Como solicitar Let's Encrypt? Let's Encrypt SSL Principio de certificado gratuíto e tutorial de instalación

Como solicitar Let's Encrypt?

Imos cifrar o principio do certificado SSL e o tutorial de instalación

Que é SSL?Chen WeiliangNo artigo anterior "Cal é a diferenza entre http e https? Explicación detallada do proceso de cifrado SSL", mencionado en.

aparte deComercio electrónicoO sitio web debe comprar un certificado SSL cifrado avanzado e usar o sitio web como WeChatPromoción da conta públicaDenovos mediosPersoas, se queres instalar un certificado SSL, podes instalar un certificado SSL cifrado de balde.SEOÉ útil e pode mellorar a clasificación das palabras clave do sitio web nos buscadores.

Let's Encrypt escribiu un conxunto de procesos (https://certbot.eff.org/), useLinuxamigos, podes seguir este tutorial mentres te refires ao proceso.

Descargue primeiro a ferramenta certbot-auto e, a continuación, execute as dependencias de instalación da ferramenta.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Xerar certificado SSL

A continuación, conChen WeiliangTome o nome de dominio do blog como exemplo, modifiqueo segundo as súas propias necesidades. SSH executa os seguintes comandos.

Asegúrese de modificar o comando en:

1. Caixa de correo
2. ruta do servidor
3. nome de dominio do sitio web

Directorio único de dominio único, xera un certificado:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Directorio único multidominio, xera un certificado: (é dicir, varios nomes de dominio, directorio único, usa o mesmo certificado)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

O certificado SSL xerado gardarase en:/etc/letsencrypt/live/www.chenweiliang.com/ Baixo contidos.

Varios nomes de dominio e varios directorios, xera un certificado: (é dicir, varios nomes de dominio, varios directorios, usa o mesmo certificado)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Despois de que o certificado Let's Encrypt se instale correctamente, aparecerá a seguinte mensaxe de aviso en SSH:

NOTAS IMPORTANTES:
– Parabéns! O teu certificado e chain foron gardados en:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
O teu ficheiro de chave gardouse en:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
O teu certificado caducará o 2018/02/26. Para obter un novo ou modificado
versión deste certificado no futuro, simplemente execute certbot-auto
de novo. Para renovar de forma non interactiva *todos* os teus certificados, executa
"certbot-auto renovación"
- Se che gusta Certbot, considere apoiar o noso traballo:
Doando a ISRG / Let's Encrypt: https://letsencrypt.org/donate
Doando a EFF: https://eff.org/donate-le

Renovación do certificado SSL

A renovación do certificado tamén é moi conveniente, usandocrontabRenovación automática.Algúns Debian non teñen crontab instalado, primeiro podes instalalo manualmente.

apt-get install cron

Os seguintes comandos están en nginx e apache respectivamente / etc / crontab O comando introducido no ficheiro significa que se renova cada 10 días, sendo suficiente un período de validez de 90 días.

Ficheiro crontab Nginx, engade:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Ficheiro crontab de Apache, engade:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

Certificado SSL Configuración de Apache

Agora, necesitamos facer cambios na configuración de Apache.

Consellos:

• se usasPanel de control CWP, na verificación Engadir nome de dominio Xerar automaticamente un certificado SSL, configurará automaticamente o certificado SSL para Apache.
• Se fai máis dos seguintes pasos, pode producirse un erro despois de reiniciar Apache.
• Se hai un erro, elimine a configuración que engadiu manualmente.

Edite o ficheiro httpd.conf ▼

/usr/local/apache/conf/httpd.conf

Buscar ▼

Listen 443

• (eliminar o número de comentario anterior #)

ou engade o porto de escoita 443 ▼

Listen 443

Comprobar SSH o porto de escoita de Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Buscar ▼

mod_ssl

• (eliminar o número de comentario anterior #)

ou engade ▼

LoadModule ssl_module modules/mod_ssl.so

Buscar ▼

httpd-ssl

• (eliminar o número de comentario anterior #)

A continuación, SSH executa o seguinte comando (nota para cambiar o camiño ao teu):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

A continuación, ao final da configuración de Apache para o sitio web que creachesbaixo.

Engade o ficheiro de configuración da sección SSL (nota para eliminar o comentario e cambiar o camiño ao teu):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Finalmente reinicie Apache nel:

service httpd restart

Apache forza a redirección HTTP a HTTPS

• Moitas solicitudes web sempre só poden executarse con SSL.
• Debemos asegurarnos de que cada vez que usamos SSL, debe acceder ao sitio web a través de SSL.
• Se algún usuario tenta acceder ao sitio web cun URL non SSL, debe ser redirixido ao sitio web SSL.
• Redirixe a URL SSL usando o módulo Apache mod_rewrite.
• Como usar o paquete de instalación LAMP cun só clic, a instalación automática integrada do certificado SSL e a redirección forzada a HTTPS, a redirección a HTTPSEn vigor, non precisa engadir unha redirección HTTPS.

Engadir regra de redirección

• No ficheiro de configuración de Apache, edite o servidor virtual do sitio web e engada a seguinte configuración.
• Tamén pode engadir a mesma configuración á raíz do documento no seu sitio web no seu ficheiro .htaccess.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Se só queres especificar un URL determinado para redirixir a HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Se alguén tenta acceder mensaxe , a páxina saltará a https e o usuario só poderá acceder ao URL con SSL.

Reinicie Apache para que o ficheiro .htaccess teña efecto:

service httpd restart

注意 事项

• Cambia o enderezo de correo electrónico anterior polo teu enderezo de correo electrónico.
• Lembra cambiar o nome de dominio do sitio web anterior polo nome de dominio do teu sitio web.

Problema de localización da regra de redirección

Baixo regras pseudoestáticas, ao colocar regras de salto de redirección, normalmente atoparás http non pode redirixir a https O problema.

Inicialmente copiamos o código de redirección en .htaccess e aparecerá nos seguintes casos ▼

• [L] indica que a regra actual é a última regra, deixe de analizar as seguintes regras de reescritura.
• Polo tanto, ao acceder á páxina do artigo redirixido, [L] detén as seguintes regras, polo que as regras de redirección non funcionan.

Ao visitar a páxina de inicio http, queremos activar unha redirección de URL, omitir a regra pseudoestática para executar a regra de salto de redirección, para que se poida conseguirRedirección http en todo o sitio a https .

Non coloque regras de redirección https [L] Debaixo das regras, pon [L] por riba das regras ▼

Lectura ampliada:

• Cal é a diferenza entre http e https? Explicación detallada do proceso de cifrado SSL
• Que debo facer se recibo un erro 500 despois de instalar o certificado SSL Let's Encrypt no panel de control de CWP?
• Salta automaticamente ao nome de dominio de segundo nivel sen o nome de dominio de nivel superior www: o nome de dominio raíz 301 redirecciona a www.