Artikola Adresaro
Kiel kandidatiĝi por Let's Encrypt?
Ni Ĉifri SSL-Atestilan Principon kaj Instaladon
Kio estas SSL?Chen WeiliangEn la antaŭa artikolo "Kio estas la diferenco inter http kaj https? Detala klarigo pri SSL-ĉifrada procezo"Ĝi estas menciita en.
kromRetkomercoLa retejo devas aĉeti altnivelan ĉifritan SSL-atestilon kaj uzi la retejon kiel WeChatPromocio pri publika kontodenovaj amaskomunikilojHomoj, se vi volas instali SSL-atestilon, vi efektive povas instali ĉifritan SSL-atestilon senpage.SEOHelpema, povas plibonigi la rangotabelon de retejaj ŝlosilvortoj en serĉiloj.
Let's Encrypt mem skribis aron da procezoj (https://certbot.eff.org/), uzulinuxamikoj, vi povas sekvi ĉi tiun lernilon dum vi raportas al la procezo.
Elŝutu la certbot-aŭtomatan ilon unue, poste rulu la instalajn dependecojn de la ilo.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Generu SSL-atestilon
Poste, kunChen WeiliangPrenu la blogan domajnan nomon kiel ekzemplon, bonvolu modifi ĝin laŭ viaj propraj bezonoj. SSH rulas la jenajn komandojn.
Nepre modifi la komandon en:
- Poŝtejo
- servila vojo
- retpaĝa domajna nomo
Ununura domajna ununura dosierujo, generu atestilon:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Plurdomajna ununura dosierujo, generu atestilon: (te, pluraj domajnaj nomoj, ununura dosierujo, uzu la saman atestilon)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
La generita SSL-atestilo estos konservita en:/etc/letsencrypt/live/www.chenweiliang.com/
Sub enhavo.
Multoblaj domajnaj nomoj kaj pluraj dosierujoj, generu atestilon: (tio estas, pluraj domajnaj nomoj, pluraj dosierujoj, uzu la saman atestilon)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Post kiam la atestilo Ni Ĉifri estas sukcese instalita, la sekva prompta mesaĝo aperos en SSH:
GRAVAJN NOTOJ:
– Gratulon!Via atestilo kaj chain estis konservitaj ĉe:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Via ŝlosildosiero estas konservita ĉe:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Via atesto eksvalidiĝos je 2018-02-26 Por akiri novan aŭ ĝustigitan
versio de ĉi tiu atestilo estonte, simple rulu certbot-auto
denove. Por ne-interage renovigi *ĉiujn* viajn atestojn, kuru
"certbot-aŭtomata renovigo"
- Se vi ŝatas Certbot, bonvolu konsideri subteni nian laboron per:
Donacado al ISRG / Ni Ĉifri: https://letsencrypt.org/donate
Donaci al EFF: https://eff.org/donate-le
Renovigo de SSL-Atestilo
Renovigo de atestilo ankaŭ estas tre oportuna, uzantekronikoAŭtomate renovigo.Iuj Debiano ne havas crontab instalitan, vi povas unue instali ĝin permane.
apt-get install cron
La sekvaj komandoj estas en nginx kaj apache respektive / etc / crontab La komando enigita en la dosieron signifas, ke ĝi estas renovigita ĉiujn 10 tagojn, kaj 90-taga validperiodo sufiĉas.
Nginx crontab-dosiero, bonvolu aldoni:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Apache crontab dosiero, bonvolu aldoni:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL-atestilo Apache-agordo
Nun ni devas fari ŝanĝojn al la Apache-agordo.
Konsiloj:
- se vi uzasCWP Kontrolpanelo, en la ĉeko Aldoni domajnan nomon Aŭtomate generi SSL-atestilon, ĝi aŭtomate agordos la SSL-atestilon por Apache.
- Se vi faras pliajn el la sekvaj paŝoj, eraro povas okazi post rekomenco de Apache.
- Se estas eraro, forigu la agordon, kiun vi aldonis permane.
Redaktu la httpd.conf dosieron ▼
/usr/local/apache/conf/httpd.conf
Trovu ▼
Listen 443
- (forigu la antaŭan komentan numeron #)
aŭ aldonu aŭskultan havenon 443 ▼
Listen 443
SSH-kontrolu Apache-aŭskultantan havenon ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Trovu ▼
mod_ssl
- (forigu la antaŭan komentan numeron #)
aŭ aldonu ▼
LoadModule ssl_module modules/mod_ssl.so
Trovu ▼
httpd-ssl
- (forigu la antaŭan komentan numeron #)
Poste, SSH plenumu la sekvan komandon (notu por ŝanĝi la vojon al via propra):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Poste, ĉe la fino de la Apache-agordo por la retejo, kiun vi kreissub.
Aldonu la agordan dosieron de la sekcio SSL (notu por forigi la komenton, kaj ŝanĝi la vojon al via propra):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Fine rekomencu Apache sur ĝi:
service httpd restart
Apache devigas HTTP-redirektilon al HTTPS
- Multaj retpetoj ĉiam povas funkcii nur per SSL.
- Ni devas certigi, ke ĉiufoje kiam ni uzas SSL, la retejo devas esti alirita per SSL.
- Se iu ajn uzanto provas aliri la retejon kun URL ne-SSL, li devas esti redirektita al la retejo de SSL.
- Alidirekti al SSL URL per Apache mod_rewrite-modulo.
- Kiel uzi LAMP-unu-klakan instalpakaĵon, enkonstruitan aŭtomatan instaladon de SSL-atestilo kaj devigan alidirekton al HTTPS, alidirekton al HTTPSEn forto, vi ne bezonas aldoni HTTPS-alidirektilon.
Aldonu alidirektigan regulon
- En la agorda dosiero de Apache, redaktu la virtualan gastiganton de la retejo kaj aldonu la sekvajn agordojn.
- Vi ankaŭ povas aldoni la samajn agordojn al la dokumentradiko en via retejo en via .htaccess-dosiero.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Se vi nur volas specifi certan URL por redirekti al HTTPS:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Se iu provas aliri mesaĝo , la paĝo saltos al https, kaj la uzanto nur povas aliri la URL kun SSL.
Rekomencu Apache por ke la .htaccess-dosiero ekvalidu:
service httpd restart
Antaŭzorgoj
- Bonvolu ŝanĝi la supran retadreson al via retadreso.
- Bonvolu memori ŝanĝi la supran retejan domajnan nomon al via reteja domajna nomo.
Redirekta regulo-loka problemo
Sub pseŭdo-senmovaj reguloj, kiam oni metas alidirektajn saltajn regulojn, oni kutime renkontas http ne povas alidirekti al https La problemo.
Komence ni kopiis la alidirektilon en .htaccess kaj ĝi aperos en la sekvaj kazoj ▼
- [L] indikas ke la nuna regulo estas la lasta regulo, ĉesu analizi la sekvajn reverkajn regulojn.
- Do alirante la alidirektitan artikolpaĝon, [L] ĉesigas la sekvan regulon, do la alidirekta regulo ne funkcias.
Vizitante la http-hejmpaĝon, ni volas ekigi URL-alidirekton, preterlasi la pseŭdo-senmovan regulon por ekzekuti la redirektan saltregulon, por ke ĝi estu atingita.Tutreteja http alidirektilo al https .
Ne enmetu https-redirektigajn regulojn [L] Sub la reguloj, metu [L] super la reguloj ▼
Plilongigita legado:
- Kio estas la diferenco inter http kaj https? Detala klarigo pri SSL-ĉifrada procezo
- Kion mi faru se mi ricevas eraron 500 post instalo de la atestilo Let's Encrypt SSL en la kontrolpanelo de CWP?
- Aŭtomate saltu al la duanivela domajna nomo sen la www-supernivela domajna nomo: la radika domajna nomo 301 alidirektas www.
Hope Chen Weiliang Blogo ( https://www.chenweiliang.com/ ) konigis "Kiel kandidatiĝi por Ni Ĉifri? Ni Ĉifri SSL-Liberan Atestil-Principon kaj Instaladon", kiu estas helpema al vi.
Bonvenon dividi la ligon de ĉi tiu artikolo:https://www.chenweiliang.com/cwl-512.html
Bonvenon al la Telegram-kanalo de la blogo de Chen Weiliang por ricevi la plej novajn ĝisdatigojn!
📚 Ĉi tiu gvidilo enhavas grandegan valoron, 🌟Ĉi tio estas malofta ŝanco, ne maltrafu ĝin! ⏰⌛💨
Kunhavigu kaj ŝatu se vi ŝatas!
Via kundivido kaj ŝatoj estas nia kontinua instigo!