چگونه برای Let's Encrypt درخواست دهیم؟ آموزش نصب و اصل گواهی رایگان Let's Encrypt

چگونه برای Let's Encrypt اقدام کنیم؟

بیایید اصل گواهینامه SSL و آموزش نصب را رمزگذاری کنیم

SSL چیست؟چن ویلیانگدر مقاله قبلی "تفاوت بین http و https چیست؟ توضیح مفصل فرآیند رمزگذاری SSL«در آن ذکر شده است.

جدا ازتجارت الکترونیکیوب سایت باید یک گواهی پیشرفته رمزگذاری شده SSL خریداری کند و از وب سایت به عنوان WeChat استفاده کندارتقاء حساب عمومی的رسانه های جدیدمردم، اگر می خواهید یک گواهی SSL نصب کنید، در واقع می توانید یک گواهی SSL رمزگذاری شده را به صورت رایگان نصب کنید.SEOمفید است، می تواند رتبه کلمات کلیدی وب سایت را در موتورهای جستجو بهبود بخشد.

Let's Encrypt خودش مجموعه ای از فرآیندها را نوشته است (https://certbot.eff.org/)،استفاده کنیدلینـوکــسدوستان، شما می توانید این آموزش را در حین مراجعه به فرآیند دنبال کنید.

ابتدا ابزار certbot-auto را دانلود کنید، سپس وابستگی های نصب ابزار را اجرا کنید.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

گواهی SSL تولید کنید

بعد، باچن ویلیانگنام دامنه وبلاگ را به عنوان مثال در نظر بگیرید، لطفاً آن را مطابق با نیاز خود تغییر دهید. SSH دستورات زیر را اجرا می کند.

حتماً دستور را در:

1. صندوق پستی
2. مسیر سرور
3. نام دامنه وب سایت

دایرکتوری تک دامنه، یک گواهی تولید کنید:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

دایرکتوری تک دامنه چند دامنه، یک گواهی تولید کنید: (یعنی چندین نام دامنه، دایرکتوری واحد، از یک گواهی استفاده کنید)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

گواهی SSL تولید شده در موارد زیر ذخیره می شود:/etc/letsencrypt/live/www.chenweiliang.com/ زیر مطالب

چندین نام دامنه و چندین دایرکتوری، یک گواهی تولید کنید: (یعنی چندین نام دامنه، چندین فهرست، از یک گواهی استفاده کنید)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

پس از اینکه گواهی Let's Encrypt با موفقیت نصب شد، پیام اعلان زیر در SSH ظاهر می شود:

یادداشت های مهم:
– تبریک می گویم!ain ذخیره شده در:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
فایل کلید شما در این آدرس ذخیره شده است:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
گواهینامه شما در 2018/02/26 منقضی می‌شود. برای دریافت گواهی جدید یا بهینه‌سازی شده
نسخه این گواهی در آینده، به سادگی certbot-auto را اجرا کنید
دوباره برای تمدید غیر تعاملی *همه* گواهی های خود، اجرا کنید
"تجدید خودکار certbot"
- اگر شما Certbot را دوست دارید، لطفا در حمایت از کار خود را با:
اهدا به ISRG / اجازه دهید رمزگذاری کنیم: https://letsencrypt.org/donate
کمک مالی به EFF: https://eff.org/donate-le

تمدید گواهی SSL

تمدید گواهی نیز بسیار راحت است، با استفاده ازکرونتابتمدید خودکار.برخی از دبیان ها crontab را نصب نکرده اند، می توانید ابتدا آن را به صورت دستی نصب کنید.

apt-get install cron

دستورات زیر به ترتیب در nginx و apache هستند / etc / crontab دستور وارد شده در فایل به این معنی است که هر 10 روز یکبار تمدید می شود و مدت اعتبار 90 روزه کافی است.

فایل Crontab Nginx، لطفا اضافه کنید:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

فایل crontab آپاچی، لطفا اضافه کنید:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

گواهینامه SSL پیکربندی آپاچی

اکنون باید تغییراتی در پیکربندی آپاچی ایجاد کنیم.

نکات:

• اگر استفاده می کنیدکنترل پنل CWP، در تیک افزودن نام دامنه به طور خودکار یک گواهی SSL ایجاد کنید، به طور خودکار گواهی SSL را برای آپاچی پیکربندی می کند.
• اگر بیشتر از مراحل زیر را انجام دهید، ممکن است پس از راه اندازی مجدد Apache خطایی رخ دهد.
• اگر خطایی وجود دارد، پیکربندی را که به صورت دستی اضافه کرده اید حذف کنید.

فایل httpd.conf ▼ را ویرایش کنید

/usr/local/apache/conf/httpd.conf

▼ را پیدا کنید

Listen 443

• (شماره نظر قبلی را حذف کنید)

یا پورت گوش دادن 443 ▼ را اضافه کنید

Listen 443

SSH پورت گوش دادن آپاچی ▼ را بررسی کنید

grep ^Listen /usr/local/apache/conf/httpd.conf

▼ را پیدا کنید

mod_ssl

• (شماره نظر قبلی را حذف کنید)

یا ▼ را اضافه کنید

LoadModule ssl_module modules/mod_ssl.so

▼ را پیدا کنید

httpd-ssl

• (شماره نظر قبلی را حذف کنید)

سپس، SSH دستور زیر را اجرا کنید (توجه داشته باشید مسیر را به مسیر خود تغییر دهید):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

در مرحله بعد، در پایان پیکربندی آپاچی برای وب سایتی که ایجاد کردیدزیر.

فایل پیکربندی بخش SSL را اضافه کنید (توجه داشته باشید نظر را حذف کنید و مسیر را به مسیر خود تغییر دهید):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

در نهایت Apache را روی آن ریستارت کنید:

service httpd restart

آپاچی مجبور به تغییر مسیر HTTP به HTTPS است

• بسیاری از درخواست های وب همیشه فقط می توانند با SSL اجرا شوند.
• ما باید مطمئن شویم که هر بار که از SSL استفاده می کنیم، وب سایت باید از طریق SSL قابل دسترسی باشد.
• اگر هر کاربری سعی کند با URL غیر SSL به وب سایت دسترسی پیدا کند، باید به وب سایت SSL هدایت شود.
• با استفاده از ماژول Apache mod_rewrite به URL SSL تغییر مسیر دهید.
• مانند استفاده از بسته نصب LAMP با یک کلیک، نصب خودکار گواهینامه SSL و تغییر مسیر اجباری به HTTPS، هدایت مجدد به HTTPSدر حال اجرا، نیازی به اضافه کردن تغییر مسیر HTTPS ندارید.

قانون تغییر مسیر را اضافه کنید

• در فایل پیکربندی آپاچی، هاست مجازی وبسایت را ویرایش کرده و تنظیمات زیر را اضافه کنید.
• همچنین می توانید همان تنظیمات را به ریشه سند در وب سایت خود در فایل htaccess خود اضافه کنید.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

اگر فقط می خواهید URL خاصی را برای تغییر مسیر به HTTPS مشخص کنید:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• اگر کسی سعی در دسترسی داشته باشد پیام ، صفحه به https می رود و کاربر فقط با SSL می تواند به URL دسترسی داشته باشد.

Apache را مجدداً راه اندازی کنید تا فایل htaccess.

service httpd restart

注意 事项

• لطفا آدرس ایمیل بالا را به آدرس ایمیل خود تغییر دهید.
• لطفاً به یاد داشته باشید که نام دامنه وب سایت فوق را به نام دامنه وب سایت خود تغییر دهید.

مشکل مکان قانون تغییر مسیر

تحت قوانین شبه استاتیک، هنگام قرار دادن قوانین پرش تغییر مسیر، معمولا با آن مواجه خواهید شد http نمی تواند به https هدایت شود مشکل.

در ابتدا کد تغییر مسیر را در htaccess. کپی کردیم و در موارد زیر ظاهر می شود ▼

• [L] نشان می دهد که قانون فعلی آخرین قانون است، تجزیه و تحلیل قوانین بازنویسی زیر را متوقف کنید.
• بنابراین هنگام دسترسی به صفحه مقاله تغییر مسیر داده شده، [L] قانون زیر را متوقف می کند، بنابراین قانون تغییر مسیر کار نمی کند.

هنگام بازدید از صفحه اصلی http، می‌خواهیم یک تغییر مسیر URL را راه‌اندازی کنیم، از قانون شبه استاتیک برای اجرای قانون پرش تغییر مسیر بگذریم تا بتوان به آن دست یافت.تغییر مسیر http در سراسر سایت به https .

قوانین ریدایرکت https را در آن قرار ندهید [ل] زیر قوانین، قرار دهید [ل] بالاتر از قوانین ▼

مطالعه طولانی:

• تفاوت بین http و https چیست؟ توضیح مفصل فرآیند رمزگذاری SSL
• اگر پس از نصب گواهینامه Let's Encrypt SSL در کنترل پنل CWP با خطای 500 مواجه شدم، چه کاری باید انجام دهم؟
• پرش خودکار به نام دامنه سطح دوم بدون نام دامنه سطح بالای www: نام دامنه ریشه 301 www.