Let's Encrypt 신청 방법 Let's Encrypt SSL 무료 인증서 원리 및 설치 튜토리얼

Let's Encrypt 신청은 어떻게 하나요?

Let's Encrypt SSL 인증서 원리 및 설치 튜토리얼

SSL이란 무엇입니까?천 웨이량이전 기사에서 "http 대 https의 차이점은 무엇입니까? SSL 암호화 프로세스에 대한 자세한 설명"에 언급되어 있다.

빼고전자 상거래웹사이트는 고급 암호화 SSL 인증서를 구매하고 웹사이트를 WeChat으로 사용해야 합니다.공개 계정 프로모션的새로운 미디어여러분, SSL 인증서를 설치하고 싶다면 실제로 암호화된 SSL 인증서를 무료로 설치할 수 있습니다.SEO도움이 됩니다. 검색 엔진에서 웹사이트 키워드의 순위를 높일 수 있습니다.

Let's Encrypt 자체가 일련의 프로세스를 작성했습니다(https://certbot.eff.org/),사용Linux친구, 프로세스를 참조하면서 이 튜토리얼을 따를 수 있습니다.

먼저 certbot-auto 도구를 다운로드한 다음 도구의 설치 종속성을 실행합니다.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

SSL 인증서 생성

다음으로천 웨이량블로그 도메인 이름을 예로 들어 필요에 따라 수정하십시오 SSH는 다음 명령을 실행합니다.

다음에서 명령을 수정해야 합니다.

1. 邮箱
2. 서버 경로
3. 웹사이트 도메인 이름

단일 도메인 단일 디렉토리, 인증서 생성:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

다중 도메인 단일 디렉토리, 인증서 생성: (즉, 다중 도메인 이름, 단일 디렉토리, 동일한 인증서 사용)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

생성된 SSL 인증서는 다음 위치에 저장됩니다./etc/letsencrypt/live/www.chenweiliang.com/ 내용 아래.

여러 도메인 이름 및 여러 디렉터리, 인증서 생성: (즉, 여러 도메인 이름, 여러 디렉터리, 동일한 인증서 사용)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Let's Encrypt 인증서가 성공적으로 설치된 후 SSH에 다음 프롬프트 메시지가 나타납니다.

중요 사항 :
– 축하합니다! 인증서와 채널ain이 저장되었습니다:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
키 파일이 다음 위치에 저장되었습니다.
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
귀하의 인증서는 2018-02-26에 만료됩니다.
향후 이 인증서의 버전을 확인하려면 certbot-auto를 실행하기만 하면 됩니다.
인증서의 *모든*을 비대화식으로 갱신하려면 다음을 실행하십시오.
"certbot-자동 갱신"
– Certbot을 좋아하는 경우 다음을 통해 작업 지원을 고려하십시오.
ISRG에 기부 / Let's Encrypt: https://letsencrypt.org/donate
EFF에 기부하기 : https://eff.org/donate-le

SSL 인증서 갱신

인증서 갱신도 매우 편리합니다.crontab을자동 갱신.일부 데비안에는 crontab이 설치되어 있지 않으므로 먼저 수동으로 설치할 수 있습니다.

apt-get install cron

다음 명령은 각각 nginx 및 apache에 있습니다. / etc / crontab 파일에 입력된 명령어는 10일마다 갱신됨을 의미하며 유효기간은 90일이면 충분합니다.

Nginx crontab 파일에 다음을 추가하십시오.

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab 파일에 다음을 추가하십시오.

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL 인증서 Apache 구성

이제 Apache 구성을 변경해야 합니다.

팁 :

• 당신이 사용하는 경우CWP 제어판, 도메인 이름 추가 확인란에서 SSL 인증서 자동 생성을 선택하면 Apache용 SSL 인증서가 자동으로 구성됩니다.
• 다음 단계를 더 수행하면 Apache를 다시 시작한 후 오류가 발생할 수 있습니다.
• 오류가 있는 경우 수동으로 추가한 구성을 삭제하십시오.

httpd.conf 파일 편집 ▼

/usr/local/apache/conf/httpd.conf

▼ 찾기

Listen 443

• (앞의 주석 번호 # 제거)

또는 수신 포트 443 추가 ▼

Listen 443

SSH 확인 Apache 수신 포트 ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

▼ 찾기

mod_ssl

• (앞의 주석 번호 # 제거)

또는 추가 ▼

LoadModule ssl_module modules/mod_ssl.so

▼ 찾기

httpd-ssl

• (앞의 주석 번호 # 제거)

그런 다음 SSH는 다음 명령을 실행합니다(경로를 직접 변경하도록 주의).

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

다음으로 생성한 웹사이트에 대한 Apache 구성의 끝에서아래에.

SSL 섹션의 구성 파일을 추가하십시오(주석을 제거하고 경로를 직접 변경하십시오):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

마지막으로 Apache를 다시 시작하십시오.

service httpd restart

Apache 강제 HTTP 리디렉션을 HTTPS로

• 많은 웹 요청은 항상 SSL로만 실행할 수 있습니다.
• SSL을 사용할 때마다 SSL을 통해 웹사이트에 액세스해야 합니다.
• 사용자가 비 SSL URL을 사용하여 웹 사이트에 액세스하려고 하면 SSL 웹 사이트로 리디렉션되어야 합니다.
• Apache mod_rewrite 모듈을 사용하여 SSL URL로 리디렉션합니다.
• LAMP 원클릭 설치 패키지 사용, SSL 인증서 내장 자동 설치 및 HTTPS로 강제 리디렉션, HTTPS로 리디렉션 등시행 중, HTTPS 리디렉션을 추가할 필요가 없습니다.

리디렉션 규칙 추가

• Apache의 구성 파일에서 웹 사이트의 가상 호스트를 편집하고 다음 설정을 추가합니다.
• .htaccess 파일에서 웹 사이트의 문서 루트에 동일한 설정을 추가할 수도 있습니다.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

특정 URL을 지정하여 HTTPS로 리디렉션하려는 경우:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• 누군가 접근을 시도하면 메시지 , 페이지는 https로 이동하고 사용자는 SSL을 통해서만 URL에 액세스할 수 있습니다.

.htaccess 파일이 적용되도록 Apache를 다시 시작합니다.

service httpd restart

注意 事项

• 위의 이메일 주소를 귀하의 이메일 주소로 변경하십시오.
• 위의 웹사이트 도메인 이름을 귀하의 웹사이트 도메인 이름으로 변경하는 것을 잊지 마십시오.

리디렉션 규칙 위치 문제

의사 정적 규칙에서 리디렉션 점프 규칙을 배치할 때 일반적으로 http는 https로 리디렉션할 수 없습니다. 문제.

처음에 리디렉션 코드를 .htaccess에 복사했으며 다음과 같은 경우에 나타납니다. ▼

• [L]은 현재 규칙이 마지막 규칙임을 나타내며 다음 재작성 규칙 분석을 중지합니다.
• 따라서 리디렉션된 기사 페이지에 액세스할 때 [L]은 다음 규칙을 중지하므로 리디렉션 규칙이 작동하지 않습니다.

http 홈페이지를 방문할 때 URL 리디렉션을 트리거하고 의사 정적 규칙을 건너뛰어 리디렉션 점프 규칙을 실행하여 달성할 수 있도록 합니다.사이트 전체 http가 https로 리디렉션됩니다. .

https 리디렉션 규칙을 입력하지 마십시오. [엘] 규칙 아래에 넣어 [엘] 규칙 위 ▼

확장 읽기:

• http 대 https의 차이점은 무엇입니까? SSL 암호화 프로세스에 대한 자세한 설명
• CWP 제어판에서 Let's Encrypt SSL 인증서를 설치한 후 오류 500이 발생하면 어떻게 해야 합니까?
• www 최상위 도메인 이름 없이 두 번째 수준 도메인 이름으로 자동 점프: 루트 도메인 이름 301은 www를 리디렉션합니다.