Mar a chuireas tu a-steach airson Let's Encrypt? Leig leinn Crioptachadh SSL Prionnsabal Teisteanas an-asgaidh & Oideachadh Stàladh

Mar a chuireas tu a-steach airson Let's Encrypt?

Nach crioptaich sinn Prionnsabal Teisteanas SSL & Oideachadh Stàlachaidh

Dè a th’ ann an SSL?Chen WeiliangAnns an artaigil roimhe "Dè an diofar eadar http vs https? Mìneachadh mionaideach air pròiseas crioptachaidh SSL“Tha e air ainmeachadh ann an.

A bharrachd airE-malairtFeumaidh an làrach-lìn teisteanas SSL crioptaichte adhartach a cheannach agus an làrach-lìn a chleachdadh mar WeChatBrosnachadh cunntas poblach的meadhanan ùraDaoine, ma tha thu airson teisteanas SSL a chuir a-steach, faodaidh tu teisteanas SSL crioptaichte a chuir a-steach an-asgaidh.SEOTha e cuideachail agus faodaidh e rangachadh prìomh fhaclan làrach-lìn a leasachadh ann an einnseanan luirg.

Tha Let's Encrypt fhèin air seata de phròiseasan a sgrìobhadh (https://certbot.eff.org/), cleachdadhLinuxcaraidean, faodaidh tu an oideachadh seo a leantainn fhad ‘s a tha thu a’ toirt iomradh air a ’phròiseas.

Luchdaich sìos an inneal certbot-auto an toiseach, agus an uairsin ruith eisimeileachd stàlaidh an inneil.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Cruthaich teisteanas SSL

Air adhart, leChen WeiliangGabh ainm àrainn a’ bhlog mar eisimpleir, feuch an atharraich thu e a rèir na feumalachdan agad fhèin Bidh SSH a’ ruith na h-òrdughan a leanas.

Dèan cinnteach gun atharraich thu an òrdugh ann an:

1. Bogsa puist
2. slighe an fhrithealaiche
3. ainm àrainn làrach-lìn

Eòlaire singilte àrainn singilte, cruthaich teisteanas:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Eòlaire singilte ioma-àrainn, cruthaich teisteanas: (ie, grunn ainmean fearainn, eòlaire singilte, cleachd an aon teisteanas)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Thèid an teisteanas SSL a chaidh a chruthachadh a shàbhaladh ann an:/etc/letsencrypt/live/www.chenweiliang.com/ Fo susbaint.

Ioma ainmean fearainn agus ioma-eòlairean, cruthaich teisteanas: (is e sin, ioma-ainmean fearainn, ioma-eòlaire, cleachd an aon theisteanas)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Às deidh an teisteanas Let's Encrypt a chuir a-steach gu soirbheachail, nochdaidh an teachdaireachd sgiobalta a leanas ann an SSH:

FIOSRACHADH CUDROMACH:
- Mealaibh ur naidheachd, an teisteanas agad agus chain air an sàbhaladh aig:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Chaidh am prìomh fhaidhle agad a shàbhaladh aig:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Thig an teisteanas agad gu crìch air 2018-02-26 Gus tè ùr no tweaked fhaighinn
dreach den teisteanas seo san àm ri teachd, dìreach ruith certbot-auto
Gus *na teisteanasan agad gu lèir* ùrachadh gu neo-eadar-ghnìomhach, ruith
"certbot-auto ùrachadh"
- Mas toil leat Certbot, feuch an toir thu taic don obair againn le:
A’ toirt seachad do ISRG / Let’s Encrypt: https://letsencrypt.org/donate
A ’toirt seachad dhan EFF: https://eff.org/donate-le

Teisteanas SSL ùrachadh

Tha ùrachadh teisteanasan cuideachd gu math goireasach, a 'cleachdadhcrìosbAth-nuadhachadh gu fèin-ghluasadach.Chan eil crontab aig cuid de Debian, faodaidh tu a stàladh le làimh an toiseach.

apt-get install cron

Tha na h-òrdughan a leanas ann an nginx agus apache fa leth / etc / crontab Tha an àithne a chaidh a chuir a-steach san fhaidhle a’ ciallachadh gu bheil e air ùrachadh gach 10 latha, agus gu bheil ùine dligheachd 90-latha gu leòr.

Nginx crontab faidhle, feuch an cuir thu:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Faidhle cronta apache, feuch an cuir thu ris:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

Teisteanas SSL rèiteachadh Apache

A-nis, feumaidh sinn atharrachaidhean a dhèanamh air rèiteachadh Apache.

Molaidhean:

• ma chleachdas tuPannal Smachd CWP, anns an Cuir ainm àrainn seic Gineadh teisteanas SSL gu fèin-ghluasadach, rèitichidh e gu fèin-ghluasadach an teisteanas SSL airson Apache.
• Ma nì thu barrachd de na ceumannan a leanas, faodaidh mearachd tachairt às deidh dhut Apache ath-thòiseachadh.
• Ma tha mearachd ann, cuir às don rèiteachadh a chuir thu ris le làimh.

Deasaich am faidhle httpd.conf ▼

/usr/local/apache/conf/httpd.conf

Lorg ▼

Listen 443

• (Thoir air falbh an àireamh beachd roimhe #)

no cuir port èisdeachd 443 ▼

Listen 443

SSH thoir sùil air port èisteachd Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Lorg ▼

mod_ssl

• (Thoir air falbh an àireamh beachd roimhe #)

no cuir ▼

LoadModule ssl_module modules/mod_ssl.so

Lorg ▼

httpd-ssl

• (Thoir air falbh an àireamh beachd roimhe #)

An uairsin, cuir SSH an òrdugh a leanas an gnìomh (nota gus an t-slighe atharrachadh gu do chuid fhèin):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

An uairsin, aig deireadh rèiteachadh Apache airson an làrach-lìn a chruthaich thuna leanas.

Cuir faidhle rèiteachaidh na h-earrainn SSL ris (nota gus am beachd a thoirt air falbh, agus atharraich an t-slighe dhut fhèin):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Mu dheireadh ath-thòisich Apache air:

service httpd restart

Feachd Apache ath-stiùireadh HTTP gu HTTPS

• Chan urrainn dha mòran iarrtasan lìn ruith ach le SSL.
• Feumaidh sinn dèanamh cinnteach gum feumar faighinn chun làrach-lìn tro SSL a h-uile uair a chleachdas sinn SSL.
• Ma tha neach-cleachdaidh sam bith a 'feuchainn ri faighinn chun làrach-lìn le URL neo-SSL, feumaidh e a bhith air ath-stiùireadh gu làrach-lìn SSL.
• Dèan ath-stiùireadh gu URL SSL a 'cleachdadh modal mod_rewrite Apache.
• Mar a bhith a’ cleachdadh pasgan stàlaidh aon-bhriog LAMP, stàladh fèin-ghluasadach teisteanas SSL agus ath-stiùireadh èiginneach gu HTTPS, ath-stiùireadh gu HTTPSAnn an èifeachd, chan fheum thu ath-sheòladh HTTPS a chuir ris.

Cuir ris an riaghailt ath-sheòlaidh

• Ann am faidhle rèiteachaidh Apache, deasaich aoigheachd brìgheil an làrach-lìn agus cuir ris na roghainnean a leanas.
• Faodaidh tu cuideachd na h-aon shuidheachaidhean a chur ri freumh na sgrìobhainn air an làrach-lìn agad anns an fhaidhle .htaccess agad.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ma tha thu dìreach airson URL sònraichte a shònrachadh airson ath-stiùireadh gu HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Ma tha cuideigin a 'feuchainn ri faighinn a-steach teachdaireachd , leumaidh an duilleag gu https, agus chan fhaigh an neach-cleachdaidh ach an URL le SSL.

Ath-thòisich Apache airson am faidhle .htaccess a thoirt gu buil:

service httpd restart

Ro-chùram

• Feuch an atharraich thu an seòladh puist-d gu h-àrd gu do sheòladh puist-d.
• Cuimhnich gun atharraich thu an t-ainm àrainn làrach-lìn gu h-àrd gu ainm àrainn an làrach-lìn agad.

Duilgheadas suidheachadh riaghailt ath-stiùiridh

Fo riaghailtean pseudo-static, nuair a bhios tu a 'cur riaghailtean leum ath-stiùiridh, mar as trice bidh thu a' tighinn tarsainn Chan urrainn http ath-stiùireadh gu https An duilgheadas.

An toiseach rinn sinn leth-bhreac den chòd ath-stiùiridh gu .htaccess agus nochdaidh e anns na cùisean a leanas ▼

• Tha [L] a 'comharrachadh gur e an riaghailt làithreach an riaghailt mu dheireadh, stad air mion-sgrùdadh a dhèanamh air na riaghailtean ath-sgrìobhaidh a leanas.
• Mar sin nuair a gheibh thu cothrom air duilleag an artaigil ath-sheòlaichte, bidh [L] a’ stad na riaghailtean a leanas, gus nach obraich na riaghailtean ath-stiùiridh.

Nuair a thadhlas tu air duilleag-dachaigh http, tha sinn airson ath-stiùireadh URL a bhrosnachadh, leum air an riaghailt pseudo-static gus an riaghailt leum ath-stiùiridh a chuir an gnìomh, gus an tèid a choileanadhAth-stiùireadh http air feadh na làraich gu https .

Na cuir a-steach riaghailtean ath-sheòlaidh https [L] Fo na riaghailtean, cuir [L] os cionn nan riaghailtean ▼

Leughadh leudaichte:

• Dè an diofar eadar http vs https? Mìneachadh mionaideach air pròiseas crioptachaidh SSL
• Dè bu chòir dhomh a dhèanamh ma gheibh mi mearachd 500 às deidh dhomh an teisteanas Let's Encrypt SSL a chuir a-steach ann am pannal smachd CWP?
• Leum gu fèin-ghluasadach chun ainm àrainn dàrna ìre às aonais an t-ainm àrainn www top-level: tha an t-ainm àrainn freumh 301 ag ath-stiùireadh www