Greinaskrá
Hvernig á að sækja um Let's Encrypt?
Við skulum dulkóða SSL vottorðsreglur og uppsetningarkennsla
Hvað er SSL?Chen WeiliangÍ fyrri grein "Hver er munurinn á http og https? Ítarleg útskýring á SSL dulkóðunarferli“ nefnt í.
fyrir utanRafræn viðskiptiVefsíðan verður að kaupa háþróað dulkóðað SSL vottorð og nota vefsíðuna sem WeChatKynning á opinberum reikningumAfnýjum fjölmiðlumFólk, ef þú vilt setja upp SSL vottorð geturðu í raun sett upp dulkóðað SSL vottorð ókeypis.SEOÞað er gagnlegt og getur bætt röðun leitarorða vefsíðna í leitarvélum.
Let's Encrypt hefur sjálft skrifað sett af ferlum (https://certbot.eff.org/), notaLinuxvinir, þú getur fylgst með þessari kennslu á meðan þú vísar í ferlið.
Sæktu fyrst certbot-auto tólið og keyrðu síðan uppsetningarháð tólsins.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Búðu til SSL vottorð
Næst, meðChen WeiliangTaktu blogglénið sem dæmi, vinsamlegast breyttu því eftir þínum þörfum. SSH keyrir eftirfarandi skipanir.
Vertu viss um að breyta skipuninni í:
- Pósthólf
- slóð netþjóns
- lénsheiti vefsíðu
Einstök lén ein skrá, búðu til vottorð:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Fjölléna ein skrá, búðu til vottorð: (þ.e. mörg lén, ein skrá, notaðu sama vottorð)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Myndað SSL vottorð verður vistað í:/etc/letsencrypt/live/www.chenweiliang.com/
Undir innihald.
Mörg lén og margar möppur, búðu til vottorð: (það er, mörg lén, margar möppur, notaðu sama vottorðið)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Eftir að Let's Encrypt vottorðið hefur verið sett upp með góðum árangri mun SSH hvetja birtast sem hér segir:
ÁRÍÐANDI:
– Til hamingju, skírteinið þitt og kapain hefur verið vistað á:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Lykilskráin þín hefur verið vistuð á:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Vottorðið þitt rennur út 2018-02-26. Til að fá nýtt eða fínstillt
útgáfu af þessu skírteini í framtíðinni, einfaldlega keyrðu certbot-auto
aftur. Til að endurnýja *öll* skírteinin þín án gagnvirkrar endurnýjunar skaltu keyra
"certbot-sjálfvirk endurnýjun"
- Ef þér líkar við Certbot skaltu íhuga að styðja við starf okkar með því að:
Að gefa til ISRG / Við skulum dulkóða: https://letsencrypt.org/donate
Framlag til EFF: https://eff.org/donate-le
Endurnýjun SSL skírteina
Endurnýjun skírteina er líka mjög þægileg, með því að notacrontabSjálfvirk endurnýjun.Sum Debian er ekki með crontab uppsett, þú getur sett það upp handvirkt fyrst.
apt-get install cron
Eftirfarandi skipanir eru í nginx og apache í sömu röð / etc / crontab Skipunin sem er slegin inn í skrána þýðir að hún er endurnýjuð á 10 daga fresti og nægir 90 daga gildistími.
Nginx crontab skrá, vinsamlegast bættu við:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Apache crontab skrá, vinsamlegast bættu við:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL vottorð Apache stillingar
Nú þurfum við að gera breytingar á Apache stillingum.
Ráð:
- ef þú notarCWP stjórnborð, í Bæta við lénsmerkinu Búðu til SSL vottorð sjálfkrafa, það mun sjálfkrafa stilla SSL vottorðið fyrir Apache.
- Ef þú gerir fleiri af eftirfarandi skrefum gæti villa komið upp eftir að Apache hefur verið endurræst.
- Ef það er villa skaltu eyða stillingunum sem þú bættir við handvirkt.
Breyttu httpd.conf skránni ▼
/usr/local/apache/conf/httpd.conf
Finndu ▼
Listen 443
- (fjarlægðu fyrri athugasemdanúmer #)
eða bættu við hlustunartengi 443 ▼
Listen 443
SSH athugaðu Apache hlustunartengi ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Finndu ▼
mod_ssl
- (fjarlægðu fyrri athugasemdanúmer #)
eða bættu við ▼
LoadModule ssl_module modules/mod_ssl.so
Finndu ▼
httpd-ssl
- (fjarlægðu fyrri athugasemdanúmer #)
Síðan skaltu SSH framkvæma eftirfarandi skipun (athugaðu að breyta slóðinni í þína eigin):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Næst, í lok Apache stillingar fyrir vefsíðuna sem þú bjóst tilundir.
Bættu við stillingarskrá SSL hlutans (athugaðu að fjarlægja athugasemdina og breyttu slóðinni í þína eigin):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Endurræstu að lokum Apache á því:
service httpd restart
Apache þvingar fram HTTP tilvísun til HTTPS
- Margar vefbeiðnir geta alltaf aðeins keyrt með SSL.
- Við þurfum að ganga úr skugga um að í hvert skipti sem við notum SSL verður að nálgast vefsíðuna í gegnum SSL.
- Ef einhver notandi reynir að komast inn á vefsíðuna með slóð sem er ekki SSL, verður að vísa honum á SSL vefsíðuna.
- Beindu á SSL vefslóð með Apache mod_rewrite mát.
- Ef þú notar LAMP uppsetningarpakka með einum smelli, innbyggða sjálfvirka uppsetningu á SSL vottorði og þvinguð tilvísun yfir á HTTPS, endurvísun yfir á HTTPSÍ gildi, þú þarft ekki að bæta við HTTPS tilvísun.
Bæta við tilvísunarreglu
- Í stillingarskrá Apache, breyttu sýndargestgjafa vefsíðunnar og bættu við eftirfarandi stillingum.
- Þú getur líka bætt sömu stillingum við skjalrótina á vefsíðunni þinni í .htaccess skránni þinni.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Ef þú vilt bara tilgreina ákveðna vefslóð til að beina til HTTPS:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Ef einhver reynir að fá aðgang skilaboð , síðan mun hoppa yfir á https og notandinn getur aðeins nálgast slóðina með SSL.
Endurræstu Apache til að .htaccess skráin taki gildi:
service httpd restart
注意 事项
- Vinsamlegast breyttu ofangreindu netfangi í netfangið þitt.
- Vinsamlegast mundu að breyta léninu hér að ofan í lénið þitt.
Vandamál með staðsetningu reglu til framsenda
Undir gervi-statískum reglum, þegar þú setur reglur um tilvísunarstökk, lendirðu venjulega í http getur ekki vísað á https Vandamálið.
Upphaflega afrituðum við tilvísunarkóðann í .htaccess og hann mun birtast í eftirfarandi tilvikum ▼
- [L] gefur til kynna að núverandi regla sé síðasta reglan, hættu að greina eftirfarandi umritunarreglur.
- Þannig að þegar farið er inn á síðuna sem er vísað til greina, stoppar [L] eftirfarandi reglur, svo framvísunarreglurnar virka ekki.
Þegar við heimsækjum http heimasíðuna viljum við kalla fram tilvísun vefslóðar, sleppa gervistöðureglunni til að framkvæma framvísunarstökkregluna, svo að hægt sé að ná hennihttp áframsenda á vefsvæðið á https .
Ekki setja https tilvísunarreglur inn [L] Fyrir neðan reglurnar, settu [L] fyrir ofan reglur ▼
Lengri lestur:
- Hver er munurinn á http og https? Ítarleg útskýring á SSL dulkóðunarferli
- Hvað ætti ég að gera ef ég fæ villu 500 eftir að hafa sett upp Let's Encrypt SSL vottorðið á CWP stjórnborðinu?
- Stökkva sjálfkrafa á annað stigs lén án www efstu lénsins: rótarlénið 301 vísar www.
Hope Chen Weiliang blogg ( https://www.chenweiliang.com/ ) deildi "Hvernig á að sækja um Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial", sem er gagnlegt fyrir þig.
Velkomið að deila tengli þessarar greinar:https://www.chenweiliang.com/cwl-512.html
Velkomin á Telegram rásina á bloggi Chen Weiliang til að fá nýjustu uppfærslurnar!
📚 Þessi handbók inniheldur mikið gildi, 🌟Þetta er sjaldgæft tækifæri, ekki missa af því! ⏰⌛💨
Deildu og likeðu ef þú vilt!
Deiling þín og líkar við eru stöðug hvatning okkar!