Artiklite kataloog
Kuidas taotleda Let's Encrypt'i?
Krüpteerime SSL-i sertifikaadi põhimõtte ja installiõpetuse
Mis on SSL?Chen WeiliangEelmises artiklis "Mis vahe on http ja https vahel? SSL-i krüpteerimisprotsessi üksikasjalik selgitus"Seda on mainitud.
välja arvatudE-kaubandusVeebisait peab ostma täiustatud krüpteeritud SSL-sertifikaadi ja kasutama veebisaiti WeChatinaAvaliku konto reklaamimineKohtauus meediaInimesed, kui soovite installida SSL-sertifikaati, saate tegelikult installida krüptitud SSL-sertifikaadi tasuta.SEOKasulik, võib parandada veebisaidi märksõnade järjestust otsingumootorites.
Let's Encrypt ise on kirjutanud protsesside komplekti (https://certbot.eff.org/), kasutageLinuxsõbrad, saate seda õpetust protsessile viidates jälgida.
Laadige esmalt alla tööriist certbot-auto ja seejärel käivitage tööriista installisõltuvused.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Looge SSL-sertifikaat
Järgmisena koosChen WeiliangVõtke näiteks ajaveebi domeeninimi, muutke seda vastavalt oma vajadustele SSH käivitab järgmised käsud.
Muutke kindlasti käsku:
- Postkast
- serveri tee
- veebisaidi domeeninimi
Üks domeen, üks kataloog, genereerige sertifikaat:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Mitme domeeniga üks kataloog, looge sertifikaat: (st mitu domeeninime, üks kataloog, kasutage sama sertifikaati)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Loodud SSL-sertifikaat salvestatakse:/etc/letsencrypt/live/www.chenweiliang.com/
Sisu all.
Mitu domeeninime ja mitu kataloogi, looge sertifikaat: (st mitu domeeninime, mitu kataloogi, kasutage sama sertifikaati)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Pärast Let's Encrypt sertifikaadi edukat installimist kuvatakse SSH-s järgmine teade:
TÄHELEPANU:
– Palju õnne!Teie tunnistus ja ptkain on salvestatud aadressile:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Teie võtmefail on salvestatud aadressile:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Teie sertifikaat aegub 2018. Uue või kohandatud sertifikaadi saamiseks
selle sertifikaadi versiooni tulevikus käivitage lihtsalt certbot-auto
*Kõigi* sertifikaatide mitteinteraktiivseks uuendamiseks käivitage
"certbot-auto uuendamine"
- Kui sulle meeldib Certbot, palun kaaluge oma töö toetamist:
ISRG-le annetamine / krüpteerime: https://letsencrypt.org/donate
EKF-i annetamine: https://eff.org/donate-le
SSL-sertifikaadi uuendamine
Sertifikaadi uuendamine on samuti väga mugav, kasutadescrontabAutomaatne uuendus.Mõnel Debianil pole crontab installitud, saate selle esmalt käsitsi installida.
apt-get install cron
Järgmised käsud on vastavalt nginxis ja apache'is / etc / crontab Faili sisestatud käsk tähendab, et seda uuendatakse iga 10 päeva järel ja piisab 90-päevasest kehtivusajast.
Nginx crontab-fail, lisage:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Apache crontab fail, lisage:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL-sertifikaadi Apache konfiguratsioon
Nüüd peame muutma Apache'i konfiguratsiooni.
Näpunäited:
- kui kasutateCWP juhtpaneel, märget Lisa domeeninimi Loo automaatselt SSL-sertifikaat, konfigureerib see automaatselt Apache'i SSL-sertifikaadi.
- Kui teete rohkem järgmisi samme, võib pärast Apache'i taaskäivitamist ilmneda tõrge.
- Kui ilmneb tõrge, kustutage käsitsi lisatud konfiguratsioon.
Redigeerige faili httpd.conf ▼
/usr/local/apache/conf/httpd.conf
Otsige üles ▼
Listen 443
- (eemaldage eelnev kommentaari number #)
või lisage kuulamisport 443 ▼
Listen 443
SSH kontrollige Apache kuulamisporti ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Otsige üles ▼
mod_ssl
- (eemaldage eelnev kommentaari number #)
või lisage ▼
LoadModule ssl_module modules/mod_ssl.so
Otsige üles ▼
httpd-ssl
- (eemaldage eelnev kommentaari number #)
Seejärel käivitage SSH järgmine käsk (märkus oma tee muutmiseks):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Järgmisena teie loodud veebisaidi Apache konfiguratsiooni lõpusall.
Lisage SSL-i jaotise konfiguratsioonifail (märkus kommentaari eemaldamiseks ja tee muutmiseks oma teeks):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Lõpuks taaskäivitage sellel Apache:
service httpd restart
Apache sunnib HTTP ümbersuunamist HTTPS-ile
- Paljud veebipäringud saavad alati käitada ainult SSL-iga.
- Peame tagama, et iga kord, kui kasutame SSL-i, peab veebisaidile pääsema SSL-i kaudu.
- Kui mõni kasutaja üritab veebisaidile juurde pääseda mitte-SSL-i URL-iga, tuleb ta suunata ümber SSL-i veebisaidile.
- Suunake SSL-i URL-ile, kasutades Apache mod_rewrite moodulit.
- Näiteks LAMP ühe klõpsuga installipaketi kasutamine, SSL-sertifikaadi sisseehitatud automaatne installimine ja sunnitud ümbersuunamine HTTPS-ile, ümbersuunamine HTTPS-ileJõuga, ei pea te HTTPS-i ümbersuunamist lisama.
Lisa ümbersuunamisreegel
- Redigeerige Apache'i konfiguratsioonifailis veebisaidi virtuaalset hosti ja lisage järgmised sätted.
- Samad sätted saate lisada ka oma veebisaidi dokumendijuurele oma .htaccess-failis.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Kui soovite määrata HTTPS-i ümbersuunamiseks teatud URL-i:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Kui keegi üritab ligi pääseda sõnum , hüppab leht https-i ja kasutaja pääseb URL-ile juurde ainult SSL-iga.
Htaccess-faili jõustumiseks taaskäivitage Apache:
service httpd restart
注意 事项
- Palun muutke ülaltoodud e-posti aadress oma e-posti aadressiks.
- Ärge unustage muuta ülaltoodud veebisaidi domeeninime oma veebisaidi domeeninimeks.
Ümbersuunamisreegli asukoha probleem
Pseudostaatiliste reeglite kohaselt kohtate tavaliselt ümbersuunamise hüppereeglite asetamisel http ei saa https-i ümber suunata Probleem.
Algselt kopeerisime ümbersuunamiskoodi faili .htaccess ja see ilmub järgmistel juhtudel ▼
- [L] näitab, et praegune reegel on viimane reegel, lõpetage järgmiste ümberkirjutamise reeglite analüüsimine.
- Seega peatab [L] ümbersuunatud artiklilehele juurdepääsul järgmise reegli, mistõttu ümbersuunamisreegel ei tööta.
http-i kodulehe külastamisel tahame käivitada URL-i ümbersuunamise, jätke vahele pseudostaatiline reegel ümbersuunamise hüppereegli täitmiseks, et see oleks võimalikKogu saidi http ümbersuunamine https-i .
Ärge sisestage https ümbersuunamise reegleid [L] Reeglitest allapoole pane [L] reeglitest kõrgemal ▼
Laiendatud lugemine:
- Mis vahe on http ja https vahel? SSL-i krüpteerimisprotsessi üksikasjalik selgitus
- Mida peaksin tegema, kui pärast Let's Encrypt SSL-sertifikaadi installimist CWP juhtpaneelile kuvatakse tõrge 500?
- Hüppa automaatselt teise taseme domeeninimele ilma www ülataseme domeeninimeta: juurdomeeni nimi 301 suunab www.
Hope Chen Weiliangi ajaveeb ( https://www.chenweiliang.com/ ) jagatud "Kuidas taotleda Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial", mis on teile abiks.
Tere tulemast selle artikli linki jagama:https://www.chenweiliang.com/cwl-512.html
Tere tulemast Chen Weiliangi ajaveebi Telegrami kanalile, et saada uusimaid värskendusi!
📚 See juhend sisaldab tohutut väärtust, 🌟See on harukordne võimalus, ärge jätke seda kasutamata! ⏰⌛💨
Jaga ja like kui meeldib!
Teie jagamine ja meeldimised on meie pidev motivatsioon!