Article Directory
Let's Encrypt программасына кантип тапшырса болот?
Келгиле, SSL тастыктамасынын принциби жана орнотуу үйрөткүчүн шифрлейли
SSL деген эмне?Чен ВейлянМурунку макалада "Http менен https ортосунда кандай айырма бар? SSL шифрлөө процессинин деталдуу түшүндүрмөсү”де айтылган.
башкаE-соодаВебсайт өркүндөтүлгөн шифрленген SSL сертификатын сатып алып, веб-сайтты WeChat катары колдонушу керекКоомдук эсепти жылдыруубоюнчажаңы медиаАдамдар, эгер сиз SSL сертификатын орноткуңуз келсе, чындыгында шифрленген SSL сертификатын бекер орното аласыз.SEOПайдалуу, издөө системаларында веб-сайттын ачкыч сөздөрүнүн рейтингин жакшыртат.
Let's Encrypt өзү процесстердин топтомун жазган (https://certbot.eff.org/) , 使用Linuxдостор, процесске шилтеме берип жатып, бул окуу куралын аткарсаңыз болот.
Алгач certbot-auto куралын жүктөп алыңыз, андан кийин куралдын орнотуу көз карандылыктарын иштетиңиз.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
SSL сертификатын түзүү
Кийинки, мененЧен ВейлянМисал катары блогдун домен атын алалы, аны өз муктаждыктарыңызга жараша өзгөртүңүз. SSH төмөнкү буйруктарды аткарат.
буйрукту өзгөртүү үчүн шектенбесек болот:
- каттар үчүн ящик
- сервер жолу
- домен
Бир домендин бирдиктүү каталогу, сертификатты түзүү:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Көп домендүү бир каталог, сертификат түзүү: (б.а., бир нече домендик аталыштар, бир каталог, бир эле сертификатты колдонуу)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Түзүлгөн SSL сертификаты төмөнкүдө сакталат:/etc/letsencrypt/live/www.chenweiliang.com/
Мазмуну астында.
Бир нече домендик аталыштар жана бир нече каталогдор, сертификатты түзүү: (башкача айтканда, бир нече домен аттары, бир нече каталогдор, бир эле сертификатты колдонуңуз)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Let's Encrypt сертификаты ийгиликтүү орнотулгандан кийин, SSH сунушу төмөнкүдөй пайда болот:
МААНИЛҮҮ NOTES:
– Куттуктайбыз, күбөлүк жана чain сакталды:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Ачкыч файлыңыз төмөнкү жерде сакталды:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Сертификаттын мөөнөтү 2018-02-26-ж. бүтөт. Жаңы же оңдолгон сертификатты алуу үчүн
келечекте бул сертификаттын версиясы, жөн гана certbot-auto иштетиңиз
Сертификаттарыңыздын *бардыгын* интерактивдүү эмес жаңыртуу үчүн, иштетиңиз
"certbot-автоматтык жаңылоо"
- Эгер сизге Certbot жакса, анда биздин жумушту төмөнкүлөр аркылуу колдоону карап көрүңүз:
ISRGге кайрымдуулук кылуу / Шифрлейли: https://letsencrypt.org/donate
EFFке кайрымдуулук кылуу: https://eff.org/donate-le
SSL сертификатын жаңылоо
Сертификатты узартуу да абдан ыңгайлуу, колдонууcrontabАвто-жаңыртуу.Кээ бир Debianда crontab орнотулган эмес, адегенде аны кол менен орното аласыз.
apt-get install cron
Төмөнкү буйруктар тиешелүүлүгүнө жараша nginx жана apache / etc / crontab Файлга киргизилген буйрук ал ар 10 күн сайын жаңыланып турат жана 90 күндүк жарактуу мөөнөтү жетиштүү дегенди билдирет.
Nginx crontab файлын кошуңуз:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Apache crontab файлын кошуңуз:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL сертификаты Apache конфигурациясы
Эми биз Apache конфигурациясына өзгөртүүлөрдү киргизишибиз керек.
сунуштар:
- колдонсоңузCWP Башкаруу панели, Домен атын кошуу текшерүүсүндө SSL сертификатын автоматтык түрдө жаратыңыз, ал Apache үчүн SSL сертификатын автоматтык түрдө конфигурациялайт.
- Төмөнкү кадамдардын көбүн аткарсаңыз, Apache кайра иштетилгенден кийин ката пайда болушу мүмкүн.
- Ката болсо, кол менен кошкон конфигурацияңызды жок кылыңыз.
httpd.conf файлын түзөтүңүз ▼
/usr/local/apache/conf/httpd.conf
▼ табуу
Listen 443
- (мурунку комментарий номерин алып салуу #)
же угуу портуна 443 кошуңуз ▼
Listen 443
SSH текшерүү Apache угуу порту ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
▼ табуу
mod_ssl
- (мурунку комментарий номерин алып салуу #)
же кошуу ▼
LoadModule ssl_module modules/mod_ssl.so
▼ табуу
httpd-ssl
- (мурунку комментарий номерин алып салуу #)
Андан кийин, SSH төмөнкү буйрукту аткарыңыз (жолду өзүңүзгө өзгөртүү үчүн эскертиңиз):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Андан кийин, сиз түзгөн веб-сайт үчүн Apache конфигурациясынын аягындаастында.
SSL бөлүмүнүн конфигурация файлын кошуңуз (комментарийди алып салуу жана жолду өзүңүзгө өзгөртүү үчүн эске алыңыз):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Акыр-аягы, ага Apache кайра иштетүү:
service httpd restart
Apache күч HTTP HTTPS багыттоо
- Көптөгөн веб-суроолор ар дайым SSL менен гана иштей алат.
- Биз SSL колдонгон сайын веб-сайтка SSL аркылуу кирүүгө ынанышыбыз керек.
- Эгерде кандайдыр бир колдонуучу веб-сайтка SSL эмес URL менен кирүүгө аракет кылса, ал SSL веб-сайтына багытталышы керек.
- Apache mod_rewrite модулун колдонуп SSL URL дарегине багыттоо.
- LAMP бир чыкылдатуу орнотуу пакетин колдонуу, SSL сертификатын орнотулган автоматтык орнотуу жана HTTPSге мажбурлап багыттоо, HTTPSге кайра багыттооКүчүндө, сизге HTTPS багыттоосун кошуунун кереги жок.
Багыттоо эрежесин кошуңуз
- Apache конфигурация файлында веб-сайттын виртуалдык хостун оңдоп, төмөнкү орнотууларды кошуңуз.
- Сиз ошондой эле .htaccess файлыңыздагы веб-сайтыңыздагы документтин тамырына ошол эле орнотууларды кошо аласыз.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Эгер сиз жөн гана HTTPSге багыттоо үчүн белгилүү бир URL көрсөткүңүз келсе:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Эгер кимдир бирөө кирүүгө аракет кылса билдирүү , барак https'ге секирип кетет жана колдонуучу URL дарегине SSL менен гана кире алат.
.htaccess файлы күчүнө кириши үчүн Apache'ди өчүрүп күйгүзүңүз:
service httpd restart
Коопсуздук чаралары
- Сураныч, жогорудагы электрондук почта дарегин электрондук почта дарегиңизге өзгөртүңүз.
- Сураныч, жогорудагы веб-сайттын домендик аталышын веб-сайтыңыздын домен атына өзгөртүүнү унутпаңыз.
Кайта багыттоо эрежеси жайгашкан жер маселеси
Псевдостатикалык эрежелерге ылайык, кайра багыттоо секирүү эрежелерин жайгаштыруу учурунда сиз адатта жолугасыз http https'ге багыттоо мүмкүн эмес Маселе.
Башында биз багыттоо кодун .htaccessге көчүрдүк жана ал төмөнкү учурларда пайда болот ▼
- [L] учурдагы эреже акыркы эреже экенин көрсөтүп турат, кийинки кайра жазуу эрежелерин талдоону токтотуңуз.
- Ошентип, кайра багытталган макала бетине киргенде, [L] төмөнкү эрежени токтотот, ошондуктан кайра багыттоо эрежеси иштебейт.
http башкы бетине киргенде, биз URL багыттоосун иштеткибиз келет, кайра багыттоо секирүү эрежесин аткаруу үчүн псевдостатикалык эрежени өткөрүп жиберип, ага жетүү үчүнСайт боюнча http багыттоо https .
Https багыттоо эрежелерин киргизбеңиз [L] Эрежелердин астына кой [L] эрежелерден жогору ▼
Андан ары окуу:
- Http менен https ортосунда кандай айырма бар? SSL шифрлөө процессинин деталдуу түшүндүрмөсү
- CWP башкаруу панелине Let's Encrypt SSL сертификатын орноткондон кийин 500 катасы чыксам, эмне кылышым керек?
- www жогорку деңгээлдеги домендик аталышы жок автоматтык түрдө экинчи деңгээлдеги домендик атка өтүңүз: түпкү домендик аталыш 301 www.
Hope Chen Weiliang блогу ( https://www.chenweiliang.com/ ) "Let's Encrypt программасына кантип тапшырса болот? Келгиле, SSL акысыз сертификатынын принциби жана орнотуу үйрөткүчүн шифрлейли" бөлүштү, бул сизге пайдалуу.
Бул макаланын шилтемесин бөлүшүүгө кош келиңиз:https://www.chenweiliang.com/cwl-512.html
Акыркы жаңылыктарды алуу үчүн Чен Вейляндын блогунун Telegram каналына кош келиңиз!
📚 Бул колдонмо чоң баалуулуктарды камтыйт, 🌟Бул сейрек кездешүүчү мүмкүнчүлүк, аны өткөрүп жибербеңиз! ⏰⌛💨
Бөлүшүп, жакса лайк!
Сиздин бөлүшүүңүз жана лайктарыңыз биздин үзгүлтүксүз мотивациябыз!