Hvernig á að sækja um Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Uppsetningarkennsla

Hvernig á að sækja um Let's Encrypt?

Við skulum dulkóða SSL vottorðsreglur og uppsetningarkennsla

Hvað er SSL?Chen WeiliangÍ fyrri grein "Hver er munurinn á http og https? Ítarleg útskýring á SSL dulkóðunarferli“ nefnt í.

fyrir utanRafræn viðskiptiVefsíðan verður að kaupa háþróað dulkóðað SSL vottorð og nota vefsíðuna sem WeChatKynning á opinberum reikningumAfnýjum fjölmiðlumFólk, ef þú vilt setja upp SSL vottorð geturðu í raun sett upp dulkóðað SSL vottorð ókeypis.SEOÞað er gagnlegt og getur bætt röðun leitarorða vefsíðna í leitarvélum.

Let's Encrypt hefur sjálft skrifað sett af ferlum (https://certbot.eff.org/), notaLinuxvinir, þú getur fylgst með þessari kennslu á meðan þú vísar í ferlið.

Sæktu fyrst certbot-auto tólið og keyrðu síðan uppsetningarháð tólsins.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Búðu til SSL vottorð

Næst, meðChen WeiliangTaktu blogglénið sem dæmi, vinsamlegast breyttu því eftir þínum þörfum. SSH keyrir eftirfarandi skipanir.

Vertu viss um að breyta skipuninni í:

1. Pósthólf
2. slóð netþjóns
3. lénsheiti vefsíðu

Einstök lén ein skrá, búðu til vottorð:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Fjölléna ein skrá, búðu til vottorð: (þ.e. mörg lén, ein skrá, notaðu sama vottorð)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Myndað SSL vottorð verður vistað í:/etc/letsencrypt/live/www.chenweiliang.com/ Undir innihald.

Mörg lén og margar möppur, búðu til vottorð: (það er, mörg lén, margar möppur, notaðu sama vottorðið)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Eftir að Let's Encrypt vottorðið hefur verið sett upp með góðum árangri mun SSH hvetja birtast sem hér segir:

ÁRÍÐANDI:
– Til hamingju, skírteinið þitt og kapain hefur verið vistað á:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Lykilskráin þín hefur verið vistuð á:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Vottorðið þitt rennur út 2018-02-26. Til að fá nýtt eða fínstillt
útgáfu af þessu skírteini í framtíðinni, einfaldlega keyrðu certbot-auto
aftur. Til að endurnýja *öll* skírteinin þín án gagnvirkrar endurnýjunar skaltu keyra
"certbot-sjálfvirk endurnýjun"
- Ef þér líkar við Certbot skaltu íhuga að styðja við starf okkar með því að:
Að gefa til ISRG / Við skulum dulkóða: https://letsencrypt.org/donate
Framlag til EFF: https://eff.org/donate-le

Endurnýjun SSL skírteina

Endurnýjun skírteina er líka mjög þægileg, með því að notacrontabSjálfvirk endurnýjun.Sum Debian er ekki með crontab uppsett, þú getur sett það upp handvirkt fyrst.

apt-get install cron

Eftirfarandi skipanir eru í nginx og apache í sömu röð / etc / crontab Skipunin sem er slegin inn í skrána þýðir að hún er endurnýjuð á 10 daga fresti og nægir 90 daga gildistími.

Nginx crontab skrá, vinsamlegast bættu við:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab skrá, vinsamlegast bættu við:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL vottorð Apache stillingar

Nú þurfum við að gera breytingar á Apache stillingum.

Ráð:

• ef þú notarCWP stjórnborð, í Bæta við lénsmerkinu Búðu til SSL vottorð sjálfkrafa, það mun sjálfkrafa stilla SSL vottorðið fyrir Apache.
• Ef þú gerir fleiri af eftirfarandi skrefum gæti villa komið upp eftir að Apache hefur verið endurræst.
• Ef það er villa skaltu eyða stillingunum sem þú bættir við handvirkt.

Breyttu httpd.conf skránni ▼

/usr/local/apache/conf/httpd.conf

Finndu ▼

Listen 443

• (fjarlægðu fyrri athugasemdanúmer #)

eða bættu við hlustunartengi 443 ▼

Listen 443

SSH athugaðu Apache hlustunartengi ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Finndu ▼

mod_ssl

• (fjarlægðu fyrri athugasemdanúmer #)

eða bættu við ▼

LoadModule ssl_module modules/mod_ssl.so

Finndu ▼

httpd-ssl

• (fjarlægðu fyrri athugasemdanúmer #)

Síðan skaltu SSH framkvæma eftirfarandi skipun (athugaðu að breyta slóðinni í þína eigin):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Næst, í lok Apache stillingar fyrir vefsíðuna sem þú bjóst tilundir.

Bættu við stillingarskrá SSL hlutans (athugaðu að fjarlægja athugasemdina og breyttu slóðinni í þína eigin):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Endurræstu að lokum Apache á því:

service httpd restart

Apache þvingar fram HTTP tilvísun til HTTPS

• Margar vefbeiðnir geta alltaf aðeins keyrt með SSL.
• Við þurfum að ganga úr skugga um að í hvert skipti sem við notum SSL verður að nálgast vefsíðuna í gegnum SSL.
• Ef einhver notandi reynir að komast inn á vefsíðuna með slóð sem er ekki SSL, verður að vísa honum á SSL vefsíðuna.
• Beindu á SSL vefslóð með Apache mod_rewrite mát.
• Ef þú notar LAMP uppsetningarpakka með einum smelli, innbyggða sjálfvirka uppsetningu á SSL vottorði og þvinguð tilvísun yfir á HTTPS, endurvísun yfir á HTTPSÍ gildi, þú þarft ekki að bæta við HTTPS tilvísun.

Bæta við tilvísunarreglu

• Í stillingarskrá Apache, breyttu sýndargestgjafa vefsíðunnar og bættu við eftirfarandi stillingum.
• Þú getur líka bætt sömu stillingum við skjalrótina á vefsíðunni þinni í .htaccess skránni þinni.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ef þú vilt bara tilgreina ákveðna vefslóð til að beina til HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Ef einhver reynir að fá aðgang skilaboð , síðan mun hoppa yfir á https og notandinn getur aðeins nálgast slóðina með SSL.

Endurræstu Apache til að .htaccess skráin taki gildi:

service httpd restart

注意 事项

• Vinsamlegast breyttu ofangreindu netfangi í netfangið þitt.
• Vinsamlegast mundu að breyta léninu hér að ofan í lénið þitt.

Vandamál með staðsetningu reglu til framsenda

Undir gervi-statískum reglum, þegar þú setur reglur um tilvísunarstökk, lendirðu venjulega í http getur ekki vísað á https Vandamálið.

Upphaflega afrituðum við tilvísunarkóðann í .htaccess og hann mun birtast í eftirfarandi tilvikum ▼

• [L] gefur til kynna að núverandi regla sé síðasta reglan, hættu að greina eftirfarandi umritunarreglur.
• Þannig að þegar farið er inn á síðuna sem er vísað til greina, stoppar [L] eftirfarandi reglur, svo framvísunarreglurnar virka ekki.

Þegar við heimsækjum http heimasíðuna viljum við kalla fram tilvísun vefslóðar, sleppa gervistöðureglunni til að framkvæma framvísunarstökkregluna, svo að hægt sé að ná hennihttp áframsenda á vefsvæðið á https .

Ekki setja https tilvísunarreglur inn [L] Fyrir neðan reglurnar, settu [L] fyrir ofan reglur ▼

Lengri lestur:

• Hver er munurinn á http og https? Ítarleg útskýring á SSL dulkóðunarferli
• Hvað ætti ég að gera ef ég fæ villu 500 eftir að hafa sett upp Let's Encrypt SSL vottorðið á CWP stjórnborðinu?
• Stökkva sjálfkrafa á annað stigs lén án www efstu lénsins: rótarlénið 301 vísar www.