Directorio de artigos
Como solicitar Let's Encrypt?
Imos cifrar o principio do certificado SSL e o tutorial de instalación
Que é SSL?Chen WeiliangNo artigo anterior "Cal é a diferenza entre http e https? Explicación detallada do proceso de cifrado SSL", mencionado en.
aparte deComercio electrónicoO sitio web debe comprar un certificado SSL cifrado avanzado e usar o sitio web como WeChatPromoción da conta públicaDenovos mediosPersoas, se queres instalar un certificado SSL, podes instalar un certificado SSL cifrado de balde.SEOÉ útil e pode mellorar a clasificación das palabras clave do sitio web nos buscadores.
Let's Encrypt escribiu un conxunto de procesos (https://certbot.eff.org/), useLinuxamigos, podes seguir este tutorial mentres te refires ao proceso.
Descargue primeiro a ferramenta certbot-auto e, a continuación, execute as dependencias de instalación da ferramenta.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Xerar certificado SSL
A continuación, conChen WeiliangTome o nome de dominio do blog como exemplo, modifiqueo segundo as súas propias necesidades. SSH executa os seguintes comandos.
Asegúrese de modificar o comando en:
- Caixa de correo
- ruta do servidor
- nome de dominio do sitio web
Directorio único de dominio único, xera un certificado:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Directorio único multidominio, xera un certificado: (é dicir, varios nomes de dominio, directorio único, usa o mesmo certificado)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
O certificado SSL xerado gardarase en:/etc/letsencrypt/live/www.chenweiliang.com/
Baixo contidos.
Varios nomes de dominio e varios directorios, xera un certificado: (é dicir, varios nomes de dominio, varios directorios, usa o mesmo certificado)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Despois de que o certificado Let's Encrypt se instale correctamente, aparecerá a seguinte mensaxe de aviso en SSH:
NOTAS IMPORTANTES:
– Parabéns! O teu certificado e chain foron gardados en:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
O teu ficheiro de chave gardouse en:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
O teu certificado caducará o 2018/02/26. Para obter un novo ou modificado
versión deste certificado no futuro, simplemente execute certbot-auto
de novo. Para renovar de forma non interactiva *todos* os teus certificados, executa
"certbot-auto renovación"
- Se che gusta Certbot, considere apoiar o noso traballo:
Doando a ISRG / Let's Encrypt: https://letsencrypt.org/donate
Doando a EFF: https://eff.org/donate-le
Renovación do certificado SSL
A renovación do certificado tamén é moi conveniente, usandocrontabRenovación automática.Algúns Debian non teñen crontab instalado, primeiro podes instalalo manualmente.
apt-get install cron
Os seguintes comandos están en nginx e apache respectivamente / etc / crontab O comando introducido no ficheiro significa que se renova cada 10 días, sendo suficiente un período de validez de 90 días.
Ficheiro crontab Nginx, engade:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Ficheiro crontab de Apache, engade:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
Certificado SSL Configuración de Apache
Agora, necesitamos facer cambios na configuración de Apache.
Consellos:
- se usasPanel de control CWP, na verificación Engadir nome de dominio Xerar automaticamente un certificado SSL, configurará automaticamente o certificado SSL para Apache.
- Se fai máis dos seguintes pasos, pode producirse un erro despois de reiniciar Apache.
- Se hai un erro, elimine a configuración que engadiu manualmente.
Edite o ficheiro httpd.conf ▼
/usr/local/apache/conf/httpd.conf
Buscar ▼
Listen 443
- (eliminar o número de comentario anterior #)
ou engade o porto de escoita 443 ▼
Listen 443
Comprobar SSH o porto de escoita de Apache ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Buscar ▼
mod_ssl
- (eliminar o número de comentario anterior #)
ou engade ▼
LoadModule ssl_module modules/mod_ssl.so
Buscar ▼
httpd-ssl
- (eliminar o número de comentario anterior #)
A continuación, SSH executa o seguinte comando (nota para cambiar o camiño ao teu):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
A continuación, ao final da configuración de Apache para o sitio web que creachesbaixo.
Engade o ficheiro de configuración da sección SSL (nota para eliminar o comentario e cambiar o camiño ao teu):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Finalmente reinicie Apache nel:
service httpd restart
Apache forza a redirección HTTP a HTTPS
- Moitas solicitudes web sempre só poden executarse con SSL.
- Debemos asegurarnos de que cada vez que usamos SSL, debe acceder ao sitio web a través de SSL.
- Se algún usuario tenta acceder ao sitio web cun URL non SSL, debe ser redirixido ao sitio web SSL.
- Redirixe a URL SSL usando o módulo Apache mod_rewrite.
- Como usar o paquete de instalación LAMP cun só clic, a instalación automática integrada do certificado SSL e a redirección forzada a HTTPS, a redirección a HTTPSEn vigor, non precisa engadir unha redirección HTTPS.
Engadir regra de redirección
- No ficheiro de configuración de Apache, edite o servidor virtual do sitio web e engada a seguinte configuración.
- Tamén pode engadir a mesma configuración á raíz do documento no seu sitio web no seu ficheiro .htaccess.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Se só queres especificar un URL determinado para redirixir a HTTPS:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Se alguén tenta acceder mensaxe , a páxina saltará a https e o usuario só poderá acceder ao URL con SSL.
Reinicie Apache para que o ficheiro .htaccess teña efecto:
service httpd restart
注意 事项
- Cambia o enderezo de correo electrónico anterior polo teu enderezo de correo electrónico.
- Lembra cambiar o nome de dominio do sitio web anterior polo nome de dominio do teu sitio web.
Problema de localización da regra de redirección
Baixo regras pseudoestáticas, ao colocar regras de salto de redirección, normalmente atoparás http non pode redirixir a https O problema.
Inicialmente copiamos o código de redirección en .htaccess e aparecerá nos seguintes casos ▼
- [L] indica que a regra actual é a última regra, deixe de analizar as seguintes regras de reescritura.
- Polo tanto, ao acceder á páxina do artigo redirixido, [L] detén as seguintes regras, polo que as regras de redirección non funcionan.
Ao visitar a páxina de inicio http, queremos activar unha redirección de URL, omitir a regra pseudoestática para executar a regra de salto de redirección, para que se poida conseguirRedirección http en todo o sitio a https .
Non coloque regras de redirección https [L] Debaixo das regras, pon [L] por riba das regras ▼
Lectura ampliada:
- Cal é a diferenza entre http e https? Explicación detallada do proceso de cifrado SSL
- Que debo facer se recibo un erro 500 despois de instalar o certificado SSL Let's Encrypt no panel de control de CWP?
- Salta automaticamente ao nome de dominio de segundo nivel sen o nome de dominio de nivel superior www: o nome de dominio raíz 301 redirecciona a www.
Blog de Hope Chen Weiliang ( https://www.chenweiliang.com/ ) compartiu "Como solicitar Let's Encrypt? Imos cifrar SSL Free Certificate Principle & Installation Tutorial", que é útil para ti.
Benvido a compartir a ligazón deste artigo:https://www.chenweiliang.com/cwl-512.html
Benvido á canle de Telegram do blog de Chen Weiliang para recibir as últimas actualizacións.
📚 Esta guía contén un gran valor, 🌟Esta é unha oportunidade rara, non a perdas! ⏰⌛💨
Comparte e da like se che gusta!
O teu compartir e gústame son a nosa motivación continua!