Let's Encrypt программасына кантип тапшырса болот? Келгиле, SSL'ди шифрлейли Акысыз Сертификат Принциби жана Орнотуу үйрөткүчү

Let's Encrypt программасына кантип тапшырса болот?

Келгиле, SSL тастыктамасынын принциби жана орнотуу үйрөткүчүн шифрлейли

SSL деген эмне?Чен ВейлянМурунку макалада "Http менен https ортосунда кандай айырма бар? SSL шифрлөө процессинин деталдуу түшүндүрмөсү”де айтылган.

башкаE-соодаВебсайт өркүндөтүлгөн шифрленген SSL сертификатын сатып алып, веб-сайтты WeChat катары колдонушу керекКоомдук эсепти жылдыруубоюнчажаңы медиаАдамдар, эгер сиз SSL сертификатын орноткуңуз келсе, чындыгында шифрленген SSL сертификатын бекер орното аласыз.SEOПайдалуу, издөө системаларында веб-сайттын ачкыч сөздөрүнүн рейтингин жакшыртат.

Let's Encrypt өзү процесстердин топтомун жазган (https://certbot.eff.org/） ， 使用Linuxдостор, процесске шилтеме берип жатып, бул окуу куралын аткарсаңыз болот.

Алгач certbot-auto куралын жүктөп алыңыз, андан кийин куралдын орнотуу көз карандылыктарын иштетиңиз.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

SSL сертификатын түзүү

Кийинки, мененЧен ВейлянМисал катары блогдун домен атын алалы, аны өз муктаждыктарыңызга жараша өзгөртүңүз. SSH төмөнкү буйруктарды аткарат.

буйрукту өзгөртүү үчүн шектенбесек болот:

1. каттар үчүн ящик
2. сервер жолу
3. домен

Бир домендин бирдиктүү каталогу, сертификатты түзүү:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Көп домендүү бир каталог, сертификат түзүү: (б.а., бир нече домендик аталыштар, бир каталог, бир эле сертификатты колдонуу)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Түзүлгөн SSL сертификаты төмөнкүдө сакталат:/etc/letsencrypt/live/www.chenweiliang.com/ Мазмуну астында.

Бир нече домендик аталыштар жана бир нече каталогдор, сертификатты түзүү: (башкача айтканда, бир нече домен аттары, бир нече каталогдор, бир эле сертификатты колдонуңуз)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Let's Encrypt сертификаты ийгиликтүү орнотулгандан кийин, SSH сунушу төмөнкүдөй пайда болот:

МААНИЛҮҮ NOTES:
– Куттуктайбыз, күбөлүк жана чain сакталды:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Ачкыч файлыңыз төмөнкү жерде сакталды:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Сертификаттын мөөнөтү 2018-02-26-ж. бүтөт. Жаңы же оңдолгон сертификатты алуу үчүн
келечекте бул сертификаттын версиясы, жөн гана certbot-auto иштетиңиз
Сертификаттарыңыздын *бардыгын* интерактивдүү эмес жаңыртуу үчүн, иштетиңиз
"certbot-автоматтык жаңылоо"
- Эгер сизге Certbot жакса, анда биздин жумушту төмөнкүлөр аркылуу колдоону карап көрүңүз:
ISRGге кайрымдуулук кылуу / Шифрлейли: https://letsencrypt.org/donate
EFFке кайрымдуулук кылуу: https://eff.org/donate-le

SSL сертификатын жаңылоо

Сертификатты узартуу да абдан ыңгайлуу, колдонууcrontabАвто-жаңыртуу.Кээ бир Debianда crontab орнотулган эмес, адегенде аны кол менен орното аласыз.

apt-get install cron

Төмөнкү буйруктар тиешелүүлүгүнө жараша nginx жана apache / etc / crontab Файлга киргизилген буйрук ал ар 10 күн сайын жаңыланып турат жана 90 күндүк жарактуу мөөнөтү жетиштүү дегенди билдирет.

Nginx crontab файлын кошуңуз:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab файлын кошуңуз:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL сертификаты Apache конфигурациясы

Эми биз Apache конфигурациясына өзгөртүүлөрдү киргизишибиз керек.

сунуштар:

• колдонсоңузCWP Башкаруу панели, Домен атын кошуу текшерүүсүндө SSL сертификатын автоматтык түрдө жаратыңыз, ал Apache үчүн SSL сертификатын автоматтык түрдө конфигурациялайт.
• Төмөнкү кадамдардын көбүн аткарсаңыз, Apache кайра иштетилгенден кийин ката пайда болушу мүмкүн.
• Ката болсо, кол менен кошкон конфигурацияңызды жок кылыңыз.

httpd.conf файлын түзөтүңүз ▼

/usr/local/apache/conf/httpd.conf

▼ табуу

Listen 443

• (мурунку комментарий номерин алып салуу #)

же угуу портуна 443 кошуңуз ▼

Listen 443

SSH текшерүү Apache угуу порту ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

▼ табуу

mod_ssl

• (мурунку комментарий номерин алып салуу #)

же кошуу ▼

LoadModule ssl_module modules/mod_ssl.so

▼ табуу

httpd-ssl

• (мурунку комментарий номерин алып салуу #)

Андан кийин, SSH төмөнкү буйрукту аткарыңыз (жолду өзүңүзгө өзгөртүү үчүн эскертиңиз):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Андан кийин, сиз түзгөн веб-сайт үчүн Apache конфигурациясынын аягындаастында.

SSL бөлүмүнүн конфигурация файлын кошуңуз (комментарийди алып салуу жана жолду өзүңүзгө өзгөртүү үчүн эске алыңыз):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Акыр-аягы, ага Apache кайра иштетүү:

service httpd restart

Apache күч HTTP HTTPS багыттоо

• Көптөгөн веб-суроолор ар дайым SSL менен гана иштей алат.
• Биз SSL колдонгон сайын веб-сайтка SSL аркылуу кирүүгө ынанышыбыз керек.
• Эгерде кандайдыр бир колдонуучу веб-сайтка SSL эмес URL менен кирүүгө аракет кылса, ал SSL веб-сайтына багытталышы керек.
• Apache mod_rewrite модулун колдонуп SSL URL дарегине багыттоо.
• LAMP бир чыкылдатуу орнотуу пакетин колдонуу, SSL сертификатын орнотулган автоматтык орнотуу жана HTTPSге мажбурлап багыттоо, HTTPSге кайра багыттооКүчүндө, сизге HTTPS багыттоосун кошуунун кереги жок.

Багыттоо эрежесин кошуңуз

• Apache конфигурация файлында веб-сайттын виртуалдык хостун оңдоп, төмөнкү орнотууларды кошуңуз.
• Сиз ошондой эле .htaccess файлыңыздагы веб-сайтыңыздагы документтин тамырына ошол эле орнотууларды кошо аласыз.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Эгер сиз жөн гана HTTPSге багыттоо үчүн белгилүү бир URL көрсөткүңүз келсе:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Эгер кимдир бирөө кирүүгө аракет кылса билдирүү , барак https'ге секирип кетет жана колдонуучу URL дарегине SSL менен гана кире алат.

.htaccess файлы күчүнө кириши үчүн Apache'ди өчүрүп күйгүзүңүз:

service httpd restart

Коопсуздук чаралары

• Сураныч, жогорудагы электрондук почта дарегин электрондук почта дарегиңизге өзгөртүңүз.
• Сураныч, жогорудагы веб-сайттын домендик аталышын веб-сайтыңыздын домен атына өзгөртүүнү унутпаңыз.

Кайта багыттоо эрежеси жайгашкан жер маселеси

Псевдостатикалык эрежелерге ылайык, кайра багыттоо секирүү эрежелерин жайгаштыруу учурунда сиз адатта жолугасыз http https'ге багыттоо мүмкүн эмес Маселе.

Башында биз багыттоо кодун .htaccessге көчүрдүк жана ал төмөнкү учурларда пайда болот ▼

• [L] учурдагы эреже акыркы эреже экенин көрсөтүп турат, кийинки кайра жазуу эрежелерин талдоону токтотуңуз.
• Ошентип, кайра багытталган макала бетине киргенде, [L] төмөнкү эрежени токтотот, ошондуктан кайра багыттоо эрежеси иштебейт.

http башкы бетине киргенде, биз URL багыттоосун иштеткибиз келет, кайра багыттоо секирүү эрежесин аткаруу үчүн псевдостатикалык эрежени өткөрүп жиберип, ага жетүү үчүнСайт боюнча http багыттоо https .

Https багыттоо эрежелерин киргизбеңиз [L] Эрежелердин астына кой [L] эрежелерден жогору ▼

Андан ары окуу:

• Http менен https ортосунда кандай айырма бар? SSL шифрлөө процессинин деталдуу түшүндүрмөсү
• CWP башкаруу панелине Let's Encrypt SSL сертификатын орноткондон кийин 500 катасы чыксам, эмне кылышым керек?
• www жогорку деңгээлдеги домендик аталышы жок автоматтык түрдө экинчи деңгээлдеги домендик атка өтүңүз: түпкү домендик аталыш 301 www.