Kuinka hakea Let's Encrypt -ohjelmaa? Let's Encrypt SSL Free -sertifikaattiperiaate ja asennusopas

Kuinka hakea Let's Encrypt -ohjelmaan?

Salataan SSL-sertifikaatin periaate ja asennusopas

Mikä on SSL?Chen WeiliangEdellisessä artikkelissa "Mitä eroa on http:n ja https:n välillä? Yksityiskohtainen selitys SSL-salausprosessista"Se mainitaan kohdassa.

除了VerkkokaupanVerkkosivuston on ostettava kehittynyt salattu SSL-sertifikaatti ja käytettävä verkkosivustoa WeChatinaJulkinen tilin edistäminen的uusi mediaIhmiset, jos haluat asentaa SSL-varmenteen, voit itse asiassa asentaa salatun SSL-varmenteen ilmaiseksi.SEOHyödyllinen, voi parantaa verkkosivuston avainsanojen sijoitusta hakukoneissa.

Let's Encrypt itse on kirjoittanut joukon prosesseja (https://certbot.eff.org/),käyttääLinuxystävät, voit seurata tätä opetusohjelmaa viitaten samalla prosessiin.

Lataa ensin certbot-auto-työkalu ja suorita sitten työkalun asennusriippuvuudet.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Luo SSL-sertifikaatti

Seuraavaksi kanssaChen WeiliangOtetaan esimerkkinä blogin verkkotunnus, muokkaa sitä omien tarpeidesi mukaan SSH suorittaa seuraavat komennot.

Muista muokata komentoa:

1. postilaatikko
2. palvelimen polku
3. verkkosivuston verkkotunnuksen nimi

Yhden verkkotunnuksen yksittäinen hakemisto, luo varmenne:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Monen verkkotunnuksen yksittäinen hakemisto, luo varmenne: (eli useita verkkotunnuksia, yksi hakemisto, käytä samaa varmennetta)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Luotu SSL-sertifikaatti tallennetaan kansioon:/etc/letsencrypt/live/www.chenweiliang.com/ Sisällön alla.

Useita verkkotunnuksia ja useita hakemistoja, luo varmenne: (eli useita verkkotunnuksia, useita hakemistoja, käytä samaa varmennetta)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Kun Let's Encrypt -sertifikaatti on asennettu onnistuneesti, seuraava kehoteviesti tulee näkyviin SSH:ssa:

TÄRKEÄÄ:
– Onnittelut todistuksesi ja chain on tallennettu osoitteeseen:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Avaintiedostosi on tallennettu osoitteeseen:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Sertifikaattisi vanhenee 2018. Uuden tai muokatun hankkiminen
Tämän varmenteen versio tulevaisuudessa, suorita certbot-auto
Jos haluat uusia *kaikki* varmenteesi ei-interaktiivisesti, suorita
"certbot-auto renew"
- Jos pidät Certbotista, kannattaa tukea työtämme seuraavasti:
Lahjoitus ISRG:lle / Let's Encrypt: https://letsencrypt.org/donate
Lahjoittaminen EFF: https://eff.org/donate-le

SSL-sertifikaatin uusiminen

Sertifikaatin uusiminen on myös erittäin kätevääcrontabAutomaattinen uusinta.Joihinkin Debianeihin ei ole asennettu crontabia, voit asentaa sen ensin manuaalisesti.

apt-get install cron

Seuraavat komennot ovat nginxissä ja apachessa / Etc / crontab Tiedostoon syötetty komento tarkoittaa, että se uusitaan 10 päivän välein ja 90 päivän voimassaoloaika riittää.

Nginx crontab -tiedosto, lisää:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab -tiedosto, lisää:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL-sertifikaatin Apache-määritys

Nyt meidän on tehtävä muutoksia Apache-kokoonpanoon.

vinkkejä:

• jos käytätCWP ohjauspaneeli, kohdassa Luo SSL-sertifikaatti automaattisesti -valintaruudussa, se määrittää SSL-varmenteen automaattisesti Apachelle.
• Jos teet useamman seuraavista vaiheista, Apachen uudelleenkäynnistyksen jälkeen saattaa ilmetä virhe.
• Jos tapahtuu virhe, poista manuaalisesti lisäämäsi kokoonpano.

Muokkaa httpd.conf-tiedostoa ▼

/usr/local/apache/conf/httpd.conf

Etsi ▼

Listen 443

• (poista edellinen kommentin numero #)

tai lisää kuunteluportti 443 ▼

Listen 443

SSH tarkista Apachen kuunteluportti ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Etsi ▼

mod_ssl

• (poista edellinen kommentin numero #)

tai lisää ▼

LoadModule ssl_module modules/mod_ssl.so

Etsi ▼

httpd-ssl

• (poista edellinen kommentin numero #)

Suorita sitten SSH seuraava komento (huomaa polun vaihtaminen omaan polkuun):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Seuraavaksi luomasi verkkosivuston Apache-määritysten lopussaalla.

Lisää SSL-osion asetustiedosto (huomaa kommentin poistamisesta ja polun muuttamisesta omaan polkuun):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Lopuksi käynnistä Apache uudelleen:

service httpd restart

Apache pakottaa HTTP-uudelleenohjauksen HTTPS:ään

• Monet verkkopyynnöt voidaan aina suorittaa vain SSL:llä.
• Meidän on varmistettava, että aina kun käytämme SSL:ää, verkkosivustolle on päästävä SSL:n kautta.
• Jos käyttäjä yrittää päästä verkkosivustolle ei-SSL-URL-osoitteella, hänet on ohjattava SSL-verkkosivustolle.
• Ohjaa SSL-URL-osoitteeseen Apache mod_rewrite -moduulilla.
• Esimerkiksi LAMP-asennuspaketin käyttö yhdellä napsautuksella, sisäänrakennettu automaattinen SSL-varmenteen asennus ja pakotettu uudelleenohjaus HTTPS:ään, uudelleenohjaus HTTPS:äänPakosta, sinun ei tarvitse lisätä HTTPS-uudelleenohjausta.

Lisää uudelleenohjaussääntö

• Muokkaa Apachen määritystiedostossa verkkosivuston virtuaalipalvelinta ja lisää seuraavat asetukset.
• Voit myös lisätä samat asetukset verkkosivustosi asiakirjan juureen .htaccess-tiedostossasi.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Jos haluat vain määrittää tietyn URL-osoitteen uudelleenohjattavaksi HTTPS:ään:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Jos joku yrittää päästä käsiksi viesti , sivu siirtyy https:ään, ja käyttäjä voi käyttää URL-osoitetta vain SSL:n avulla.

Käynnistä Apache uudelleen, jotta .htaccess-tiedosto tulee voimaan:

service httpd restart

注意 事项

• Vaihda yllä oleva sähköpostiosoite sähköpostiosoitteeksi.
• Muista vaihtaa yllä oleva verkkotunnuksen nimi verkkosivustosi verkkotunnukseksi.

Uudelleenohjaussäännön sijaintiongelma

Pseudostaattisten sääntöjen alaisuudessa kohtaat yleensä uudelleenohjauksen hyppysääntöjä asettaessasi http ei voi ohjata uudelleen https:ään Ongelma.

Aluksi kopioimme uudelleenohjauskoodin .htaccess-tiedostoon ja se näkyy seuraavissa tapauksissa ▼

• [L] osoittaa, että nykyinen sääntö on viimeinen sääntö, lopeta seuraavien uudelleenkirjoitussääntöjen analysointi.
• Joten kun siirryt uudelleenohjatun artikkelin sivulle, [L] pysäyttää seuraavan säännön, joten uudelleenohjaussääntö ei toimi.

Kun vierailet http-kotisivulla, haluamme käynnistää URL-uudelleenohjauksen, ohittaa pseudostaattisen säännön suorittaaksesi uudelleenohjauksen hyppysäännön, jotta se voidaan saavuttaaSivuston laajuinen http-uudelleenohjaus https-osoitteeseen .

Älä laita https-uudelleenohjaussääntöjä [L] Laita sääntöjen alle [L] sääntöjen yläpuolella ▼

Laajennettu lukeminen:

• Mitä eroa on http:n ja https:n välillä? Yksityiskohtainen selitys SSL-salausprosessista
• Mitä minun pitäisi tehdä, jos saan virheilmoituksen 500, kun olen asentanut Let's Encrypt SSL -varmenteen CWP-ohjauspaneeliin?
• Siirry automaattisesti toisen tason verkkotunnuksen nimeen ilman www-ylitason verkkotunnuksen nimeä: juuriverkkotunnuksen nimi 301 uudelleenohjaa www.