Artikel Directory
Hoe kinne jo oanfreegje foar Let's Encrypt?
Litte wy SSL-sertifikaatprinsipe en ynstallaasjetutorial fersiferje
Wat is SSL?Chen WeiliangYn it foarige artikel "Wat is it ferskil tusken http vs https? Detaillearre útlis fan SSL fersifering proses"It wurdt neamd yn.
los fanE-commerceDe webside moat in avansearre fersifere SSL-sertifikaat keapje en de webside brûke as WeChatIepenbiere account promoasjefannije mediaMinsken, as jo in SSL-sertifikaat wolle ynstallearje, kinne jo eins fergees in fersifere SSL-sertifikaat ynstallearje.SEOIt is nuttich en kin de ranglist fan webside-kaaiwurden yn sykmasines ferbetterje.
Let's Encrypt sels hat in set fan prosessen skreaun (https://certbot.eff.org/),brûkelinuxfreonen, kinne jo folgje dizze tutorial wylst ferwizend nei it proses.
Download earst it certbot-auto-ark, en fier dan de ynstallaasjeôfhinklikens fan it ark út.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Generearje SSL-sertifikaat
Folgjende, meiChen WeiliangNim de blogdomeinnamme as foarbyld, wizigje dizze asjebleaft neffens jo eigen behoeften. SSH rint de folgjende kommando's út.
Wês wis dat jo it kommando wizigje yn:
- Postfak
- tsjinner paad
- webside domeinnamme
Ien domein ien map, generearje in sertifikaat:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Multi-domein single map, generearje in sertifikaat: (dat wol sizze, meardere domeinnammen, single map, brûk itselde sertifikaat)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
It oanmakke SSL-sertifikaat sil wurde bewarre yn:/etc/letsencrypt/live/www.chenweiliang.com/
Under ynhâld.
Meardere domeinnammen en meardere mappen, generearje in sertifikaat: (dat is, meardere domeinnammen, meardere mappen, brûk itselde sertifikaat)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Nei't it Let's Encrypt-sertifikaat mei súkses ynstalleare is, sil it folgjende promptberjocht ferskine yn SSH:
WICHTIGE NOTE:
– Lokwinske Jo sertifikaat en chain binne bewarre op:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Jo kaaitriem is bewarre op:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Jo sertifikaat sil ferrinne op 2018-02-26. Om in nij of oanpast te krijen
ferzje fan dit sertifikaat yn 'e takomst, gewoan rinne certbot-auto
Om net-ynteraktyf *al* jo sertifikaten te fernijen, rinne
"certbot-auto fernijing"
- As jo Certbot leuk fine, beskôgje asjebleaft ús wurk te stypjen troch:
Donearje oan ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donearje oan EFF: https://eff.org/donate-le
SSL-sertifikaatfernijing
Sertifikaat fernijing is ek hiel handich, mei helpcrontabAuto-fernijing.Guon Debian hat crontab net ynstalleare, jo kinne it earst manuell ynstallearje.
apt-get install cron
De folgjende kommando's binne respektivelik yn nginx en apache / etc / crontab It kommando ynfierd yn it bestân betsjut dat it elke 10 dagen wurdt fernijd, en in 90-dagen jildigensperioade is genôch.
Nginx crontab-bestân, foegje asjebleaft ta:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Apache crontab-bestân, foegje asjebleaft ta:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL sertifikaat Apache konfiguraasje
No moatte wy wizigingen meitsje oan 'e Apache-konfiguraasje.
Tips:
- as jo brûkeCWP Control Panel, yn 'e kontrôle fan domeinnamme tafoegje Automatysk in SSL-sertifikaat generearje, sil it SSL-sertifikaat foar Apache automatysk konfigurearje.
- As jo mear fan 'e folgjende stappen dogge, kin in flater foarkomme nei it opnij starte fan Apache.
- As der in flater is, wiskje de konfiguraasje dy't jo hân hawwe tafoege.
Bewurkje de httpd.conf triem ▼
/usr/local/apache/conf/httpd.conf
Fyn ▼
Listen 443
- (ferwiderje it foargeande opmerking nûmer #)
of tafoegje harkjende haven 443 ▼
Listen 443
SSH kontrolearje Apache-harkpoarte ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Fyn ▼
mod_ssl
- (ferwiderje it foargeande opmerking nûmer #)
of tafoegje ▼
LoadModule ssl_module modules/mod_ssl.so
Fyn ▼
httpd-ssl
- (ferwiderje it foargeande opmerking nûmer #)
Dan, SSH útfiere it folgjende kommando (notysje om it paad nei jo eigen te feroarjen):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Folgjende, oan 'e ein fan' e Apache-konfiguraasje foar de webside dy't jo makke hawweûnder.
Foegje it konfiguraasjetriem ta fan 'e SSL-seksje (notysje om de opmerking te ferwiderjen en it paad nei jo eigen te feroarjen):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Start Apache der úteinlik op 'e nij op:
service httpd restart
Apache twingt HTTP trochferwizing nei HTTPS
- In protte weboanfragen kinne altyd allinich rinne mei SSL.
- Wy moatte derfoar soargje dat elke kear as wy SSL brûke, de webside moat wurde tagong fia SSL.
- As in brûker besiket tagong te krijen ta de webside mei in net-SSL-URL, dan moat hy trochstjoerd wurde nei de SSL-webside.
- Omliede nei SSL URL mei Apache mod_rewrite module.
- Lykas it brûken fan LAMP ynstallaasjepakket mei ien klik, ynboude automatyske ynstallaasje fan SSL-sertifikaat en twongen omlieding nei HTTPS, trochferwizing nei HTTPSYn krêft, jo hoege gjin HTTPS trochferwizing ta te foegjen.
Foegje trochferwizingsregel ta
- Bewurkje yn it konfiguraasjetriem fan Apache de firtuele host fan 'e webside en foegje de folgjende ynstellings ta.
- Jo kinne ek deselde ynstellings tafoegje oan 'e dokumintroot op jo webside yn jo .htaccess-bestân.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
As jo gewoan in bepaalde URL wolle opjaan om nei HTTPS te ferwizen:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- As immen besiket tagong te krijen berjocht , sil de side nei https springe, en de brûker kin allinich tagong krije ta de URL mei SSL.
Start Apache opnij foar it .htaccess-bestân om effekt te nimmen:
service httpd restart
Foarsoarchsmaatregels
- Feroarje asjebleaft it boppesteande e-mailadres yn jo e-mailadres.
- Unthâld asjebleaft de boppesteande webside domeinnamme te feroarjen yn jo webside domeinnamme.
Omliedingsregel lokaasjeprobleem
Under pseudo-statyske regels, by it pleatsen fan omlieding sprong regels, jo meastal tsjinkomme http kin net trochferwize nei https It probleem.
Yn it earstoan kopiearren wy de trochferwizingskoade nei .htaccess en it sil ferskine yn 'e folgjende gefallen ▼
- [L] jout oan dat de hjoeddeiske regel is de lêste regel, stopje it analysearjen fan de folgjende rewrite regels.
- Dus as jo tagong krije ta de trochferwiisde artikelside, stopet [L] de folgjende regel, sadat de omliedingsregel net wurket.
By it besykjen fan de http-homepage wolle wy in URL-omlieding triggerje, de pseudo-statyske regel oerslaan om de omliedingssprongregel út te fieren, sadat it berikt wurde kinSite-wide http trochferwizing nei https .
Set gjin https trochferwizingsregels yn [L] Under de regels, set [L] boppe de regels ▼
Utwreide lêzing:
- Wat is it ferskil tusken http vs https? Detaillearre útlis fan SSL fersifering proses
- Wat moat ik dwaan as ik in flater 500 krij nei it ynstallearjen fan it Let's Encrypt SSL-sertifikaat yn it CWP-kontrôlepaniel?
- Gean automatysk nei de domeinnamme fan twadde nivo sûnder de www-top-level-domeinnamme: de root-domeinnamme 301 ferwiist www
Hope Chen Weiliang Blog ( https://www.chenweiliang.com/ ) dield "Hoe kinne jo oanfreegje foar Let's Encrypt? Lit ús SSL Free Certificate Principle & Installation Tutorial fersiferje", wat jo nuttich is.
Wolkom om de keppeling fan dit artikel te dielen:https://www.chenweiliang.com/cwl-512.html
Wolkom by it Telegram-kanaal fan Chen Weiliang's blog om de lêste updates te krijen!
📚 Dizze hantlieding befettet enoarme wearde, 🌟Dit is in seldsume kâns, mis it net! ⏰⌛💨
Diel en like as jo wolle!
Jo dielen en likes binne ús trochgeande motivaasje!