Nola eskatu Let's Encrypt? Let's Encrypt SSL Doako Ziurtagiriaren Printzipioa eta Instalazio Tutoriala

Nola eskatu Let's Encrypt-en?

Enkriptatu dezagun SSL Ziurtagiriaren Printzipioa eta Instalazio Tutoriala

Zer da SSL?Chen WeiliangAurreko artikuluan "Zein da http eta https-ren arteko aldea? SSL enkriptatzeko prozesuaren azalpen zehatza"Han aipatzen da.

aparteMerkataritza elektronikoaWebguneak enkriptatutako SSL ziurtagiri aurreratu bat erosi eta webgunea WeChat gisa erabili behar duKontu publikoaren sustapena的komunikabide berriakJendeak, SSL ziurtagiria instalatu nahi baduzu, benetan instalatu dezakezu enkriptatutako SSL ziurtagiri bat doan.SEOLagungarria, webguneko gako-hitzen sailkapena hobetu dezake bilatzaileetan.

Let's Encrypt berak prozesu multzo bat idatzi du (https://certbot.eff.org/), erabiliLinuxlagunak, tutorial hau jarraitu dezakezu prozesua aipatzen duzun bitartean.

Deskargatu certbot-auto tresna lehenik, eta gero exekutatu tresnaren instalazio-menpekotasunak.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Sortu SSL ziurtagiria

Jarraian, rekinChen WeiliangHartu blogaren domeinu-izena adibide gisa, mesedez aldatu zure beharren arabera. SSH-k komando hauek exekutatzen ditu.

Ziurtatu komandoa aldatzen duzula hemen:

1. Postontzia
2. zerbitzariaren bidea
3. webgunearen domeinu-izena

Domeinu bakarreko direktorio bakarra, sortu ziurtagiri bat:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Domeinu anitzeko direktorio bakarra, sortu ziurtagiri bat: (hau da, hainbat domeinu-izen, direktorio bakarra, erabili ziurtagiri bera)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Sortutako SSL ziurtagiria hemen gordeko da:/etc/letsencrypt/live/www.chenweiliang.com/ Edukien azpian.

Hainbat domeinu-izen eta hainbat direktorio, sortu ziurtagiri bat: (hau da, hainbat domeinu-izen, hainbat direktorio, erabili ziurtagiri bera)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Let's Encrypt ziurtagiria behar bezala instalatu ondoren, SSH gonbita honela agertuko da:

OHAR GARRANTZITSUAK:
– Zorionak!Zure ziurtagiria eta chain gorde dira:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Zure gako-fitxategia hemen gorde da:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Zure ziurtagiria 2018-02-26an iraungiko da. Berria edo moldatua lortzeko
ziurtagiri honen bertsioa etorkizunean, exekutatu certbot-auto
berriro. Zure ziurtagiri guztiak* modu interaktiborik gabe berritzeko, exekutatu
"certbot-auto berritu"
- Certbot gustatzen bazaizu, kontuan hartu gure lana babestea:
ISRG / Let's Encrypt-i dohaintza ematea: https://letsencrypt.org/donate
EFFren dohaintza: https://eff.org/donate-le

SSL ziurtagiria berritzea

Ziurtagiria berritzea ere oso erosoa da, erabilizcrontabAuto-berritzea.Debian batzuek ez dute crontab instalatuta, lehenik eskuz instala dezakezu.

apt-get install cron

Hurrengo komandoak nginx eta apache-n daude hurrenez hurren / etc / crontab Fitxategian sartutako komandoak esan nahi du 10 egunetik behin berritzen dela, eta nahikoa da 90 eguneko balio-epea.

Nginx crontab fitxategia, mesedez gehitu:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab fitxategia, mesedez gehitu:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL ziurtagiria Apache konfigurazioa

Orain, aldaketak egin behar ditugu Apache konfigurazioan.

Aholkuak:

• erabiltzen baduzuCWP Kontrol Panela, Gehitu domeinu-izena egiaztapenean Sortu automatikoki SSL ziurtagiria, automatikoki konfiguratuko du Apacherako SSL ziurtagiria.
• Ondorengo pausoetako gehiago egiten badituzu, errore bat gerta daiteke Apache berrabiarazi ondoren.
• Erroreren bat badago, ezabatu eskuz gehitu duzun konfigurazioa.

Editatu httpd.conf fitxategia ▼

/usr/local/apache/conf/httpd.conf

Aurkitu ▼

Listen 443

• (kendu aurreko iruzkin-zenbakia #)

edo gehitu entzuteko ataka 443 ▼

Listen 443

SSH egiaztatu Apache entzuteko ataka ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Aurkitu ▼

mod_ssl

• (kendu aurreko iruzkin-zenbakia #)

edo gehitu ▼

LoadModule ssl_module modules/mod_ssl.so

Aurkitu ▼

httpd-ssl

• (kendu aurreko iruzkin-zenbakia #)

Ondoren, SSH exekutatu komando hau (kontuan izan zure bidea aldatzeko):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Ondoren, sortu duzun webgunerako Apache konfigurazioaren amaieranazpian.

Gehitu SSL ataleko konfigurazio-fitxategia (kontuan izan iruzkina kentzeko eta zure bidea aldatzeko):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Azkenik, berrabiarazi Apache bertan:

service httpd restart

Apache-k HTTP birbideratzea HTTPSra behartu du

• Web-eskaera asko SSLrekin soilik exekutatu daitezke beti.
• SSL erabiltzen dugun bakoitzean webgunera SSL bidez sartu behar dela ziurtatu behar dugu.
• Erabiltzaileren bat SSL ez den URL batekin webgunera sartzen saiatzen bada, SSL webgunera birbideratu behar da.
• Birbideratu SSL URLra Apache mod_rewrite modulua erabiliz.
• Klik bakarreko LAMP instalazio paketea erabiltzen baduzu, SSL ziurtagiriaren instalazio automatikoa eta HTTPS-ra behartutako birbideratzea, HTTPS-ra birbideratzea.Indarrean, ez duzu HTTPS birbideratzerik gehitu beharrik.

Gehitu birbideratzeko araua

• Apache-ren konfigurazio fitxategian, editatu webgunearen ostalari birtuala eta gehitu ezarpen hauek.
• Ezarpen berdinak gehi ditzakezu zure webguneko dokumentuaren erroan zure .htaccess fitxategian.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

HTTPSra birbideratzeko URL jakin bat zehaztu nahi baduzu:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Norbait sartzen saiatzen bada mezua , orrialdeak https-ra salto egingo du, eta erabiltzaileak URLra SSL bidez soilik atzi dezake.

Berrabiarazi Apache .htaccess fitxategia eragina izan dezan:

service httpd restart

注意 事项

• Mesedez, aldatu goiko helbide elektronikoa zure helbide elektronikora.
• Gogoratu goiko webguneko domeinu-izena zure webguneko domeinu-izenera aldatzea.

Birbideratzeko arauen kokapenaren arazoa

Arau sasi-estatikoen arabera, birbideratze-jauzi-arauak jartzean, normalean topatzen dituzu http-k ezin du https-ra birbideratu Arazoa.

Hasieran birbideratzeko kodea .htaccess-en kopiatu genuen eta hurrengo kasuetan agertuko da ▼

• [L] uneko araua azken araua dela adierazten du, utzi ondorengo berridazketa arauak aztertzeari.
• Beraz, birbideraturiko artikuluaren orrialdera sartzean, [L]-k honako araua geldiarazten du, beraz, birbideratze-arauak ez du funtzionatzen.

http orri nagusia bisitatzean, URL birbideraketa bat abiarazi nahi dugu, arau sasi-estatikoa saltatu birbideratze-jauzi-araua exekutatzeko, lortu ahal izateko.Gune osoan http birbideratzea https-ra .

Ez jarri https birbideratzeko arauak [L] Arauen azpian, jarri [L] arauen gainetik ▼

Irakurketa hedatua:

• Zein da http eta https-ren arteko aldea? SSL enkriptatzeko prozesuaren azalpen zehatza
• Zer egin behar dut CWP kontrol panelean Let's Encrypt SSL ziurtagiria instalatu ondoren 500 errore bat jasotzen badut?
• Jauzi automatikoki bigarren mailako domeinu-izenera www goi-mailako domeinu-izenik gabe: erro-domeinu-izenak 301-k www birbideratzen du.