¿Cómo solicitar Let's Encrypt?Let's Encrypt Principio del certificado gratuito SSL y tutorial de instalación

¿Cómo solicitar Let's Encrypt?

Tutorial de instalación y principio del certificado Let's Encrypt SSL

¿Qué es SSL?chen weiliangEn el artículo anterior "¿Cuál es la diferencia entre http y https? Explicación detallada del proceso de encriptación SSL" mencionado en.

ExceptoComercio electrónicoEl sitio web debe comprar un certificado SSL encriptado avanzado y usar el sitio web como WeChatpromoción de cuenta pública的nuevos medios de comunicaciónGente, si desea instalar un certificado SSL, puede instalar un certificado SSL encriptado de forma gratuita.SEOÚtil, puede mejorar la clasificación de las palabras clave del sitio web en los motores de búsqueda.

Let's Encrypt ha escrito un conjunto de procesos (https://certbot.eff.org/),usarLinuxamigos, pueden seguir este tutorial mientras se refieren al proceso.

Primero descargue la herramienta certbot-auto, luego ejecute las dependencias de instalación de la herramienta.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Generar certificado SSL

A continuación, conchen weiliangTome el nombre de dominio del blog como ejemplo, modifíquelo según sus propias necesidades. SSH ejecuta los siguientes comandos.

Asegúrese de modificar el comando en:

1. 邮箱
2. ruta del servidor
3. Dominio del sitio web

Directorio único de dominio único, genere un certificado:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Directorio único multidominio, generar un certificado: (es decir, varios nombres de dominio, directorio único, usar el mismo certificado)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

El certificado SSL generado se guardará en:/etc/letsencrypt/live/www.chenweiliang.com/ Bajo contenidos.

Múltiples nombres de dominio y múltiples directorios, generar un certificado: (es decir, múltiples nombres de dominio, múltiples directorios, usar el mismo certificado)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Después de que el certificado de Let's Encrypt se haya instalado correctamente, aparecerá el siguiente mensaje en SSH:

NOTAS IMPORTANTES:
– ¡Felicitaciones! Tu certificado y chain han sido guardados en:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Su archivo de claves se ha guardado en:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Su certificado caducará el 2018 de febrero de 02. Para obtener uno nuevo o modificado
versión de este certificado en el futuro, simplemente ejecute certbot-auto
Para renovar *todos* sus certificados de forma no interactiva, ejecute
"certbot-renovación automática"
- Si te gusta Certbot, considera apoyar nuestro trabajo de:
Donando a ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donar a EFF: https://eff.org/donate-le

Renovación de Certificado SSL

La renovación del certificado también es muy conveniente, utilizandocrontabAuto renovación.Algunos Debian no tienen crontab instalado, puede instalarlo manualmente primero.

apt-get install cron

Los siguientes comandos están en nginx y apache respectivamente / etc / crontab El comando ingresado en el archivo significa que se renueva cada 10 días, siendo suficiente un período de validez de 90 días.

Archivo crontab de Nginx, agregue:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Archivo crontab de Apache, agregue:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

Configuración de Apache del certificado SSL

Ahora, necesitamos hacer cambios en la configuración de Apache.

Consejos:

• si utilizaPanel de control de CWP, en Agregar nombre de dominio marque Generar automáticamente un certificado SSL, configurará automáticamente el certificado SSL para Apache.
• Si realiza más de los siguientes pasos, puede ocurrir un error después de reiniciar Apache.
• Si hay un error, elimine la configuración que agregó manualmente.

Edite el archivo httpd.conf ▼

/usr/local/apache/conf/httpd.conf

Buscar ▼

Listen 443

• (quitar el comentario anterior número #)

o agregue el puerto de escucha 443 ▼

Listen 443

SSH comprueba el puerto de escucha de Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Buscar ▼

mod_ssl

• (quitar el comentario anterior número #)

o agrega ▼

LoadModule ssl_module modules/mod_ssl.so

Buscar ▼

httpd-ssl

• (quitar el comentario anterior número #)

Luego, SSH ejecute el siguiente comando (tenga en cuenta que debe cambiar la ruta por la suya):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

A continuación, al final de la configuración de Apache para el sitio web que creóla siguiente.

Agregue el archivo de configuración de la sección SSL (nota para eliminar el comentario y cambiar la ruta por la suya):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Finalmente reinicie Apache en él:

service httpd restart

Apache fuerza la redirección de HTTP a HTTPS

• Muchas solicitudes web solo pueden ejecutarse siempre con SSL.
• Necesitamos asegurarnos de que cada vez que usamos SSL, se debe acceder al sitio web a través de SSL.
• Si algún usuario intenta acceder al sitio web con una URL no SSL, debe ser redirigido al sitio web SSL.
• Redirigir a la URL de SSL utilizando el módulo mod_rewrite de Apache.
• Si usa el paquete de instalación LAMP con un solo clic, instalación automática integrada del certificado SSL y redirección forzada a HTTPS, redirección a HTTPSEn vigor, no necesita agregar una redirección HTTPS.

Agregar regla de redirección

• En el archivo de configuración de Apache, edite el host virtual del sitio web y agregue la siguiente configuración.
• También puede agregar la misma configuración a la raíz del documento en su sitio web en su archivo .htaccess.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Si solo desea especificar una determinada URL para redirigir a HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Si alguien intenta acceder mensaje , la página saltará a https y el usuario solo podrá acceder a la URL con SSL.

Reinicie Apache para que el archivo .htaccess surta efecto:

service httpd restart

注意 事项

• Cambie la dirección de correo electrónico anterior a su dirección de correo electrónico.
• Recuerde cambiar el nombre de dominio del sitio web anterior por el nombre de dominio de su sitio web.

Problema de ubicación de la regla de redirección

Bajo reglas pseudoestáticas, al colocar reglas de salto de redirección, generalmente encuentra http no puede redirigir a https El problema.

Inicialmente copiamos el código de redirección en .htaccess y aparecerá en los siguientes casos ▼

• [L] indica que la regla actual es la última regla, deja de analizar las siguientes reglas de reescritura.
• Entonces, al acceder a la página del artículo redirigido, [L] detiene las siguientes reglas, por lo que las reglas de redirección no funcionan.

Al visitar la página de inicio http, queremos activar una redirección de URL, omitir la regla pseudoestática para ejecutar la regla de salto de redirección, para que se pueda lograrRedirección de http en todo el sitio a https .

No ponga reglas de redirección https en [L] Debajo de las reglas, pon [L] por encima de las reglas ▼

Lectura extendida:

• ¿Cuál es la diferencia entre http y https? Explicación detallada del proceso de encriptación SSL
• ¿Qué debo hacer si recibo un error 500 después de instalar el certificado SSL de Let's Encrypt en el panel de control de CWP?
• Saltar automáticamente al nombre de dominio de segundo nivel sin el nombre de dominio de nivel superior www: el nombre de dominio raíz 301 redirige www