Imenik članaka
Kako se prijaviti za Let's Encrypt?
Let's Encrypt SSL Certificate Principle & Vodič za instalaciju
Što je SSL?Chen WeiliangU prethodnom članku "Koja je razlika između http i https? Detaljno objašnjenje procesa SSL enkripcije” spomenuto u.
除了E-trgovinaWeb mjesto mora kupiti napredni kriptirani SSL certifikat i koristiti web mjesto kao WeChatPromocija javnog računa的novi medijiLjudi, ako želite instalirati SSL certifikat, zapravo možete besplatno instalirati šifrirani SSL certifikat.SEOKorisno, može poboljšati rangiranje ključnih riječi web stranice u tražilicama.
Sam Let's Encrypt napisao je skup procesa (https://certbot.eff.org/),koristitiLinuxprijatelji, možete pratiti ovaj vodič dok govorite o procesu.
Prvo preuzmite alat certbot-auto, a zatim pokrenite instalacijske ovisnosti alata.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Generirajte SSL certifikat
Dalje, saChen WeiliangUzmite naziv domene bloga kao primjer, promijenite ga prema vlastitim potrebama. SSH pokreće sljedeće naredbe.
Svakako izmijenite naredbu:
- poštanski sandučić
- put poslužitelja
- naziv domene web stranice
Jedna domena, jedan direktorij, generiraj certifikat:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Jednostruki direktorij s više domena, generirajte certifikat: (tj. više naziva domena, jedan direktorij, koristite isti certifikat)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Generirani SSL certifikat bit će spremljen u:/etc/letsencrypt/live/www.chenweiliang.com/
Pod sadržajem.
Više naziva domena i više direktorija, generirajte certifikat: (to jest, više naziva domena, više direktorija, koristite isti certifikat)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Nakon što je Let's Encrypt certifikat uspješno instaliran, sljedeća poruka će se pojaviti u SSH-u:
VAŽNE NAPOMENE:
– Čestitamo! Vaš certifikat i chain su spremljeni na:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Vaša ključna datoteka je spremljena na:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Vaš certifikat ističe 2018. veljače 02. Da biste dobili novi ili prilagođeni
verziju ovog certifikata u budućnosti, jednostavno pokrenite certbot-auto
Da biste neinteraktivno obnovili *sve* svoje certifikate, pokrenite
"certbot-auto renew"
- Ako vam se sviđa Certbot, razmislite o podržavanju našeg rada:
Donacija za ISRG / Let's Encrypt: https://letsencrypt.org/donate
Doniranje EFF-u: https://eff.org/donate-le
Obnova SSL certifikata
Obnavljanje certifikata je također vrlo zgodno, koristećicrontabAutomatsko obnavljanje.Neki Debian nemaju instaliran crontab, možete ga prvo ručno instalirati.
apt-get install cron
Sljedeće naredbe su u nginxu i apacheu / etc / crontab Naredba upisana u datoteku znači da se obnavlja svakih 10 dana, a dovoljan je rok valjanosti od 90 dana.
Nginx crontab datoteku, dodajte:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Apache crontab datoteku, dodajte:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL certifikat Apache konfiguracija
Sada moramo napraviti promjene u Apache konfiguraciji.
Savjet:
- ako koristiteUpravljačka ploča CWP, u polju Dodaj naziv domene označite Automatski generiraj SSL certifikat, automatski će konfigurirati SSL certifikat za Apache.
- Ako učinite više od sljedećih koraka, može doći do pogreške nakon ponovnog pokretanja Apachea.
- Ako postoji pogreška, izbrišite konfiguraciju koju ste dodali ručno.
Uredite datoteku httpd.conf ▼
/usr/local/apache/conf/httpd.conf
Pronađite ▼
Listen 443
- (uklonite prethodni broj komentara #)
ili dodajte priključak za slušanje 443 ▼
Listen 443
SSH provjeri Apache slušajući port ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Pronađite ▼
mod_ssl
- (uklonite prethodni broj komentara #)
ili dodajte ▼
LoadModule ssl_module modules/mod_ssl.so
Pronađite ▼
httpd-ssl
- (uklonite prethodni broj komentara #)
Zatim SSH izvršite sljedeću naredbu (napomena da promijenite stazu u svoju):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Zatim, na kraju Apache konfiguracije za web mjesto koje ste izradilipod, ispod.
Dodajte konfiguracijsku datoteku SSL odjeljka (napomena da uklonite komentar i promijenite put u svoj):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Na kraju ponovno pokrenite Apache na njemu:
service httpd restart
Apache forsira HTTP preusmjeravanje na HTTPS
- Mnogi web zahtjevi uvijek se mogu izvoditi samo sa SSL-om.
- Moramo biti sigurni da svaki put kada koristimo SSL, web stranici mora biti pristupljeno putem SSL-a.
- Ako bilo koji korisnik pokuša pristupiti web stranici s ne-SSL URL-om, mora biti preusmjeren na SSL web mjesto.
- Preusmjeri na SSL URL pomoću modula Apache mod_rewrite.
- Ako koristite LAMP instalacijski paket jednim klikom, ugrađenu automatsku instalaciju SSL certifikata i prisilno preusmjeravanje na HTTPS, preusmjeravanje na HTTPSNa snazi, ne morate dodati HTTPS preusmjeravanje.
Dodaj pravilo preusmjeravanja
- U konfiguracijskoj datoteci Apachea uredite virtualni host web stranice i dodajte sljedeće postavke.
- Također možete dodati iste postavke korijenu dokumenta na vašoj web stranici u vašoj .htaccess datoteci.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Ako samo želite navesti određeni URL za preusmjeravanje na HTTPS:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Ako netko pokuša pristupiti poruka , stranica će skočiti na https, a korisnik može pristupiti samo URL-u sa SSL-om.
Ponovno pokrenite Apache da bi .htaccess datoteka stupila na snagu:
service httpd restart
注意 事项
- Promijenite gornju adresu e-pošte u svoju adresu e-pošte.
- Ne zaboravite promijeniti gornji naziv domene web stranice u naziv domene svoje web stranice.
Problem s lokacijom pravila preusmjeravanja
Pod pseudostatičkim pravilima, kada postavljate pravila skoka preusmjeravanja, obično se susrećete http ne može preusmjeriti na https Problem.
U početku smo kopirali kod za preusmjeravanje u .htaccess i pojavit će se u sljedećim slučajevima ▼
- [L] označava da je trenutno pravilo posljednje pravilo, prestanite analizirati sljedeća pravila prepisivanja.
- Dakle, kada se pristupa preusmjerenoj stranici članka, [L] zaustavlja sljedeća pravila, tako da pravila preusmjeravanja ne rade.
Kada posjećujemo http početnu stranicu, želimo pokrenuti preusmjeravanje URL-a, preskočiti pseudostatičko pravilo da izvršimo pravilo skoka preusmjeravanja, tako da se može postićihttp preusmjeravanje cijele stranice na https .
Ne postavljajte https pravila za preusmjeravanje [L] Ispod pravila, stavite [L] iznad pravila ▼
Prošireno čitanje:
- Koja je razlika između http i https? Detaljno objašnjenje procesa SSL enkripcije
- Što trebam učiniti ako dobijem pogrešku 500 nakon instalacije Let's Encrypt SSL certifikata na CWP kontrolnoj ploči?
- Automatski skoči na naziv domene druge razine bez www naziva domene najviše razine: korijenski naziv domene 301 preusmjerava www
Blog Hope Chen Weiliang ( https://www.chenweiliang.com/ ) podijelio je "Kako se prijaviti za Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial", što vam je od pomoći.
Dobrodošli da podijelite vezu ovog članka:https://www.chenweiliang.com/cwl-512.html
Dobro došli na Telegram kanal Chen Weiliangovog bloga da dobijete najnovija ažuriranja!
📚 Ovaj vodič ima veliku vrijednost, 🌟 Ovo je rijetka prilika, nemojte je propustiti! ⏰⌛💨
Podijelite i lajkajte ako vam se sviđa!
Vaše dijeljenje i lajkovi naša su stalna motivacija!