Հոդվածների տեղեկատու
Ինչպե՞ս դիմել Let's Encrypt-ի համար:
Եկեք ծածկագրենք SSL վկայագրի սկզբունքը և տեղադրման ձեռնարկը
Ի՞նչ է SSL-ը:Չեն ՎայլյանՆախորդ հոդվածում »Ո՞րն է տարբերությունը http-ի և https-ի միջև: SSL կոդավորման գործընթացի մանրամասն բացատրություն«Նշված է.
除了Էլեկտրոնային առևտուրԿայքը պետք է գնի առաջադեմ կոդավորված SSL վկայագիր և օգտագործի կայքը որպես WeChatՀանրային հաշվի առաջխաղացում的նոր լրատվամիջոցներԺողովուրդ, եթե ցանկանում եք տեղադրել SSL վկայագիր, իրականում կարող եք անվճար տեղադրել կոդավորված SSL վկայագիր:SEOՕգտակար է, կարող է բարելավել կայքի հիմնաբառերի վարկանիշը որոնման համակարգերում:
Lets Encrypt-ը ինքն է գրել մի շարք գործընթացներ (https://certbot.eff.org/), օգտագործելLinuxընկերներ, դուք կարող եք հետևել այս ձեռնարկին` անդրադառնալով գործընթացին:
Նախ ներբեռնեք certbot-auto գործիքը, ապա գործարկեք գործիքի տեղադրման կախվածությունը:
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Ստեղծեք SSL վկայագիր
Հաջորդը, հետՉեն ՎայլյանՎերցրեք բլոգի տիրույթի անունը որպես օրինակ, խնդրում ենք փոփոխել այն ըստ ձեր սեփական կարիքների: SSH-ն գործարկում է հետևյալ հրամանները.
Համոզվեք, որ փոփոխեք հրամանը.
- Փոստարկղ
- սերվերի ուղին
- կայքի տիրույթի անվանումը
Մեկ տիրույթի մեկ գրացուցակ, ստեղծեք վկայագիր.
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Մի քանի տիրույթի մեկ գրացուցակ, ստեղծեք վկայագիր. (այսինքն, մի քանի տիրույթի անուններ, մեկ գրացուցակ, օգտագործեք նույն վկայագիրը)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Ստեղծված SSL վկայագիրը կպահվի հետևյալում./etc/letsencrypt/live/www.chenweiliang.com/ Բովանդակության տակ:
Բազմաթիվ տիրույթի անուններ և բազմաթիվ գրացուցակներ, ստեղծեք վկայագիր.
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Let's Encrypt վկայականը հաջողությամբ տեղադրելուց հետո SSH-ում կհայտնվի հետևյալ հուշագիրը.
ԿԱՐԵՎՈՐ ՆՇՈՒՄՆԵՐ:
– Շնորհավորում եմ Ձեր վկայականը և գլխain-ը պահվել է՝
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Ձեր բանալի ֆայլը պահվել է հետևյալ հասցեում՝
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Ձեր վկայագրի ժամկետը կլրանա 2018-02-26-ին: Նոր կամ ճշգրտված ստանալու համար
ապագայում այս վկայագրի տարբերակը, պարզապես գործարկեք certbot-auto
Կրկին: Ձեր բոլոր վկայականները ոչ ինտերակտիվ կերպով թարմացնելու համար գործարկեք
«certbot-auto renew»
– Եթե Ձեզ դուր է գալիս Certbot-ը, խնդրում ենք հաշվի առնել մեր աշխատանքին աջակցելը՝
Նվիրատվություն ISRG-ին / Եկեք գաղտնագրենք. https://letsencrypt.org/donate
Նվիրում է EFF- ին. https://eff.org/donate-le
SSL վկայագրի նորացում
Հավաստագրի նորացումը նույնպես շատ հարմար է, օգտագործելովcrontabԱվտոմատ թարմացում:Որոշ Debian-ում տեղադրված չէ crontab-ը, նախ կարող եք այն տեղադրել ձեռքով:
apt-get install cron
Հետևյալ հրամանները համապատասխանաբար nginx-ում և apache-ում են / etc / crontab Ֆայլում մուտքագրված հրամանը նշանակում է, որ այն թարմացվում է 10 օրը մեկ, և 90-օրյա վավերականության ժամկետը բավարար է։
Nginx crontab ֆայլը, խնդրում ենք ավելացնել.
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Apache crontab ֆայլ, խնդրում ենք ավելացնել.
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL վկայագրի Apache կոնֆիգուրացիա
Այժմ մենք պետք է փոփոխություններ կատարենք Apache-ի կազմաձևում:
Tips:
- եթե օգտագործում եքCWP Control Panel, Ավելացնել տիրույթի անուն ստուգման մեջ Ավտոմատ ստեղծեք SSL վկայագիր, այն ավտոմատ կերպով կկազմաձևի SSL վկայագիրը Apache-ի համար:
- Եթե դուք կատարեք հետևյալ քայլերից ավելին, Apache-ն վերագործարկելուց հետո կարող է սխալ առաջանալ:
- Եթե սխալ կա, ջնջեք ձեր ձեռքով ավելացված կազմաձևը:
Խմբագրել httpd.conf ֆայլը ▼
/usr/local/apache/conf/httpd.conf
Գտեք ▼
Listen 443
- (հեռացնել նախորդ մեկնաբանության համարը)
կամ ավելացրեք լսողական պորտ 443 ▼
Listen 443
SSH ստուգեք Apache լսողական պորտը ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Գտեք ▼
mod_ssl
- (հեռացնել նախորդ մեկնաբանության համարը)
կամ ավելացնել ▼
LoadModule ssl_module modules/mod_ssl.so
Գտեք ▼
httpd-ssl
- (հեռացնել նախորդ մեկնաբանության համարը)
Այնուհետև SSH-ը կատարում է հետևյալ հրամանը (նշեք, որ փոխեք ուղին դեպի ձեր սեփականը).
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Հաջորդը, ձեր ստեղծած կայքի Apache-ի կազմաձևման վերջումտակ.
Ավելացրե՛ք SSL բաժնի կազմաձևման ֆայլը (նշեք մեկնաբանությունը հեռացնելու և ձեր սեփական ճանապարհը փոխելու համար).
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Վերջապես վերագործարկեք Apache-ն դրա վրա.
service httpd restart
Apache-ն ստիպում է HTTP վերահղում դեպի HTTPS
- Շատ վեբ հարցումներ միշտ կարող են գործարկվել միայն SSL-ով:
- Մենք պետք է համոզվենք, որ ամեն անգամ, երբ մենք օգտագործում ենք SSL, կայք պետք է հասանելի լինի SSL-ի միջոցով:
- Եթե որևէ օգտվող փորձում է մուտք գործել կայք ոչ SSL URL-ով, նա պետք է վերահղվի դեպի SSL կայք:
- Վերահղեք դեպի SSL URL՝ օգտագործելով Apache mod_rewrite մոդուլը:
- Օրինակ՝ LAMP մեկ սեղմումով տեղադրման փաթեթի օգտագործումը, SSL վկայագրի ներկառուցված ավտոմատ տեղադրումը և հարկադիր վերահղումը դեպի HTTPS, վերահղում դեպի HTTPSՈւժի մեջ է, ձեզ հարկավոր չէ ավելացնել HTTPS վերահղում:
Ավելացնել վերահղման կանոն
- Apache-ի կազմաձևման ֆայլում խմբագրեք կայքի վիրտուալ հոսթը և ավելացրեք հետևյալ կարգավորումները.
- Կարող եք նաև նույն կարգավորումները ավելացնել ձեր կայքի փաստաթղթի արմատին ձեր .htaccess ֆայլում:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Եթե պարզապես ցանկանում եք նշել որոշակի URL՝ HTTPS-ին վերահղելու համար.
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Եթե ինչ-որ մեկը փորձում է մուտք գործել հաղորդագրություն , էջը կանցնի https, և օգտվողը կարող է մուտք գործել URL միայն SSL-ով:
Վերագործարկեք Apache-ն, որպեսզի .htaccess ֆայլն ուժի մեջ մտնի.
service httpd restart
注意 事项
- Խնդրում ենք փոխել վերը նշված էլփոստի հասցեն ձեր էլ.
- Խնդրում ենք հիշել վերը նշված կայքի տիրույթի անունը փոխել ձեր կայքի տիրույթի անունով:
Վերահղման կանոնների տեղադրության խնդիրը
Կեղծ ստատիկ կանոնների համաձայն, վերահղման ցատկի կանոնները տեղադրելիս սովորաբար հանդիպում եք http-ը չի կարող վերահղվել դեպի https Խնդիրը.
Սկզբում մենք պատճենեցինք վերահղման կոդը .htaccess-ում և այն կհայտնվի հետևյալ ▼ դեպքերում
![Վերահղման կանոն [L] վերևի 2-րդ թերթիկում](https://img.chenweiliang.com/2018/03/https-rule-1.png "Ինչպե՞ս դիմել Let's Encrypt-ի համար Եկեք գաղտնագրենք SSL անվճար վկայականի սկզբունք և տեղադրման ձեռնարկ Նկար 2")
- [L]-ը ցույց է տալիս, որ ներկայիս կանոնը վերջին կանոնն է, դադարեցրեք վերլուծել հետևյալ վերաշարադրման կանոնները:
- Այսպիսով, վերահղված հոդվածի էջ մուտք գործելիս [L]-ը դադարեցնում է հետևյալ կանոնները, ուստի վերահղման կանոնները չեն գործում։
http-ի գլխավոր էջ այցելելիս մենք ցանկանում ենք գործարկել URL-ի վերահղում, բաց թողնել կեղծ ստատիկ կանոնը՝ վերահղման ցատկի կանոնը գործարկելու համար, որպեսզի հնարավոր լինի հասնել դրան:Ամբողջ կայքի http վերահղում դեպի https .
Մի դրեք https վերահղման կանոնները [L] Կանոնների տակ դրեք [L] կանոններից բարձր ▼
![Կեղծ ստատիկ SSL վերահղման կանոններ [L] ստորև ներկայացված 3-րդ թերթում](https://img.chenweiliang.com/2018/03/pseudo-static-ssl-jump.png "Ինչպե՞ս դիմել Let's Encrypt-ի համար Եկեք գաղտնագրենք SSL անվճար վկայականի սկզբունք և տեղադրման ձեռնարկ Նկար 3")
Ընդլայնված ընթերցում.
- Ո՞րն է տարբերությունը http-ի և https-ի միջև: SSL կոդավորման գործընթացի մանրամասն բացատրություն
- Ի՞նչ պետք է անեմ, եթե CWP կառավարման վահանակում Let's Encrypt SSL վկայագիրը տեղադրելուց հետո ստանամ 500 սխալ:
- Ավտոմատ կերպով անցնել երկրորդ մակարդակի տիրույթի անուն առանց www վերին մակարդակի տիրույթի անվանման. արմատային տիրույթի անունը 301 վերահղում է www.
Հույս Chen Weiliang բլոգ ( https://www.chenweiliang.com/ ) կիսվել է «Ինչպե՞ս դիմել Let's Encrypt-ի համար: Let's Encrypt SSL Free Certificate Principle & Installation Tutorial», որն օգտակար է ձեզ համար:
Բարի գալուստ՝ կիսելու այս հոդվածի հղումը.https://www.chenweiliang.com/cwl-512.html