Artikkelihakemisto
Kuinka hakea Let's Encrypt -ohjelmaan?
Salataan SSL-sertifikaatin periaate ja asennusopas
Mikä on SSL?Chen WeiliangEdellisessä artikkelissa "Mitä eroa on http:n ja https:n välillä? Yksityiskohtainen selitys SSL-salausprosessista"Se mainitaan kohdassa.
除了VerkkokaupanVerkkosivuston on ostettava kehittynyt salattu SSL-sertifikaatti ja käytettävä verkkosivustoa WeChatinaJulkinen tilin edistäminen的uusi mediaIhmiset, jos haluat asentaa SSL-varmenteen, voit itse asiassa asentaa salatun SSL-varmenteen ilmaiseksi.SEOHyödyllinen, voi parantaa verkkosivuston avainsanojen sijoitusta hakukoneissa.
Let's Encrypt itse on kirjoittanut joukon prosesseja (https://certbot.eff.org/),käyttääLinuxystävät, voit seurata tätä opetusohjelmaa viitaten samalla prosessiin.
Lataa ensin certbot-auto-työkalu ja suorita sitten työkalun asennusriippuvuudet.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Luo SSL-sertifikaatti
Seuraavaksi kanssaChen WeiliangOtetaan esimerkkinä blogin verkkotunnus, muokkaa sitä omien tarpeidesi mukaan SSH suorittaa seuraavat komennot.
Muista muokata komentoa:
- postilaatikko
- palvelimen polku
- verkkosivuston verkkotunnuksen nimi
Yhden verkkotunnuksen yksittäinen hakemisto, luo varmenne:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Monen verkkotunnuksen yksittäinen hakemisto, luo varmenne: (eli useita verkkotunnuksia, yksi hakemisto, käytä samaa varmennetta)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Luotu SSL-sertifikaatti tallennetaan kansioon:/etc/letsencrypt/live/www.chenweiliang.com/
Sisällön alla.
Useita verkkotunnuksia ja useita hakemistoja, luo varmenne: (eli useita verkkotunnuksia, useita hakemistoja, käytä samaa varmennetta)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Kun Let's Encrypt -sertifikaatti on asennettu onnistuneesti, seuraava kehoteviesti tulee näkyviin SSH:ssa:
TÄRKEÄÄ:
– Onnittelut todistuksesi ja chain on tallennettu osoitteeseen:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Avaintiedostosi on tallennettu osoitteeseen:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Sertifikaattisi vanhenee 2018. Uuden tai muokatun hankkiminen
Tämän varmenteen versio tulevaisuudessa, suorita certbot-auto
Jos haluat uusia *kaikki* varmenteesi ei-interaktiivisesti, suorita
"certbot-auto renew"
- Jos pidät Certbotista, kannattaa tukea työtämme seuraavasti:
Lahjoitus ISRG:lle / Let's Encrypt: https://letsencrypt.org/donate
Lahjoittaminen EFF: https://eff.org/donate-le
SSL-sertifikaatin uusiminen
Sertifikaatin uusiminen on myös erittäin kätevääcrontabAutomaattinen uusinta.Joihinkin Debianeihin ei ole asennettu crontabia, voit asentaa sen ensin manuaalisesti.
apt-get install cron
Seuraavat komennot ovat nginxissä ja apachessa / Etc / crontab Tiedostoon syötetty komento tarkoittaa, että se uusitaan 10 päivän välein ja 90 päivän voimassaoloaika riittää.
Nginx crontab -tiedosto, lisää:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Apache crontab -tiedosto, lisää:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL-sertifikaatin Apache-määritys
Nyt meidän on tehtävä muutoksia Apache-kokoonpanoon.
vinkkejä:
- jos käytätCWP ohjauspaneeli, kohdassa Luo SSL-sertifikaatti automaattisesti -valintaruudussa, se määrittää SSL-varmenteen automaattisesti Apachelle.
- Jos teet useamman seuraavista vaiheista, Apachen uudelleenkäynnistyksen jälkeen saattaa ilmetä virhe.
- Jos tapahtuu virhe, poista manuaalisesti lisäämäsi kokoonpano.
Muokkaa httpd.conf-tiedostoa ▼
/usr/local/apache/conf/httpd.conf
Etsi ▼
Listen 443
- (poista edellinen kommentin numero #)
tai lisää kuunteluportti 443 ▼
Listen 443
SSH tarkista Apachen kuunteluportti ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Etsi ▼
mod_ssl
- (poista edellinen kommentin numero #)
tai lisää ▼
LoadModule ssl_module modules/mod_ssl.so
Etsi ▼
httpd-ssl
- (poista edellinen kommentin numero #)
Suorita sitten SSH seuraava komento (huomaa polun vaihtaminen omaan polkuun):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Seuraavaksi luomasi verkkosivuston Apache-määritysten lopussaalla.
Lisää SSL-osion asetustiedosto (huomaa kommentin poistamisesta ja polun muuttamisesta omaan polkuun):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Lopuksi käynnistä Apache uudelleen:
service httpd restart
Apache pakottaa HTTP-uudelleenohjauksen HTTPS:ään
- Monet verkkopyynnöt voidaan aina suorittaa vain SSL:llä.
- Meidän on varmistettava, että aina kun käytämme SSL:ää, verkkosivustolle on päästävä SSL:n kautta.
- Jos käyttäjä yrittää päästä verkkosivustolle ei-SSL-URL-osoitteella, hänet on ohjattava SSL-verkkosivustolle.
- Ohjaa SSL-URL-osoitteeseen Apache mod_rewrite -moduulilla.
- Esimerkiksi LAMP-asennuspaketin käyttö yhdellä napsautuksella, sisäänrakennettu automaattinen SSL-varmenteen asennus ja pakotettu uudelleenohjaus HTTPS:ään, uudelleenohjaus HTTPS:äänPakosta, sinun ei tarvitse lisätä HTTPS-uudelleenohjausta.
Lisää uudelleenohjaussääntö
- Muokkaa Apachen määritystiedostossa verkkosivuston virtuaalipalvelinta ja lisää seuraavat asetukset.
- Voit myös lisätä samat asetukset verkkosivustosi asiakirjan juureen .htaccess-tiedostossasi.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Jos haluat vain määrittää tietyn URL-osoitteen uudelleenohjattavaksi HTTPS:ään:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Jos joku yrittää päästä käsiksi viesti , sivu siirtyy https:ään, ja käyttäjä voi käyttää URL-osoitetta vain SSL:n avulla.
Käynnistä Apache uudelleen, jotta .htaccess-tiedosto tulee voimaan:
service httpd restart
注意 事项
- Vaihda yllä oleva sähköpostiosoite sähköpostiosoitteeksi.
- Muista vaihtaa yllä oleva verkkotunnuksen nimi verkkosivustosi verkkotunnukseksi.
Uudelleenohjaussäännön sijaintiongelma
Pseudostaattisten sääntöjen alaisuudessa kohtaat yleensä uudelleenohjauksen hyppysääntöjä asettaessasi http ei voi ohjata uudelleen https:ään Ongelma.
Aluksi kopioimme uudelleenohjauskoodin .htaccess-tiedostoon ja se näkyy seuraavissa tapauksissa ▼
- [L] osoittaa, että nykyinen sääntö on viimeinen sääntö, lopeta seuraavien uudelleenkirjoitussääntöjen analysointi.
- Joten kun siirryt uudelleenohjatun artikkelin sivulle, [L] pysäyttää seuraavan säännön, joten uudelleenohjaussääntö ei toimi.
Kun vierailet http-kotisivulla, haluamme käynnistää URL-uudelleenohjauksen, ohittaa pseudostaattisen säännön suorittaaksesi uudelleenohjauksen hyppysäännön, jotta se voidaan saavuttaaSivuston laajuinen http-uudelleenohjaus https-osoitteeseen .
Älä laita https-uudelleenohjaussääntöjä [L] Laita sääntöjen alle [L] sääntöjen yläpuolella ▼
Laajennettu lukeminen:
- Mitä eroa on http:n ja https:n välillä? Yksityiskohtainen selitys SSL-salausprosessista
- Mitä minun pitäisi tehdä, jos saan virheilmoituksen 500, kun olen asentanut Let's Encrypt SSL -varmenteen CWP-ohjauspaneeliin?
- Siirry automaattisesti toisen tason verkkotunnuksen nimeen ilman www-ylitason verkkotunnuksen nimeä: juuriverkkotunnuksen nimi 301 uudelleenohjaa www.
Hope Chen Weiliang -blogi ( https://www.chenweiliang.com/ ) jakoi "Kuinka hakea Let's Encrypt? Let's Encrypt SSL Free Certificate -periaatetta ja asennusohjetta", josta on sinulle hyötyä.
Tervetuloa jakamaan tämän artikkelin linkki:https://www.chenweiliang.com/cwl-512.html
Tervetuloa Chen Weiliangin blogin Telegram-kanavalle saadaksesi viimeisimmät päivitykset!
📚 Tämä opas sisältää valtavasti arvoa, 🌟Tämä on harvinainen tilaisuus, älä missaa sitä! ⏰⌛💨
Jaa ja tykkää jos tykkäät!
Jakamasi ja tykkäyksesi ovat jatkuva motivaatiomme!