כיצד להגיש בקשה לבואו להצפין?

כיצד להגיש בקשה ל-Let's Encrypt?

בואו להצפין את עיקרון תעודת SSL ומדריך התקנה

מה זה SSL?צ'ן וייליאנגבמאמר הקודם"מה ההבדל בין http לעומת https? הסבר מפורט על תהליך הצפנת SSL"זה מוזכר ב.

除了סחר אלקטרוניעל האתר לרכוש תעודת SSL מוצפנת מתקדמת ולהשתמש באתר כ-WeChatקידום חשבון ציבורי的מדיה חדשהאנשים, אם אתם רוצים להתקין תעודת SSL, תוכלו למעשה להתקין תעודת SSL מוצפנת בחינם.קידום אתריםמועיל, יכול לשפר את הדירוג של מילות מפתח באתר במנועי חיפוש.

Let's Encrypt בעצמה כתבה קבוצה של תהליכים (https://certbot.eff.org/),להשתמשלינוקסחברים, אתם יכולים לעקוב אחר הדרכה זו תוך התייחסות לתהליך.

הורד תחילה את הכלי certbot-auto, ולאחר מכן הפעל את תלות ההתקנה של הכלי.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

צור אישור SSL

הבא, עםצ'ן וייליאנגקח את שם הדומיין של הבלוג כדוגמה, אנא שנה אותו בהתאם לצרכים שלך. SSH מפעיל את הפקודות הבאות.

הקפד לשנות את הפקודה ב:

1. תיבת דואר
2. נתיב שרת
3. שם דומיין של אתר אינטרנט

ספריה בודדת של דומיין בודד, הפק אישור:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

ספרייה בודדת מרובת דומיינים, הפק אישור: (כלומר, מספר שמות דומיינים, ספרייה בודדת, השתמש באותו אישור)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

אישור ה-SSL שנוצר יישמר ב:/etc/letsencrypt/live/www.chenweiliang.com/ מתחת לתוכן.

שמות דומיינים מרובים ומספר ספריות, הפק תעודה: (כלומר, מספר שמות דומיין, מספר ספריות, השתמש באותה תעודה)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

לאחר התקנת תעודת Let's Encrypt בהצלחה, הודעת ההנחיה הבאה תופיע ב-SSH:

הערות חשובות:
– מזל טוב!תעודתך וצ'ain נשמרו ב:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
קובץ המפתח שלך נשמר ב:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
תוקף האישור שלך יפוג ב-2018-02-26. כדי להשיג אישור חדש או מעובד
גרסה של אישור זה בעתיד, פשוט הפעל את certbot-auto
שוב. כדי לחדש באופן לא אינטראקטיבי את *כל* האישורים שלך, הפעל
"Certbot-Auto Renew"
- אם אתה אוהב את Certbot, שקול לתמוך בעבודה שלנו על ידי:
תרומה ל-ISRG / Let's Encrypt: https://letsencrypt.org/donate
תרומה ל- EFF: https://eff.org/donate-le

חידוש תעודת SSL

גם חידוש תעודה נוח מאוד, באמצעותcrontabחידוש אוטומטי.בחלק מהדביאן לא מותקן crontab, אתה יכול להתקין אותו ידנית תחילה.

apt-get install cron

הפקודות הבאות נמצאות ב-nginx וב-apache בהתאמה / etc / crontab הפקודה שהוכנסה לקובץ פירושה שהוא מתחדש כל 10 ימים, ודי בתקופת תוקף של 90 יום.

קובץ Nginx crontab, אנא הוסף:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

קובץ Apache crontab, בבקשה הוסף:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

תצורת Apache של אישור SSL

כעת, עלינו לבצע שינויים בתצורת Apache.

טיפים:

• אם אתה משתמשלוח הבקרה של CWP, בסימון הוסף שם דומיין צור אוטומטית אישור SSL, הוא יגדיר אוטומטית את אישור ה-SSL עבור Apache.
• אם תבצע יותר מהשלבים הבאים, עלולה להתרחש שגיאה לאחר הפעלה מחדש של Apache.
• אם יש שגיאה, מחק את התצורה שהוספת באופן ידני.

ערוך את הקובץ httpd.conf ▼

/usr/local/apache/conf/httpd.conf

מצא את ▼

Listen 443

• (הסר את מספר התגובה הקודמת #)

או הוסף יציאת האזנה 443 ▼

Listen 443

SSH בדוק את יציאת האזנה של Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

מצא את ▼

mod_ssl

• (הסר את מספר התגובה הקודמת #)

או הוסף ▼

LoadModule ssl_module modules/mod_ssl.so

מצא את ▼

httpd-ssl

• (הסר את מספר התגובה הקודמת #)

לאחר מכן, SSH בצע את הפקודה הבאה (שים לב לשנות את הנתיב לשלך):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

לאחר מכן, בסוף תצורת ה- Apache עבור האתר שיצרתתַחַת.

הוסף את קובץ התצורה של קטע ה-SSL (שים לב להסיר את ההערה ולשנות את הנתיב לשלך):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

לבסוף הפעל עליו מחדש את Apache:

service httpd restart

Apache כופה הפניית HTTP ל-HTTPS

• בקשות אינטרנט רבות תמיד יכולות לפעול רק עם SSL.
• עלינו לוודא שבכל פעם שאנו משתמשים ב-SSL, יש לגשת לאתר באמצעות SSL.
• אם משתמש כלשהו מנסה לגשת לאתר עם כתובת URL שאינה SSL, יש להפנות אותו לאתר SSL.
• הפנה מחדש לכתובת SSL באמצעות מודול mod_rewrite של Apache.
• כמו שימוש בחבילת התקנה של LAMP בלחיצה אחת, התקנה אוטומטית מובנית של תעודת SSL והפניה מאולצת ל-HTTPS, ניתוב מחדש ל-HTTPSבכח, אינך צריך להוסיף הפניה מסוג HTTPS.

הוסף כלל הפניה מחדש

• בקובץ התצורה של Apache, ערוך את המארח הוירטואלי של האתר והוסף את ההגדרות הבאות.
• אתה יכול גם להוסיף את אותן הגדרות לשורש המסמך באתר שלך בקובץ ה-.htaccess שלך.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

אם אתה רק רוצה לציין כתובת URL מסוימת להפניה מחדש ל-HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• אם מישהו ינסה לגשת הודעה , הדף יקפוץ ל-https, והמשתמש יכול לגשת לכתובת ה-URL רק באמצעות SSL.

הפעל מחדש את Apache כדי שקובץ ה-.htaccess ייכנס לתוקף:

service httpd restart

注意 事项

• אנא שנה את כתובת הדוא"ל לעיל לכתובת הדוא"ל שלך.
• אנא זכור לשנות את שם הדומיין של האתר לעיל לשם הדומיין של האתר שלך.

בעיה במיקום של כלל הפניה מחדש

תחת חוקים פסאודו-סטטיים, בעת הצבת כללי קפיצה לניתוב מחדש, אתה בדרך כלל נתקל http לא יכול להפנות מחדש אל https הבעיה.

בתחילה העתקנו את קוד ההפניה ל-.htaccess והוא יופיע במקרים הבאים ▼

• [L] מציין שהכלל הנוכחי הוא הכלל האחרון, הפסק לנתח את כללי השכתוב הבאים.
• אז בעת גישה לדף המאמר המופנה מחדש, [L] מפסיק את הכלל הבא, כך שכלל ההפניה לא עובד.

בעת ביקור בדף הבית http, אנו רוצים להפעיל הפניית כתובת אתר, דלג על הכלל הפסאודו-סטטי כדי לבצע את כלל הקפיצה להפניה מחדש, כך שניתן יהיה להשיגוהפניית http לכל האתר אל https .

אל תכניס את כללי ההפניה של https [L] מתחת לכללים, שים [L] מעל הכללים ▼

קריאה מורחבת:

• מה ההבדל בין http לעומת https? הסבר מפורט על תהליך הצפנת SSL
• מה עלי לעשות אם אני מקבל שגיאה 500 לאחר התקנת תעודת Let's Encrypt SSL בלוח הבקרה של CWP?
• קפוץ אוטומטית לשם הדומיין ברמה השנייה ללא שם הדומיין www ברמה העליונה: שם הדומיין הבסיסי 301 מפנה מחדש את www