Ki jan pou aplike pou Ann ankripte?Ann ankripte Prensip Sètifika gratis SSL ak Tutorial enstalasyon

Ki jan pou aplike pou Ann ankripte?

Ann ankripte Prensip Sètifika SSL ak Tutorial enstalasyon

ki sa ki SSL?Chen WeiliangNan atik anvan an "Ki diferans ki genyen ant http ak https? Eksplikasyon detaye sou pwosesis chifreman SSL” mansyone nan.

apa deE-komèsSitwèb la dwe achte yon sètifika SSL kode avanse epi sèvi ak sit entènèt la kòm WeChatPwomosyon kont piblik的nouvo medyaMoun, si ou vle enstale yon sètifika SSL, ou ka aktyèlman enstale yon sètifika SSL chiffres pou gratis.SEOLi itil epi li ka amelyore klasman mo kle sou sit wèb nan motè rechèch.

Ann ankripte tèt li te ekri yon seri pwosesis (https://certbot.eff.org/), sèvi akLinuxzanmi, ou ka swiv leson patikilye sa a pandan w ap refere a pwosesis la.

Telechaje zouti certbot-auto a an premye, epi kouri depandans enstalasyon zouti a.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Jenere sètifika SSL

Apre sa, avèkChen WeiliangPran non domèn blog la kòm yon egzanp, tanpri modifye li selon pwòp bezwen ou yo. SSH kouri kòmandman sa yo.

Asire w ou modifye lòd la:

1. Bwat lèt
2. chemen sèvè
3. non domèn sit entènèt

Single domèn sèl anyè, jenere yon sètifika:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Anyè sèl milti-domèn, jenere yon sètifika: (sa vle di, plizyè non domèn, yon sèl anyè, sèvi ak menm sètifika a)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Sètifika SSL pwodwi a pral sove nan:/etc/letsencrypt/live/www.chenweiliang.com/ Anba kontni.

Plizyè non domèn ak plizyè anyè, jenere yon sètifika: (ki vle di, plizyè non domèn, plizyè anyè, sèvi ak menm sètifika a)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Apre yo fin enstale sètifika Let's Encrypt la avèk siksè, mesaj rapid sa a ap parèt nan SSH:

NÒT ENPÒTAN:
– Felisitasyon!Sètifika w ak chain yo te sove nan:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Dosye kle ou a te sove nan:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Sètifika ou a ap ekspire nan 2018-02-26. Pou jwenn yon nouvo oswa tweaked
vèsyon sètifika sa a nan tan kap vini an, tou senpleman kouri certbot-auto
Pou renouvle *tout* sètifika ou yo san entèaktif, kouri
"certbot-oto renouvle"
- Si ou renmen Certbot, tanpri konsidere sipòte travay nou pa:
Bay ISRG / Ann ankripte: https://letsencrypt.org/donate
Fè don EFF: https://eff.org/donate-le

Renouvèlman Sètifika SSL

Sètifika renouvèlman tou trè pratik, w ap itilizekontabOto-renouvle.Gen kèk Debian ki pa gen crontab enstale, ou ka enstale li manyèlman an premye.

apt-get install cron

Kòmandman sa yo nan nginx ak apache respektivman / elatriye / crontab Kòmandman ki antre nan dosye a vle di ke li renouvle chak 10 jou, epi yon peryòd validite 90 jou ase.

Nginx crontab dosye, tanpri ajoute:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab fichye, tanpri ajoute:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

Sètifika SSL Apache konfigirasyon

Koulye a, nou bezwen fè chanjman nan konfigirasyon Apache la.

Ti konsèy:

• si ou itilizeCWP Kontwòl Panel, nan chèk la Ajoute non domèn Otomatikman jenere yon sètifika SSL, li pral otomatikman konfigirasyon sètifika SSL la pou Apache.
• Si ou fè plis nan etap sa yo, yon erè ka rive apre rekòmanse Apache.
• Si gen yon erè, efase konfigirasyon ou te ajoute manyèlman.

Edite fichye httpd.conf ▼

/usr/local/apache/conf/httpd.conf

Jwenn ▼

Listen 443

• (retire nimewo # kòmantè anvan an)

oswa ajoute pò koute 443 ▼

Listen 443

SSH tcheke pò ap koute Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Jwenn ▼

mod_ssl

• (retire nimewo # kòmantè anvan an)

oswa ajoute ▼

LoadModule ssl_module modules/mod_ssl.so

Jwenn ▼

httpd-ssl

• (retire nimewo # kòmantè anvan an)

Lè sa a, SSH egzekite lòd sa a (nòt pou chanje chemen an nan pwòp ou a):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Apre sa, nan fen konfigirasyon Apache pou sit entènèt ou te kreye aanba.

Ajoute fichye konfigirasyon an nan seksyon SSL (nòt pou retire kòmantè a, epi chanje chemen an nan pwòp ou a):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Finalman rekòmanse Apache sou li:

service httpd restart

Apache fòs HTTP redireksyon sou HTTPS

• Anpil demann entènèt ka toujou sèlman kouri ak SSL.
• Nou bezwen asire w ke chak fwa nou itilize SSL, yo dwe jwenn aksè nan sit entènèt la atravè SSL.
• Si nenpòt itilizatè eseye jwenn aksè nan sit entènèt la ak yon URL ki pa SSL, li dwe redireksyon sou sit entènèt SSL la.
• Redireksyon sou URL SSL lè l sèvi avèk modil Apache mod_rewrite.
• Tankou lè l sèvi avèk pake enstalasyon LAMP yon sèl-klike, bati-an enstalasyon otomatik sètifika SSL ak fòse redireksyon nan HTTPS, redireksyon nan HTTPSAn fòs, ou pa bezwen ajoute yon redireksyon HTTPS.

Ajoute règ redireksyon

• Nan fichye konfigirasyon Apache a, modifye lame vityèl sit entènèt la epi ajoute paramèt sa yo.
• Ou kapab tou ajoute menm paramèt yo nan rasin dokiman an sou sit entènèt ou a nan dosye .htaccess ou a.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Si ou jis vle presize yon URL sèten pou redireksyon sou HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Si yon moun eseye jwenn aksè mesaj , paj la pral ale nan https, epi itilizatè a ka sèlman jwenn aksè nan URL la ak SSL.

Rekòmanse Apache pou dosye a .htaccess pran efè:

service httpd restart

注意 事项

• Tanpri chanje adrès imel ki anwo a an adrès imel ou.
• Tanpri sonje chanje non domèn sit entènèt ki anwo a an non domèn sit entènèt ou an.

Redireksyon pwoblèm kote règ

Anba règ pseudo-estatik, lè w ap mete règ so redireksyon, anjeneral ou rankontre http pa ka redireksyon sou https Pwoblèm lan.

Okòmansman nou kopye kòd redireksyon an nan .htaccess epi li pral parèt nan ka sa yo ▼

• [L] endike règ aktyèl la se dènye règ la, sispann analize règ reekri sa yo.
• Se konsa, lè w ap jwenn aksè nan paj atik redireksyon an, [L] sispann règ sa yo, kidonk règ yo redireksyon pa travay.

Lè w ap vizite paj dakèy http la, nou vle deklanche yon redireksyon URL, sote règ pseudo-estatik pou egzekite règ so redireksyon an, pou li ka reyalizeRedireksyon http nan tout sit la nan https .

Pa mete règ redireksyon https nan [L] Anba règ yo, mete [L] pi wo a règ yo ▼

Lekti pwolonje:

• Ki diferans ki genyen ant http ak https? Eksplikasyon detaye sou pwosesis chifreman SSL
• Kisa mwen ta dwe fè si mwen jwenn yon erè 500 apre mwen fin enstale sètifika SSL Let's Encrypt nan panèl kontwòl CWP la?
• Ale otomatikman nan non domèn dezyèm nivo san www non domèn tèt nivo: non domèn rasin 301 redireksyon www.