Cikkkönyvtár
Hogyan lehet jelentkezni a Let's Encrypt programra?
Titkosítsuk az SSL-tanúsítvány elvét és telepítési útmutatót
Mi az SSL?Chen WeiliangAz előző cikkben "Mi a különbség a http és a https között? Az SSL titkosítási folyamat részletes magyarázata”-ben említik.
除了E-kereskedelemA webhelynek fejlett titkosított SSL-tanúsítványt kell vásárolnia, és a webhelyet WeChat-ként kell használniaNyilvános fiók promóciója的új médiaEmberek, ha SSL-tanúsítványt szeretnének telepíteni, akkor valójában ingyenesen telepíthetnek egy titkosított SSL-tanúsítványt.SEOHasznos, javíthatja a webhely kulcsszavainak rangsorolását a keresőmotorokban.
A Let's Encrypt maga írt egy sor folyamatot (https://certbot.eff.org/),használatLinuxbarátaim, követheti ezt az oktatóanyagot, miközben hivatkozik a folyamatra.
Először töltse le a certbot-auto eszközt, majd futtassa az eszköz telepítési függőségeit.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
SSL-tanúsítvány létrehozása
Következő, veleChen WeiliangVegyük példaként a blog domain nevét, kérjük, módosítsa saját igényei szerint Az SSH a következő parancsokat futtatja.
Ügyeljen arra, hogy módosítsa a parancsot:
- postafiók
- szerver elérési útja
- webhely domain neve
Egyetlen domain egyetlen könyvtár, tanúsítvány létrehozása:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Több domain egyetlen könyvtár, tanúsítvány létrehozása: (vagyis több domain név, egyetlen könyvtár, ugyanazt a tanúsítványt használja)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
A generált SSL-tanúsítvány a következő helyre kerül mentésre:/etc/letsencrypt/live/www.chenweiliang.com/
A tartalom alatt.
Több domain név és több könyvtár, tanúsítvány létrehozása: (vagyis több domain név, több könyvtár, ugyanazt a tanúsítványt használja)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
A Let's Encrypt tanúsítvány sikeres telepítése után a következő üzenet jelenik meg az SSH-ban:
FONTOS JEGYZETEK:
– Gratulálunk a bizonyítványod és a chain mentésre kerültek:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
A kulcsfájlt a következő helyre mentettük:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Tanúsítványa 2018-02-26-án lejár. Új vagy módosított tanúsítvány beszerzése
verzióját a jövőben, egyszerűen futtassa a certbot-auto-t
Az *összes* tanúsítvány nem interaktív megújításához futtassa
"certbot-auto renew"
- Ha tetszik a Certbot, kérjük, fontolja meg munkánk támogatását:
Adományozás az ISRG-nek / Titkosítsuk: https://letsencrypt.org/donate
Adomány az EFF-nek: https://eff.org/donate-le
SSL-tanúsítvány megújítása
A tanúsítvány megújítása is nagyon kényelmes, használatacrontabAutomatikus megújítás.Néhány Debianban nincs telepítve a crontab, először manuálisan telepítheti.
apt-get install cron
A következő parancsok az nginxben és az apache-ban vannak / etc / crontab A fájlba beírt parancs azt jelenti, hogy 10 naponta megújítják, és elegendő a 90 napos érvényességi idő.
Nginx crontab fájl, kérjük, adja hozzá:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Apache crontab fájl, kérjük, adja hozzá:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL tanúsítvány Apache konfigurációja
Most módosítanunk kell az Apache konfigurációját.
tippek:
- ha használodCWP Vezérlőpult, a Tartománynév hozzáadása jelölőnégyzetben az SSL-tanúsítvány automatikus generálása jelölőnégyzetben automatikusan konfigurálja az SSL-tanúsítványt az Apache számára.
- Ha többet tesz meg a következő lépések közül, az Apache újraindítása után hiba léphet fel.
- Ha hiba történik, törölje a manuálisan hozzáadott konfigurációt.
Szerkessze a httpd.conf fájlt ▼
/usr/local/apache/conf/httpd.conf
▼ keresése
Listen 443
- (törölje az előző # megjegyzésszámot)
vagy adja hozzá a 443-as figyelési portot ▼
Listen 443
SSH ellenőrizze az Apache figyelő portot ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
▼ keresése
mod_ssl
- (törölje az előző # megjegyzésszámot)
vagy add hozzá a ▼-t
LoadModule ssl_module modules/mod_ssl.so
▼ keresése
httpd-ssl
- (törölje az előző # megjegyzésszámot)
Ezután az SSH hajtsa végre a következő parancsot (megjegyzés, hogy módosítsa az elérési utat a sajátjára):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Ezután a létrehozott webhely Apache konfigurációjának végénalatt.
Adja hozzá az SSL szakasz konfigurációs fájlját (megjegyzés a megjegyzés eltávolításához, és módosítsa az elérési utat a sajátjára):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Végül indítsa újra rajta az Apache-t:
service httpd restart
Az Apache kényszeríti a HTTP-átirányítást a HTTPS-re
- Sok webes kérés mindig csak SSL-lel futhat.
- Gondoskodnunk kell arról, hogy minden alkalommal, amikor SSL-t használunk, a webhelyet SSL-en keresztül kell elérni.
- Ha bármely felhasználó nem SSL URL-címmel próbál elérni a webhelyet, át kell irányítani az SSL webhelyre.
- Átirányítás az SSL URL-re az Apache mod_rewrite modul segítségével.
- Ilyen például a LAMP egykattintásos telepítőcsomag használata, az SSL-tanúsítvány beépített automatikus telepítése és a HTTPS-re való kényszerített átirányítás, a HTTPS-re történő átirányításHatályban, nem kell HTTPS-átirányítást hozzáadnia.
Átirányítási szabály hozzáadása
- Az Apache konfigurációs fájljában szerkessze a webhely virtuális gazdagépét, és adja hozzá a következő beállításokat.
- Ugyanezeket a beállításokat hozzáadhatja webhelye dokumentumgyökéréhez is a .htaccess fájlban.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Ha csak egy bizonyos URL-t szeretne megadni a HTTPS-re való átirányításhoz:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Ha valaki megpróbál hozzáférni üzenet , az oldal https-re ugrik, és a felhasználó csak SSL-lel érheti el az URL-t.
Indítsa újra az Apache-t, hogy a .htaccess fájl életbe lépjen:
service httpd restart
注意 事项
- Kérjük, módosítsa a fenti e-mail címet az e-mail címére.
- Kérjük, ne felejtse el megváltoztatni a fenti webhely domain nevét a webhely domain nevére.
Az átirányítási szabály helyének problémája
A pszeudostatikus szabályok szerint az átirányítási ugrásszabályok elhelyezésekor általában találkozunk A http nem tud átirányítani https-re A probléma.
Kezdetben az átirányítási kódot a .htaccess fájlba másoltuk, és a következő esetekben jelenik meg: ▼
- Az [L] azt jelzi, hogy az aktuális szabály az utolsó szabály, hagyja abba a következő átírási szabályok elemzését.
- Tehát az átirányított cikkoldal elérésekor az [L] leállítja a következő szabályokat, így az átirányítási szabályok nem működnek.
A http kezdőlap meglátogatásakor URL-átirányítást szeretnénk kiváltani, a pszeudo-statikus szabályt kihagyva végrehajtjuk az átirányítási ugrásszabályt, hogy ez elérhető legyenA webhely egészére kiterjedő http átirányítás a https-re .
Ne adjon meg https átirányítási szabályokat [L] A szabályok alá, tedd [L] szabályok felett ▼
Bővített olvasmány:
- Mi a különbség a http és a https között? Az SSL titkosítási folyamat részletes magyarázata
- Mi a teendő, ha 500-as hibaüzenetet kapok, miután telepítettem a Let's Encrypt SSL tanúsítványt a CWP vezérlőpulton?
- Automatikus ugrás a második szintű tartománynévre a www legfelső szintű tartománynév nélkül: a gyökértartománynév 301 átirányítja a www-t
Hope Chen Weiliang Blog ( https://www.chenweiliang.com/ ) megosztotta "Hogyan jelentkezhet a Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial", amely hasznos az Ön számára.
Üdvözöljük a cikk linkjének megosztásában:https://www.chenweiliang.com/cwl-512.html
Üdvözöljük Chen Weiliang blogjának Telegram csatornáján, hogy értesüljön a legfrissebb hírekről!
📚 Ez az útmutató hatalmas értéket tartalmaz, 🌟 Ritka lehetőség ez, ne hagyd ki! ⏰⌛💨
Oszd meg és lájkold, ha tetszik!
Az Ön megosztása és lájkja folyamatos motivációnk!