Artikel Verzeechnes
Wéi gëlle fir Let's Encrypt?
Loosst eis SSL Zertifikat Prinzip & Installatioun Tutorial verschlësselen
Wat ass SSL?Chen WeiliangAm fréieren Artikel "Wat ass den Ënnerscheed tëscht http vs https? Detailléiert Erklärung vum SSL Verschlësselungsprozess"Et gëtt ernimmt an.
ausser vunE-CommerceD'Websäit muss en fortgeschratt verschlësselte SSL Zertifika kafen an d'Websäit als WeChat benotzenËffentlech Kont Promotiounvunnei MedienLeit, wann Dir en SSL Zertifika installéiere wëllt, kënnt Dir tatsächlech en verschlësselte SSL Zertifika gratis installéieren.Am PrinzipNëtzlech, kann de Ranking vun Websäit Schlësselwieder an Sich Motore verbesseren.

Let's Encrypt selwer huet eng Rei vu Prozesser geschriwwen (https://certbot.eff.org/), benotzenLinuxFrënn, Dir kënnt dësen Tutorial verfollegen wärend Dir op de Prozess referéiert.
Luet als éischt den certbot-auto Tool erof, da lafen d'Installatiounsabhängegkeeten vum Tool aus.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Generéiere SSL Zertifikat
Nächst, matChen WeiliangHuelt de Blog Domain Numm als Beispill, w.e.g. änneren en no Ären eegene Besoinen. SSH leeft déi folgend Kommandoen.
Gitt sécher de Kommando z'änneren an:
- Bréifkëscht
- Server Wee
- Websäit Domain Numm
Eenzel Domän Eenzelverzeechnes, generéiert e Certificat:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Multi-Domain Eenzelverzeechnes, generéiert e Certificat: (dh Multiple Domain Nimm, Eenzelverzeechnes, benotzt datselwecht Zertifika)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
De generéierten SSL Zertifika gëtt gespäichert an:/etc/letsencrypt/live/www.chenweiliang.com/ Ënner Inhalter.
Multiple Domain Nimm a Multiple Verzeichnisser, generéiert e Certificat: (dat ass, Multiple Domain Nimm, Multiple Verzeechnes, benotzt deeselwechten Zertifika)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Nodeems de Let's Encrypt Zertifikat erfollegräich installéiert ass, erschéngt déi folgend Prompt Message op SSH:
WICHTEG NOTÉIERT:
– Gratulatioun Äre Certificat an Chain gespäichert goufen op:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Äre Schlësseldatei gouf gespäichert op:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Äre Certificat leeft op 2018-02-26. Fir en neien oder tweaked ze kréien
Versioun vun dësem Zertifika an Zukunft, einfach certbot-auto lafen
erëm.Fir net-interaktiv *all* Är Certificaten ze erneieren, lafen
"certbot-auto erneieren"
- Wann Dir Certbot gär hutt, iwwerleet w.e.g. eis Aarbecht ze ënnerstëtzen duerch:
Spenden un ISRG / Let's Encrypt: https://letsencrypt.org/donate
Spenden an EFF: https://eff.org/donate-le
SSL Zertifikat Erneierung
Zertifikat Erneierung ass och ganz bequem, benotztcrontabAuto-erneieren.E puer Debian huet crontab net installéiert, Dir kënnt et als éischt manuell installéieren.
apt-get install cron
Déi folgend Kommandoen sinn an nginx respektiv Apache / etc / crontab De Kommando an der Datei aginn heescht datt et all 10 Deeg erneiert gëtt, an eng 90 Deeg Validitéitsperiod ass genuch.
Nginx crontab Datei, füügt w.e.g.:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Apache crontab Datei, füügt w.e.g.:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL Zertifikat Apache Konfiguratioun
Elo musse mir Ännerungen un der Apache Konfiguratioun maachen.
Tipps:
- wann Dir benotztCWP Kontrolléiere Panel, an der Add Domain Name Check Automatesch en SSL Zertifika generéieren, et konfiguréiert automatesch den SSL Zertifikat fir Apache.
- Wann Dir méi vun de folgende Schrëtt maacht, kann e Feeler geschéien nodeems Dir Apache nei starten.
- Wann et e Feeler ass, läscht d'Konfiguratioun déi Dir manuell bäigefüügt hutt.
Änneren d'httpd.conf Datei ▼
/usr/local/apache/conf/httpd.conf
Fannt ▼
Listen 443
- (läscht déi viregt Kommentarnummer #)
oder derbäi lauschteren port 443 ▼
Listen 443
SSH kontrolléiert den Apache Nolauschterport ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Fannt ▼
mod_ssl
- (läscht déi viregt Kommentarnummer #)
oder derbäi ▼
LoadModule ssl_module modules/mod_ssl.so
Fannt ▼
httpd-ssl
- (läscht déi viregt Kommentarnummer #)
Dann, fuert SSH de folgende Kommando aus (Notiz fir de Wee op Ären eegenen ze änneren):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Als nächst, um Enn vun der Apache Konfiguratioun fir d'Websäit déi Dir erstallt huttënner.
Füügt d'Konfiguratiounsdatei vun der SSL Sektioun (Notiz fir de Kommentar ze läschen an de Wee op Ären eegenen z'änneren):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Endlech Apache op et nei starten:
service httpd restart
Apache forcéiere HTTP Viruleedung op HTTPS
- Vill Web Ufroe kënnen ëmmer nëmme mat SSL lafen.
- Mir mussen sécherstellen datt all Kéier wann mir SSL benotzen, d'Websäit muss iwwer SSL zougänglech sinn.
- Wann e Benotzer probéiert op d'Websäit mat enger net-SSL URL ze kommen, muss hien op d'SSL Websäit ëmgeleet ginn.
- Redirect op SSL URL mat Apache mod_rewrite Modul.
- Wéi benotzt LAMP One-Click Installatiounspaket, agebauter automatesch Installatioun vum SSL Zertifika a gezwongen Viruleedung op HTTPS, Viruleedung op HTTPSA Kraaft, Dir braucht net eng HTTPS Viruleedung derbäi.
Füügt Viruleedungsregel
- An der Konfiguratiounsdatei vum Apache, ännert de virtuelle Host vun der Websäit a füügt déi folgend Astellungen derbäi.
- Dir kënnt och déi selwecht Astellunge fir d'Dokumentwurzel op Ärer Websäit an Ärer .htaccess Datei addéieren.
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Wann Dir just eng gewësse URL spezifizéiere wëllt fir op HTTPS ze redirecten:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Wann een probéiert Zougang Message , spréngt d'Säit op https, an de Benotzer kann nëmmen op d'URL mat SSL zougräifen.
Restart Apache fir d'.htaccess-Datei a Kraaft ze huelen:
service httpd restart
Precautiounen
- Ännert w.e.g. déi uewe genannte E-Mailadress op Är E-Mailadress.
- Erënnert w.e.g. den uewe genannte Websäit Domain Numm op Äre Websäit Domain Numm z'änneren.
Viruleedung Regel Standuert Problem
Ënner pseudo-statesch Regelen, wann Dir Viruleedung sprangen Regelen Plaz, Dir begéint normalerweis http kann net op https viruleeden De Problem.
Am Ufank hu mir de Viruleedungscode an .htaccess kopéiert an et erschéngt an de folgende Fäll ▼
![D'Reegel fir d'Ëmleedung [L] ass uewen. D'Reegel fir d'Ëmleedung [L] ass uewen.](https://img.chenweiliang.com/2018/03/https-rule-1.png)
- [L] weist datt déi aktuell Regel déi lescht Regel ass, stoppen d'Analyse vun de folgende Rewrite Regelen.
- Also wann Dir op déi ëmgeleet Artikel Säit zougitt, stoppt [L] déi folgend Regel, sou datt d'Redirectiounsregel net funktionnéiert.
Wann Dir d'http Homepage besicht, wëlle mir eng URL Viruleedung ausléisen, iwwersprangen déi pseudostatesch Regel fir d'Redirection Sprong Regel auszeféieren, sou datt et erreecht ka ginnSite-breet http Viruleedung op https .
Setzt net https Redirect Reegelen an [L] Ënnert de Regelen, setzen [L] iwwer de Regelen ▼
![Déi pseudo-statesch SSL-Ëmleedungsregelen [L] sinn hei ënnendrënner. Déi pseudo-statesch SSL-Ëmleedungsregelen [L] sinn hei ënnendrënner.](https://img.chenweiliang.com/2018/03/pseudo-static-ssl-jump.png)
Verlängert Liesung:
- Wat ass den Ënnerscheed tëscht http vs https? Detailléiert Erklärung vum SSL Verschlësselungsprozess
- Wat soll ech maachen wann ech e Feeler 500 kréien nodeems ech de Let's Encrypt SSL Zertifikat an der CWP Kontrollpanel installéiert hunn?
- Sprangen automatesch op den zweeten Niveau Domain Numm ouni den www Top-Level Domain Numm: de Root Domain Numm 301 redirects www
Hope Chen Weiliang Blog ( https://www.chenweiliang.com/ ) gedeelt "Wéi gëlle fir Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial", wat fir Iech hëllefräich ass.
Wëllkomm de Link vun dësem Artikel ze deelen:https://www.chenweiliang.com/cwl-512.html
