματη ανανέωση.Κάποιο Debian δεν έχει εγκατεστημένο το crontab, μπορείτε πρώτα να το εγκαταστήσετε χειροκίνητα.

apt-get install cron

Οι παρακάτω εντολές είναι σε nginx και apache αντίστοιχα / etc / crontab Η εντολή που εισάγεται στο αρχείο σημαίνει ότι ανανεώνεται κάθε 10 ημέρες και αρκεί μια περίοδος ισχύος 90 ημερών.

Αρχείο Nginx crontab, προσθέστε:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Αρχείο crontab Apache, προσθέστε:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

Πιστοποιητικό SSL Διαμόρφωση Apache

Τώρα, πρέπει να κάνουμε αλλαγές στη διαμόρφωση του Apache.

Συμβουλές:

• εάν χρησιμοποιείτεΠίνακας ελέγχου CWP, στον έλεγχο Προσθήκη ονόματος τομέα Αυτόματη δημιουργία πιστοποιητικού SSL, θα διαμορφώσει αυτόματα το πιστοποιητικό SSL για τον Apache.
• Εάν κάνετε περισσότερα από τα παρακάτω βήματα, ενδέχεται να προκύψει σφάλμα μετά την επανεκκίνηση του Apache.
• Εάν υπάρχει σφάλμα, διαγράψτε τη διαμόρφωση που προσθέσατε με μη αυτόματο τρόπο.

Επεξεργαστείτε το αρχείο httpd.conf ▼

/usr/local/apache/conf/httpd.conf

Βρείτε το ▼

Listen 443

• (αφαιρέστε τον προηγούμενο αριθμό σχολίου #)

ή προσθέστε τη θύρα ακρόασης 443 ▼

Listen 443

Έλεγχος SSH θύρα ακρόασης Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Βρείτε το ▼

mod_ssl

• (αφαιρέστε τον προηγούμενο αριθμό σχολίου #)

ή προσθέστε ▼

LoadModule ssl_module modules/mod_ssl.so

Βρείτε το ▼

httpd-ssl

• (αφαιρέστε τον προηγούμενο αριθμό σχολίου #)

Στη συνέχεια, το SSH εκτελεί την ακόλουθη εντολή (σημειώστε ότι μπορείτε να αλλάξετε τη διαδρομή στη δική σας):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Στη συνέχεια, στο τέλος της διαμόρφωσης του Apache για τον ιστότοπο που δημιουργήσατετο ακόλουθο.

Προσθέστε το αρχείο διαμόρφωσης της ενότητας SSL (σημειώστε ότι αφαιρέστε το σχόλιο και αλλάξτε τη διαδρομή στη δική σας):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Επιτέλους επανεκκινήστε το Apache σε αυτό:

service httpd restart

Ανακατεύθυνση HTTP αναγκαστικής Apache σε HTTPS

• Πολλά αιτήματα Ιστού μπορούν πάντα να εκτελούνται μόνο με SSL.
• Πρέπει να διασφαλίσουμε ότι κάθε φορά που χρησιμοποιούμε SSL, η πρόσβαση στον ιστότοπο πρέπει να γίνεται μέσω SSL.
• Εάν κάποιος χρήστης προσπαθήσει να αποκτήσει πρόσβαση στον ιστότοπο με διεύθυνση URL που δεν είναι SSL, πρέπει να ανακατευθυνθεί στον ιστότοπο SSL.
• Ανακατεύθυνση στη διεύθυνση URL SSL χρησιμοποιώντας την ενότητα mod_rewrite του Apache.
• Όπως χρήση πακέτου εγκατάστασης LAMP με ένα κλικ, ενσωματωμένη αυτόματη εγκατάσταση πιστοποιητικού SSL και αναγκαστική ανακατεύθυνση σε HTTPS, ανακατεύθυνση σε HTTPSΣε ισχύ, δεν χρειάζεται να προσθέσετε ανακατεύθυνση HTTPS.

Προσθήκη κανόνα ανακατεύθυνσης

• Στο αρχείο διαμόρφωσης του Apache, επεξεργαστείτε τον εικονικό κεντρικό υπολογιστή του ιστότοπου και προσθέστε τις ακόλουθες ρυθμίσεις.
• Μπορείτε επίσης να προσθέσετε τις ίδιες ρυθμίσεις στη ρίζα του εγγράφου στον ιστότοπό σας στο αρχείο .htaccess.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Εάν θέλετε απλώς να καθορίσετε μια συγκεκριμένη διεύθυνση URL για ανακατεύθυνση στο HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Αν κάποιος προσπαθήσει να αποκτήσει πρόσβαση μήνυμα , η σελίδα θα μεταβεί στο https και ο χρήστης μπορεί να έχει πρόσβαση στη διεύθυνση URL μόνο με SSL.

Κάντε επανεκκίνηση του Apache για να τεθεί σε ισχύ το αρχείο .htaccess:

service httpd restart

προφυλάξεις

• Αλλάξτε την παραπάνω διεύθυνση email στη διεύθυνση email σας.
• Θυμηθείτε να αλλάξετε το παραπάνω όνομα τομέα ιστότοπου στο όνομα τομέα του ιστότοπού σας.

Πρόβλημα τοποθεσίας κανόνα ανακατεύθυνσης

Σύμφωνα με ψευδοστατικούς κανόνες, κατά την τοποθέτηση κανόνων μετάβασης ανακατεύθυνσης, συνήθως συναντάτε Το http δεν μπορεί να ανακατευθύνει στο https Το πρόβλημα.

Αρχικά αντιγράψαμε τον κώδικα ανακατεύθυνσης στο .htaccess και θα εμφανιστεί στις ακόλουθες περιπτώσεις ▼

• Το [L] υποδηλώνει ότι ο τρέχων κανόνας είναι ο τελευταίος κανόνας, σταματήστε να αναλύετε τους ακόλουθους κανόνες επανεγγραφής.
• Έτσι, κατά την πρόσβαση στη σελίδα ανακατευθυνόμενου άρθρου, το [L] σταματά τους ακόλουθους κανόνες, επομένως οι κανόνες ανακατεύθυνσης δεν λειτουργούν.

Όταν επισκεπτόμαστε την αρχική σελίδα http, θέλουμε να ενεργοποιήσουμε μια ανακατεύθυνση διεύθυνσης URL, να παραλείψουμε τον ψευδοστατικό κανόνα για να εκτελέσουμε τον κανόνα μετάβασης ανακατεύθυνσης, ώστε να μπορεί να επιτευχθείΑνακατεύθυνση http σε όλο τον ιστότοπο σε https .

Μην βάζετε κανόνες ανακατεύθυνσης https [ΜΕΓΑΛΟ] Κάτω από τους κανόνες, βάλε [ΜΕΓΑΛΟ] υπεράνω των κανόνων ▼

Εκτεταμένη ανάγνωση:

• Ποια είναι η διαφορά μεταξύ http και https; Λεπτομερής επεξήγηση της διαδικασίας κρυπτογράφησης SSL
• Τι πρέπει να κάνω εάν λάβω ένα σφάλμα 500 μετά την εγκατάσταση του πιστοποιητικού Let's Encrypt SSL στον πίνακα ελέγχου του CWP;
• Αυτόματη μετάβαση στο όνομα τομέα δεύτερου επιπέδου χωρίς το όνομα τομέα ανώτατου επιπέδου www: το όνομα τομέα ρίζας 301 ανακατευθύνει το www