Hoe kinne jo oanfreegje foar Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Ynstallaasje Tutorial

Hoe kinne jo oanfreegje foar Let's Encrypt?

Litte wy SSL-sertifikaatprinsipe en ynstallaasjetutorial fersiferje

Wat is SSL?Chen WeiliangYn it foarige artikel "Wat is it ferskil tusken http vs https? Detaillearre útlis fan SSL fersifering proses"It wurdt neamd yn.

los fanE-commerceDe webside moat in avansearre fersifere SSL-sertifikaat keapje en de webside brûke as WeChatIepenbiere account promoasjefannije mediaMinsken, as jo in SSL-sertifikaat wolle ynstallearje, kinne jo eins fergees in fersifere SSL-sertifikaat ynstallearje.SEOIt is nuttich en kin de ranglist fan webside-kaaiwurden yn sykmasines ferbetterje.

Let's Encrypt sels hat in set fan prosessen skreaun (https://certbot.eff.org/),brûkelinuxfreonen, kinne jo folgje dizze tutorial wylst ferwizend nei it proses.

Download earst it certbot-auto-ark, en fier dan de ynstallaasjeôfhinklikens fan it ark út.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Generearje SSL-sertifikaat

Folgjende, meiChen WeiliangNim de blogdomeinnamme as foarbyld, wizigje dizze asjebleaft neffens jo eigen behoeften. SSH rint de folgjende kommando's út.

Wês wis dat jo it kommando wizigje yn:

1. Postfak
2. tsjinner paad
3. webside domeinnamme

Ien domein ien map, generearje in sertifikaat:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Multi-domein single map, generearje in sertifikaat: (dat wol sizze, meardere domeinnammen, single map, brûk itselde sertifikaat)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

It oanmakke SSL-sertifikaat sil wurde bewarre yn:/etc/letsencrypt/live/www.chenweiliang.com/ Under ynhâld.

Meardere domeinnammen en meardere mappen, generearje in sertifikaat: (dat is, meardere domeinnammen, meardere mappen, brûk itselde sertifikaat)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Nei't it Let's Encrypt-sertifikaat mei súkses ynstalleare is, sil it folgjende promptberjocht ferskine yn SSH:

WICHTIGE NOTE:
– Lokwinske Jo sertifikaat en chain binne bewarre op:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Jo kaaitriem is bewarre op:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Jo sertifikaat sil ferrinne op 2018-02-26. Om in nij of oanpast te krijen
ferzje fan dit sertifikaat yn 'e takomst, gewoan rinne certbot-auto
Om net-ynteraktyf *al* jo sertifikaten te fernijen, rinne
"certbot-auto fernijing"
- As jo ​​Certbot leuk fine, beskôgje asjebleaft ús wurk te stypjen troch:
Donearje oan ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donearje oan EFF: https://eff.org/donate-le

SSL-sertifikaatfernijing

Sertifikaat fernijing is ek hiel handich, mei helpcrontabAuto-fernijing.Guon Debian hat crontab net ynstalleare, jo kinne it earst manuell ynstallearje.

apt-get install cron

De folgjende kommando's binne respektivelik yn nginx en apache / etc / crontab It kommando ynfierd yn it bestân betsjut dat it elke 10 dagen wurdt fernijd, en in 90-dagen jildigensperioade is genôch.

Nginx crontab-bestân, foegje asjebleaft ta:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab-bestân, foegje asjebleaft ta:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL sertifikaat Apache konfiguraasje

No moatte wy wizigingen meitsje oan 'e Apache-konfiguraasje.

Tips:

• as jo brûkeCWP Control Panel, yn 'e kontrôle fan domeinnamme tafoegje Automatysk in SSL-sertifikaat generearje, sil it SSL-sertifikaat foar Apache automatysk konfigurearje.
• As jo ​​​​mear fan 'e folgjende stappen dogge, kin in flater foarkomme nei it opnij starte fan Apache.
• As der in flater is, wiskje de konfiguraasje dy't jo hân hawwe tafoege.

Bewurkje de httpd.conf triem ▼

/usr/local/apache/conf/httpd.conf

Fyn ▼

Listen 443

• (ferwiderje it foargeande opmerking nûmer #)

of tafoegje harkjende haven 443 ▼

Listen 443

SSH kontrolearje Apache-harkpoarte ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Fyn ▼

mod_ssl

• (ferwiderje it foargeande opmerking nûmer #)

of tafoegje ▼

LoadModule ssl_module modules/mod_ssl.so

Fyn ▼

httpd-ssl

• (ferwiderje it foargeande opmerking nûmer #)

Dan, SSH útfiere it folgjende kommando (notysje om it paad nei jo eigen te feroarjen):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Folgjende, oan 'e ein fan' e Apache-konfiguraasje foar de webside dy't jo makke hawweûnder.

Foegje it konfiguraasjetriem ta fan 'e SSL-seksje (notysje om de opmerking te ferwiderjen en it paad nei jo eigen te feroarjen):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Start Apache der úteinlik op 'e nij op:

service httpd restart

Apache twingt HTTP trochferwizing nei HTTPS

• In protte weboanfragen kinne altyd allinich rinne mei SSL.
• Wy moatte derfoar soargje dat elke kear as wy SSL brûke, de webside moat wurde tagong fia SSL.
• As in brûker besiket tagong te krijen ta de webside mei in net-SSL-URL, dan moat hy trochstjoerd wurde nei de SSL-webside.
• Omliede nei SSL URL mei Apache mod_rewrite module.
• Lykas it brûken fan LAMP ynstallaasjepakket mei ien klik, ynboude automatyske ynstallaasje fan SSL-sertifikaat en twongen omlieding nei HTTPS, trochferwizing nei HTTPSYn krêft, jo hoege gjin HTTPS trochferwizing ta te foegjen.

Foegje trochferwizingsregel ta

• Bewurkje yn it konfiguraasjetriem fan Apache de firtuele host fan 'e webside en foegje de folgjende ynstellings ta.
• Jo kinne ek deselde ynstellings tafoegje oan 'e dokumintroot op jo webside yn jo .htaccess-bestân.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

As jo ​​​​gewoan in bepaalde URL wolle opjaan om nei HTTPS te ferwizen:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• As immen besiket tagong te krijen berjocht , sil de side nei https springe, en de brûker kin allinich tagong krije ta de URL mei SSL.

Start Apache opnij foar it .htaccess-bestân om effekt te nimmen:

service httpd restart

Foarsoarchsmaatregels

• Feroarje asjebleaft it boppesteande e-mailadres yn jo e-mailadres.
• Unthâld asjebleaft de boppesteande webside domeinnamme te feroarjen yn jo webside domeinnamme.

Omliedingsregel lokaasjeprobleem

Under pseudo-statyske regels, by it pleatsen fan omlieding sprong regels, jo meastal tsjinkomme http kin net trochferwize nei https It probleem.

Yn it earstoan kopiearren wy de trochferwizingskoade nei .htaccess en it sil ferskine yn 'e folgjende gefallen ▼

• [L] jout oan dat de hjoeddeiske regel is de lêste regel, stopje it analysearjen fan de folgjende rewrite regels.
• Dus as jo tagong krije ta de trochferwiisde artikelside, stopet [L] de folgjende regel, sadat de omliedingsregel net wurket.

By it besykjen fan de http-homepage wolle wy in URL-omlieding triggerje, de pseudo-statyske regel oerslaan om de omliedingssprongregel út te fieren, sadat it berikt wurde kinSite-wide http trochferwizing nei https .

Set gjin https trochferwizingsregels yn [L] Under de regels, set [L] boppe de regels ▼

Utwreide lêzing:

• Wat is it ferskil tusken http vs https? Detaillearre útlis fan SSL fersifering proses
• Wat moat ik dwaan as ik in flater 500 krij nei it ynstallearjen fan it Let's Encrypt SSL-sertifikaat yn it CWP-kontrôlepaniel?
• Gean automatysk nei de domeinnamme fan twadde nivo sûnder de www-top-level-domeinnamme: de root-domeinnamme 301 ferwiist www