სტატიების დირექტორია
როგორ მივმართოთ Let's Encrypt-ზე?
მოდით დავშიფროთ SSL სერთიფიკატის პრინციპი და ინსტალაციის სახელმძღვანელო
რა არის SSL?ჩენ ვეილიანგიწინა სტატიაში "რა განსხვავებაა http-სა და https-ს შორის? SSL დაშიფვრის პროცესის დეტალური ახსნა„აღნიშნულია.
ცალკეელექტრონული კომერციავებსაიტმა უნდა შეიძინოს გაფართოებული დაშიფრული SSL სერთიფიკატი და გამოიყენოს ვებსაიტი, როგორც WeChatსაჯარო ანგარიშის ხელშეწყობაიმათგანახალი მედიახალხო, თუ გსურთ SSL სერთიფიკატის დაყენება, შეგიძლიათ რეალურად დააინსტალიროთ დაშიფრული SSL სერთიფიკატი უფასოდ.SEOგამოსადეგია, შეუძლია გააუმჯობესოს ვებსაიტის საკვანძო სიტყვების რეიტინგი საძიებო სისტემებში.
Let's Encrypt თავად დაწერა პროცესების ნაკრები (https://certbot.eff.org/), გამოყენებაLinuxმეგობრებო, თქვენ შეგიძლიათ მიჰყვეთ ამ გაკვეთილს პროცესის განხილვისას.
ჯერ ჩამოტვირთეთ certbot-auto ინსტრუმენტი, შემდეგ გაუშვით ხელსაწყოს ინსტალაციის დამოკიდებულებები.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
SSL სერთიფიკატის გენერირება
შემდეგი, თანჩენ ვეილიანგიმაგალითისთვის აიღეთ ბლოგის დომენის სახელი, გთხოვთ შეცვალოთ იგი თქვენი საჭიროების მიხედვით.SSH აწარმოებს შემდეგ ბრძანებებს.
დარწმუნდით, რომ შეცვალეთ ბრძანება:
- საფოსტო ყუთი
- სერვერის გზა
- ვებსაიტის დომენის სახელი
ერთი დომენის ერთი დირექტორია, შექმენით სერტიფიკატი:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
მრავალდომენიანი ერთი დირექტორია, შექმენით სერთიფიკატი: (ანუ მრავალი დომენის სახელი, ერთი დირექტორია, გამოიყენეთ იგივე სერტიფიკატი)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
გენერირებული SSL სერთიფიკატი შეინახება შემდეგში:/etc/letsencrypt/live/www.chenweiliang.com/ შინაარსის ქვეშ.
მრავალი დომენის სახელი და მრავალი დირექტორია, გენერირება სერტიფიკატი: (ანუ მრავალი დომენის სახელი, მრავალი დირექტორია, გამოიყენეთ ერთი და იგივე სერტიფიკატი)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Let's Encrypt სერთიფიკატის წარმატებით დაინსტალირების შემდეგ, შემდეგი სწრაფი შეტყობინება გამოჩნდება SSH-ში:
მნიშვნელოვანი შენიშვნები:
– გილოცავ, შენი მოწმობა და ქain შენახულია:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
თქვენი გასაღების ფაილი შენახულია შემდეგ მისამართზე:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
თქვენი სერტიფიკატის ვადა ამოიწურება 2018-02-26. ახალი ან დამუშავებულის მისაღებად
ამ სერთიფიკატის ვერსია მომავალში, უბრალოდ გაუშვით certbot-auto
ისევ *ყველა* თქვენი სერთიფიკატის არაინტერაქტიულად გასაახლებლად, გაუშვით
"certbot-auto განახლება"
- თუ მოგწონთ Certbot, გთხოვთ, გაითვალისწინოთ ჩვენი საქმიანობის მხარდაჭერა შემდეგის მიერ:
შემოწირულობა ISRG-სთვის / მოდით დავშიფროთ: https://letsencrypt.org/donate
შემოწირულობა EFF- სთვის: https://eff.org/donate-le
SSL სერთიფიკატის განახლება
სერთიფიკატის განახლება ასევე ძალიან მოსახერხებელია, გამოყენებითcrontabᲐვტო - განახლება.ზოგიერთ Debian-ს არ აქვს დაინსტალირებული crontab, შეგიძლიათ ჯერ ხელით დააინსტალიროთ.
apt-get install cron
შემდეგი ბრძანებები არის nginx და apache შესაბამისად / etc / crontab ფაილში შეყვანილი ბრძანება ნიშნავს, რომ ის განახლდება ყოველ 10 დღეში და საკმარისია 90 დღიანი მოქმედების ვადა.
Nginx crontab ფაილი, გთხოვთ, დაამატოთ:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Apache crontab ფაილი, გთხოვთ, დაამატოთ:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL სერთიფიკატის Apache კონფიგურაცია
ახლა ჩვენ უნდა შევიტანოთ ცვლილებები Apache-ს კონფიგურაციაში.
რჩევები:
- თუ იყენებთCWP მართვის პანელიდომენის სახელის დამატება ჩეკში ავტომატურად გენერირება SSL სერთიფიკატი, ის ავტომატურად დააკონფიგურირებს SSL სერთიფიკატს Apache-სთვის.
- თუ თქვენ შეასრულებთ ქვემოთ მოცემულ ნაბიჯებს, შეიძლება მოხდეს შეცდომა Apache-ს გადატვირთვის შემდეგ.
- თუ შეცდომაა, წაშალეთ ხელით დამატებული კონფიგურაცია.
httpd.conf ფაილის რედაქტირება ▼
/usr/local/apache/conf/httpd.conf
იპოვეთ ▼
Listen 443
- (წაშალეთ წინა კომენტარის ნომერი #)
ან დაამატეთ მოსმენის პორტი 443 ▼
Listen 443
SSH შეამოწმეთ Apache მოსმენის პორტი ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
იპოვეთ ▼
mod_ssl
- (წაშალეთ წინა კომენტარის ნომერი #)
ან დაამატეთ ▼
LoadModule ssl_module modules/mod_ssl.so
იპოვეთ ▼
httpd-ssl
- (წაშალეთ წინა კომენტარის ნომერი #)
შემდეგ, SSH შეასრულეთ შემდეგი ბრძანება (გაითვალისწინეთ, რომ შეცვალოთ ბილიკი საკუთარზე):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
შემდეგი, თქვენ მიერ შექმნილი ვებსაიტის Apache-ის კონფიგურაციის ბოლოსქვეშ.
დაამატეთ SSL განყოფილების კონფიგურაციის ფაილი (გაითვალისწინეთ, რომ წაშალეთ კომენტარი და შეცვალეთ გზა საკუთარისკენ):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
ბოლოს გადატვირთეთ Apache მასზე:
service httpd restart
Apache ძალის HTTP გადამისამართება HTTPS-ზე
- ბევრი ვებ მოთხოვნა ყოველთვის მხოლოდ SSL-ით არის შესაძლებელი.
- ჩვენ უნდა დავრწმუნდეთ, რომ ყოველ ჯერზე, როდესაც ვიყენებთ SSL-ს, ვებსაიტზე წვდომა უნდა იყოს SSL-ის საშუალებით.
- თუ რომელიმე მომხმარებელი ცდილობს ვებსაიტზე წვდომას არა-SSL URL-ით, ის უნდა გადამისამართდეს SSL ვებსაიტზე.
- გადამისამართება SSL URL-ზე Apache mod_rewrite მოდულის გამოყენებით.
- როგორიცაა LAMP ერთი დაწკაპუნებით საინსტალაციო პაკეტის გამოყენება, SSL სერთიფიკატის ჩაშენებული ავტომატური ინსტალაცია და იძულებითი გადამისამართება HTTPS-ზე, გადამისამართება HTTPS-ზეᲫალაში, თქვენ არ გჭირდებათ HTTPS გადამისამართების დამატება.
გადამისამართების წესის დამატება
- Apache-ს კონფიგურაციის ფაილში შეცვალეთ ვებსაიტის ვირტუალური ჰოსტი და დაამატეთ შემდეგი პარამეტრები.
- თქვენ ასევე შეგიძლიათ დაამატოთ იგივე პარამეტრები დოკუმენტის root-ს თქვენს ვებსაიტზე თქვენს .htaccess ფაილში.
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]თუ უბრალოდ გსურთ მიუთითოთ გარკვეული URL HTTPS-ზე გადამისამართებისთვის:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- თუ ვინმე ცდილობს წვდომას გაგზავნა , გვერდი გადავა https-ზე და მომხმარებელს შეუძლია URL-ზე წვდომა მხოლოდ SSL-ით.
გადატვირთეთ Apache, რომ .htaccess ფაილი ამოქმედდეს:
service httpd restart
注意 事项
- გთხოვთ შეცვალოთ ზემოაღნიშნული ელფოსტის მისამართი თქვენს ელფოსტის მისამართზე.
- გთხოვთ, გახსოვდეთ, რომ შეცვალოთ ზემოაღნიშნული ვებსაიტის დომენის სახელი თქვენი ვებსაიტის დომენის სახელით.
გადამისამართების წესის მდებარეობის პრობლემა
ფსევდო-სტატიკური წესების მიხედვით, გადამისამართების ნახტომის წესების დაყენებისას, ჩვეულებრივ ხვდებით http არ შეიძლება გადამისამართდეს https-ზე Პრობლემა.
თავდაპირველად გადამისამართების კოდი დავაკოპირეთ .htaccess-ში და ის გამოჩნდება შემდეგ შემთხვევებში ▼
![გადამისამართების წესი [L] მე-2 ფურცელზე ზემოთ](https://img.chenweiliang.com/2018/03/https-rule-1.png "როგორ მივმართოთ Let's Encrypt-ზე მოდით დავშიფროთ SSL უფასო სერტიფიკატის პრინციპი და ინსტალაციის სახელმძღვანელო სურათი 2")
- [L] მიუთითებს, რომ მიმდინარე წესი არის ბოლო წესი, შეწყვიტეთ შემდეგი გადაწერის წესების ანალიზი.
- ასე რომ, გადამისამართებულ სტატიის გვერდზე შესვლისას, [L] აჩერებს შემდეგ წესებს, ამიტომ გადამისამართების წესები არ მუშაობს.
http მთავარი გვერდის მონახულებისას, ჩვენ გვინდა გამოვიყენოთ URL-ის გადამისამართება, გამოტოვოთ ფსევდოსტატიკური წესი გადამისამართების გადახტომის წესის შესასრულებლად, რათა მიღწეული იყოსსაიტის მასშტაბით http გადამისამართება https-ზე .
არ შეიტანოთ https გადამისამართების წესები [ლ] წესების ქვემოთ დადეთ [ლ] წესებზე ზემოთ ▼
![ფსევდო-სტატიკური SSL გადამისამართების წესები [L] ქვემოთ მე-3 ფურცელში](https://img.chenweiliang.com/2018/03/pseudo-static-ssl-jump.png "როგორ მივმართოთ Let's Encrypt-ზე მოდით დავშიფროთ SSL უფასო სერტიფიკატის პრინციპი და ინსტალაციის სახელმძღვანელო სურათი 3")
გაფართოებული კითხვა:
- რა განსხვავებაა http-სა და https-ს შორის? SSL დაშიფვრის პროცესის დეტალური ახსნა
- რა უნდა გავაკეთო, თუ CWP მართვის პანელში Let's Encrypt SSL სერთიფიკატის დაყენების შემდეგ მივიღე შეცდომა 500?
- ავტომატურად გადადით მეორე დონის დომენის სახელზე www ზედა დონის დომენის სახელის გარეშე: ძირეული დომენის სახელი 301 გადამისამართებს www.
იმედი ჩენ ვეილიანგის ბლოგი ( https://www.chenweiliang.com/ ) გააზიარა "როგორ მივიღოთ განაცხადი Let's Encrypt-ზე? მოდით დავშიფროთ SSL უფასო სერტიფიკატის პრინციპი და ინსტალაციის სახელმძღვანელო", რომელიც თქვენთვის სასარგებლოა.
კეთილი იყოს თქვენი მობრძანება ამ სტატიის ბმულის გასაზიარებლად:https://www.chenweiliang.com/cwl-512.html
კეთილი იყოს თქვენი მობრძანება Chen Weiliang-ის ბლოგის ტელეგრამის არხზე, რომ მიიღოთ უახლესი განახლებები!
📚 ეს სახელმძღვანელო შეიცავს უზარმაზარ ღირებულებას, 🌟ეს იშვიათი შესაძლებლობაა, არ გამოტოვოთ! ⏰⌛💨
გააზიარეთ და მოიწონეთ თუ მოგეწონათ!
თქვენი გაზიარება და მოწონებები ჩვენი უწყვეტი მოტივაციაა!