Wéi gëlle mir fir Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial

Wéi gëlle fir Let's Encrypt?

Loosst eis SSL Zertifikat Prinzip & Installatioun Tutorial verschlësselen

Wat ass SSL?Chen WeiliangAm fréieren Artikel "Wat ass den Ënnerscheed tëscht http vs https? Detailléiert Erklärung vum SSL Verschlësselungsprozess"Et gëtt ernimmt an.

ausser vunE-CommerceD'Websäit muss en fortgeschratt verschlësselte SSL Zertifika kafen an d'Websäit als WeChat benotzenËffentlech Kont Promotiounvunnei MedienLeit, wann Dir en SSL Zertifika installéiere wëllt, kënnt Dir tatsächlech en verschlësselte SSL Zertifika gratis installéieren.Am PrinzipNëtzlech, kann de Ranking vun Websäit Schlësselwieder an Sich Motore verbesseren.

Wéi gëlle mir fir Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial

Let's Encrypt selwer huet eng Rei vu Prozesser geschriwwen (https://certbot.eff.org/), benotzenLinuxFrënn, Dir kënnt dësen Tutorial verfollegen wärend Dir op de Prozess referéiert.

Luet als éischt den certbot-auto Tool erof, da lafen d'Installatiounsabhängegkeeten vum Tool aus.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Generéiere SSL Zertifikat

Nächst, matChen WeiliangHuelt de Blog Domain Numm als Beispill, w.e.g. änneren en no Ären eegene Besoinen. SSH leeft déi folgend Kommandoen.

Gitt sécher de Kommando z'änneren an:

  1. Bréifkëscht
  2. Server Wee
  3. Websäit Domain Numm

Eenzel Domän Eenzelverzeechnes, generéiert e Certificat:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Multi-Domain Eenzelverzeechnes, generéiert e Certificat: (dh Multiple Domain Nimm, Eenzelverzeechnes, benotzt datselwecht Zertifika)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

De generéierten SSL Zertifika gëtt gespäichert an:/etc/letsencrypt/live/www.chenweiliang.com/ Ënner Inhalter.


Multiple Domain Nimm a Multiple Verzeichnisser, generéiert e Certificat: (dat ass, Multiple Domain Nimm, Multiple Verzeechnes, benotzt deeselwechten Zertifika)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Nodeems de Let's Encrypt Zertifikat erfollegräich installéiert ass, erschéngt déi folgend Prompt Message op SSH:

WICHTEG NOTÉIERT:
– Gratulatioun Äre Certificat an Chain gespäichert goufen op:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Äre Schlësseldatei gouf gespäichert op:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Äre Certificat leeft op 2018-02-26. Fir en neien oder tweaked ze kréien
Versioun vun dësem Zertifika an Zukunft, einfach certbot-auto lafen
erëm.Fir net-interaktiv *all* Är Certificaten ze erneieren, lafen
"certbot-auto erneieren"
- Wann Dir Certbot gär hutt, iwwerleet w.e.g. eis Aarbecht ze ënnerstëtzen duerch:
Spenden un ISRG / Let's Encrypt: https://letsencrypt.org/donate
Spenden an EFF: https://eff.org/donate-le

SSL Zertifikat Erneierung

Zertifikat Erneierung ass och ganz bequem, benotztcrontabAuto-erneieren.E puer Debian huet crontab net installéiert, Dir kënnt et als éischt manuell installéieren.

apt-get install cron

Déi folgend Kommandoen sinn an nginx respektiv Apache / etc / crontab De Kommando an der Datei aginn heescht datt et all 10 Deeg erneiert gëtt, an eng 90 Deeg Validitéitsperiod ass genuch.

Nginx crontab Datei, füügt w.e.g.:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab Datei, füügt w.e.g.:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL Zertifikat Apache Konfiguratioun

Elo musse mir Ännerungen un der Apache Konfiguratioun maachen.

Tipps:

  • wann Dir benotztCWP Kontrolléiere Panel, an der Add Domain Name Check Automatesch en SSL Zertifika generéieren, et konfiguréiert automatesch den SSL Zertifikat fir Apache.
  • Wann Dir méi vun de folgende Schrëtt maacht, kann e Feeler geschéien nodeems Dir Apache nei starten.
  • Wann et e Feeler ass, läscht d'Konfiguratioun déi Dir manuell bäigefüügt hutt.

Änneren d'httpd.conf Datei ▼

/usr/local/apache/conf/httpd.conf

Fannt ▼

Listen 443
  • (läscht déi viregt Kommentarnummer #)

oder derbäi lauschteren port 443 ▼

Listen 443

SSH kontrolléiert den Apache Nolauschterport ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Fannt ▼

mod_ssl
  • (läscht déi viregt Kommentarnummer #)

oder derbäi ▼

LoadModule ssl_module modules/mod_ssl.so

Fannt ▼

httpd-ssl
  • (läscht déi viregt Kommentarnummer #)

Dann, fuert SSH de folgende Kommando aus (Notiz fir de Wee op Ären eegenen ze änneren):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Als nächst, um Enn vun der Apache Konfiguratioun fir d'Websäit déi Dir erstallt huttënner.

Füügt d'Konfiguratiounsdatei vun der SSL Sektioun (Notiz fir de Kommentar ze läschen an de Wee op Ären eegenen z'änneren):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行)
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Endlech Apache op et nei starten:

service httpd restart

Apache forcéiere HTTP Viruleedung op HTTPS

  • Vill Web Ufroe kënnen ëmmer nëmme mat SSL lafen.
  • Mir mussen sécherstellen datt all Kéier wann mir SSL benotzen, d'Websäit muss iwwer SSL zougänglech sinn.
  • Wann e Benotzer probéiert op d'Websäit mat enger net-SSL URL ze kommen, muss hien op d'SSL Websäit ëmgeleet ginn.
  • Redirect op SSL URL mat Apache mod_rewrite Modul.
  • Wéi benotzt LAMP One-Click Installatiounspaket, agebauter automatesch Installatioun vum SSL Zertifika a gezwongen Viruleedung op HTTPS, Viruleedung op HTTPSA Kraaft, Dir braucht net eng HTTPS Viruleedung derbäi.

Füügt Viruleedungsregel

  • An der Konfiguratiounsdatei vum Apache, ännert de virtuelle Host vun der Websäit a füügt déi folgend Astellungen derbäi.
  • Dir kënnt och déi selwecht Astellunge fir d'Dokumentwurzel op Ärer Websäit an Ärer .htaccess Datei addéieren.
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Wann Dir just eng gewësse URL spezifizéiere wëllt fir op HTTPS ze redirecten:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
  • Wann een probéiert Zougang Message , spréngt d'Säit op https, an de Benotzer kann nëmmen op d'URL mat SSL zougräifen.

Restart Apache fir d'.htaccess-Datei a Kraaft ze huelen:

service httpd restart

Precautiounen

  • Ännert w.e.g. déi uewe genannte E-Mailadress op Är E-Mailadress.
  • Erënnert w.e.g. den uewe genannte Websäit Domain Numm op Äre Websäit Domain Numm z'änneren.

Viruleedung Regel Standuert Problem

Ënner pseudo-statesch Regelen, wann Dir Viruleedung sprangen Regelen Plaz, Dir begéint normalerweis http kann net op https viruleeden De Problem.

Am Ufank hu mir de Viruleedungscode an .htaccess kopéiert an et erschéngt an de folgende Fäll ▼

D'Reegel fir d'Ëmleedung [L] ass uewen.

  • [L] weist datt déi aktuell Regel déi lescht Regel ass, stoppen d'Analyse vun de folgende Rewrite Regelen.
  • Also wann Dir op déi ëmgeleet Artikel Säit zougitt, stoppt [L] déi folgend Regel, sou datt d'Redirectiounsregel net funktionnéiert.

Wann Dir d'http Homepage besicht, wëlle mir eng URL Viruleedung ausléisen, iwwersprangen déi pseudostatesch Regel fir d'Redirection Sprong Regel auszeféieren, sou datt et erreecht ka ginnSite-breet http Viruleedung op https .

Setzt net https Redirect Reegelen an [L] Ënnert de Regelen, setzen [L] iwwer de Regelen ▼

Déi pseudo-statesch SSL-Ëmleedungsregelen [L] sinn hei ënnendrënner.

Verlängert Liesung:

Comments

Är Email Adress gëtt net publizéiert ginn. Néideg Felder gi benotzt * Etikett

Artikel Verzeechnes
Minière zu Top