Eolaire Eolaire
Conas iarratas a dhéanamh ar Let's Encrypt?
Criptímis Prionsabal Teastais SSL & Teagasc Suiteála
Cad é SSL?Chen WeiliangSan alt roimhe seo "Cad é an difríocht idir http vs https? Míniú mionsonraithe ar phróiseas criptithe SSL” luaite in.
seachasRíomhthráchtáilNí mór don suíomh Gréasáin ardteastas SSL criptithe a cheannach agus an suíomh Gréasáin a úsáid mar WeChatCur chun cinn cuntais phoiblí的meáin nuaDaoine, más mian leat teastas SSL a shuiteáil, is féidir leat teastas SSL criptithe a shuiteáil saor in aisce.SinsearachCabhrach, is féidir feabhas a chur ar rangú eochairfhocail láithreán gréasáin in innill chuardaigh.
Tá sraith próiseas scríofa ag Let's Encrypt féin (https://certbot.eff.org/), úsáidLinuxchairde, is féidir leat an teagaisc seo a leanúint agus tú ag tagairt don phróiseas.
Íoslódáil an uirlis certbot-auto ar dtús, ansin reáchtáil spleáchais suiteála na huirlise.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Gin teastas SSL
Ar aghaidh, leChen WeiliangTóg an t-ainm fearainn blag mar shampla, le do thoil a mhodhnú de réir do chuid riachtanas féin Ritheann SSH na horduithe seo a leanas.
Bí cinnte an t-ordú a mhodhnú i:
- Bosca Poist
- cosán freastalaí
- ainm fearainn an tsuímh Ghréasáin
Eolaire aonair fearainn amháin, gin teastas:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Comhadlann aonair ilfhearainn, gin teastas: (.i. ainmneacha fearainn iolracha, eolaire singil, bain úsáid as an teastas céanna)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Déanfar an teastas SSL ginte a shábháil i:/etc/letsencrypt/live/www.chenweiliang.com/
Faoi ábhar.
Ainmneacha fearainn iolracha agus il-eolairí, gineann teastas: (is é sin, ilainmneacha fearainn, il-eolairí, bain úsáid as an teastas céanna)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Tar éis an teastas Let's Encrypt a shuiteáil go rathúil, beidh an teachtaireacht leid seo a leanas le feiceáil i SSH:
NÓTAÍ TÁBHACHTACH:
– Comhghairdeachas libh!ain sábháilte ag:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Sábháladh d'eochairchomhad ag:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Rachaidh do theastas in éag ar 2018-02-26 Chun ceann nua nó tweaked a fháil
leagan den teastas seo amach anseo, níl le déanamh ach rith certbot-auto
Chun *gach* de do theastais a athnuachan go neamh-idirghníomhach, rith
"certbot-uathnuachan"
- Más maith leat Certbot, smaoinigh ar thacaíocht a thabhairt dár gcuid oibre trí:
Ag bronnadh chuig ISRG / Déanaimis Criptiú: https://letsencrypt.org/donate
Ag tabhairt don EFF: https://eff.org/donate-le
Athnuachan Teastais SSL
Tá athnuachan teastais an-áisiúil freisin, ag baint úsáide ascrontabUath-athnuachan.Níl crontab suiteáilte ag roinnt Debian, is féidir leat é a shuiteáil de láimh ar dtús.
apt-get install cron
Tá na horduithe seo a leanas i nginx agus apache faoi seach / etc / crontab Ciallaíonn an t-ordú a iontráladh sa chomhad go ndéantar é a athnuachan gach 10 lá, agus is leor tréimhse bailíochta 90 lá.
Comhad crontab Nginx, cuir leis:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Comhad crontab apache, cuir leis:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
Deimhniú SSL cumraíocht Apache
Anois, ní mór dúinn athruithe a dhéanamh ar chumraíocht Apache.
Leideanna:
- má úsáideann túPainéal Rialúcháin CWP, sa seiceáil Cuir ainm fearainn Cuir deimhniú SSL ar fáil go huathoibríoch, déanfaidh sé an deimhniú SSL do Apache a chumrú go huathoibríoch.
- Má dhéanann tú níos mó de na céimeanna seo a leanas, d'fhéadfadh earráid tarlú tar éis atosú Apache.
- Má tá earráid ann, scrios an chumraíocht a chuir tú leis de láimh.
Cuir an comhad httpd.conf in eagar ▼
/usr/local/apache/conf/httpd.conf
Faigh ▼
Listen 443
- (bain an uimhir nóta tráchta roimhe seo #)
nó cuir port éisteachta 443 ▼ leis
Listen 443
SSH seiceáil calafort éisteachta Apache ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Faigh ▼
mod_ssl
- (bain an uimhir nóta tráchta roimhe seo #)
nó cuir ▼ leis
LoadModule ssl_module modules/mod_ssl.so
Faigh ▼
httpd-ssl
- (bain an uimhir nóta tráchta roimhe seo #)
Ansin, déanann SSH an t-ordú seo a leanas a fhorghníomhú (nóta chun an cosán a athrú chuig do chuid féin):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Ansin, ag deireadh chumraíocht Apache don láithreán gréasáin a chruthaigh túfaoi.
Cuir comhad cumraíochta na rannóige SSL leis (nóta chun an nóta tráchta a bhaint, agus athraigh an cosán chuig do chuid féin):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Ar deireadh atosú Apache air:
service httpd restart
Déanann Apache bhfeidhm HTTP a atreorú chuig HTTPS
- Ní féidir go leor iarratas gréasáin a rith i gcónaí ach le SSL.
- Ní mór dúinn a chinntiú go gcaithfear rochtain a fháil ar an suíomh Gréasáin trí SSL gach uair a úsáidimid SSL.
- Má dhéanann aon úsáideoir iarracht rochtain a fháil ar an láithreán gréasáin le URL neamh-SSL, ní mór é a atreorú chuig láithreán gréasáin SSL.
- Atreorú chuig URL SSL ag baint úsáide as modúl mod_rewrite Apache.
- Mar shampla pacáiste suiteála aon-cliceáil LAMP a úsáid, suiteáil uathoibríoch ionsuite ar dheimhniú SSL agus atreorú iachall ar HTTPS, atreorú chuig HTTPSI bhfeidhm, ní gá duit atreorú HTTPS a chur leis.
Cuir riail atreoraithe leis
- I gcomhad cumraíochta Apache, cuir in eagar óstach fíorúil an láithreáin ghréasáin agus cuir na socruithe seo a leanas leis.
- Is féidir leat freisin na socruithe céanna a chur leis an bhfréamh doiciméad ar do láithreán gréasáin i do chomhad .htaccess.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Más mian leat ach URL áirithe a shonrú chun a atreorú chuig HTTPS:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Má dhéanann duine iarracht rochtain a fháil teachtaireacht , léimfidh an leathanach go https, agus ní féidir leis an úsáideoir rochtain a fháil ach ar an URL le SSL.
Atosaigh Apache chun an comhad .htaccess a chur i bhfeidhm:
service httpd restart
注意 事项
- Athraigh an seoladh ríomhphoist thuas chuig do sheoladh ríomhphoist.
- Cuimhnigh le do thoil an t-ainm fearainn thuas a athrú go dtí ainm fearainn do shuímh Ghréasáin.
Fadhb maidir le suíomh na rialach a atreorú
Faoi rialacha pseudo-statacha, nuair a bhíonn rialacha léim atreoraithe á gcur i bhfeidhm agat, is gnách go mbíonn tú ag teacht trasna Ní féidir http a atreorú chuig https An fhadhb.
Ar dtús rinneamar an cód atreoraithe a chóipeáil isteach i .htaccess agus beidh sé le feiceáil sna cásanna seo a leanas ▼
- Léiríonn [L] gurb é an riail reatha an riail dheireanach, stop le hanailís a dhéanamh ar na rialacha athscríobh seo a leanas.
- Mar sin, nuair a thagann rochtain ar an leathanach alt atreoraithe, stopann [L] an riail seo a leanas, mar sin ní oibríonn an riail atreoraithe.
Agus muid ag tabhairt cuairte ar an leathanach baile http, ba mhaith linn atreorú URL a spreagadh, scipeáil an riail bhréigestatach chun an riail léim atreoraithe a fhorghníomhú, ionas gur féidir é a bhaint amachAtreoraíonn http ar fud an tsuímh chuig https .
Ná cuir rialacha atreoraithe https isteach [L] Faoi bhun na rialacha, a chur [L] os cionn na rialacha ▼
Tuilleadh léitheoireachta:
- Cad é an difríocht idir http vs https? Míniú mionsonraithe ar phróiseas criptithe SSL
- Cad ba cheart dom a dhéanamh má fhaighim earráid 500 tar éis an deimhniú Let's Encrypt SSL a shuiteáil sa phainéal rialaithe CWP?
- Léim go huathoibríoch chuig an ainm fearainn dara leibhéal gan an t-ainm fearainn barrleibhéil www: athsheolaíonn an t-ainm fearainn fréimhe 301 www
Tá súil agam Blag Chen Weiliang ( https://www.chenweiliang.com/ ) shared "Conas iarratas a dhéanamh ar Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial", atá cabhrach duit.
Fáilte romhat nasc an ailt seo a roinnt:https://www.chenweiliang.com/cwl-512.html
Fáilte chuig cainéal Telegram de bhlag Chen Weiliang chun na nuashonruithe is déanaí a fháil!
📚 Tá luach ollmhór sa treoir seo, 🌟 Seo deis annamh, ná caill é! ⏰⌛💨
Roinnigí agus más maith libh!
Is iad do chomhroinnt agus do thaitin ár spreagadh leanúnach!