Kā pieteikties Let's Encrypt? Let's Encrypt SSL bezmaksas sertifikāta princips un instalēšanas apmācība

Kā pieteikties Let's Encrypt?

Šifrēsim SSL sertifikāta principu un instalēšanas pamācību

Kas ir SSL?Čens VeiliangsIepriekšējā rakstā "Kāda ir atšķirība starp http un https? Detalizēts SSL šifrēšanas procesa skaidrojums"Tas ir minēts.

izņemotE-komercijaVietnei ir jāiegādājas uzlabots šifrēts SSL sertifikāts un jāizmanto vietne kā WeChatPubliskā konta veicināšanaNojaunie medijiCilvēki, ja vēlaties instalēt SSL sertifikātu, faktiski varat bez maksas instalēt šifrētu SSL sertifikātu.SEONoderīgs, var uzlabot vietņu atslēgvārdu ranžēšanu meklētājprogrammās.

Let's Encrypt pati ir uzrakstījusi procesu kopu (https://certbot.eff.org/), izmantojietLinuxdraugi, varat sekot šai apmācībai, vienlaikus atsaucoties uz procesu.

Vispirms lejupielādējiet rīku certbot-auto, pēc tam palaidiet rīka instalēšanas atkarības.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Ģenerēt SSL sertifikātu

Tālāk, arČens VeiliangsŅemiet par piemēru emuāra domēna nosaukumu, lūdzu, mainiet to atbilstoši savām vajadzībām. SSH izpilda šādas komandas.

Noteikti mainiet komandu:

1. Pastkaste
2. servera ceļš
3. vietnes domēna nosaukums

Viena domēna viens direktorijs, ģenerējiet sertifikātu:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Vairāku domēnu viens direktorijs, ģenerējiet sertifikātu: (ti, vairāki domēna vārdi, viens direktorijs, izmantojiet vienu un to pašu sertifikātu)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Izveidotais SSL sertifikāts tiks saglabāts mapē:/etc/letsencrypt/live/www.chenweiliang.com/ Zem satura.

Vairāki domēnu nosaukumi un vairāki direktoriji, ģenerējiet sertifikātu: (tas ir, vairāki domēna vārdi, vairāki direktoriji, izmantojiet vienu un to pašu sertifikātu)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Kad sertifikāts Let's Encrypt ir veiksmīgi instalēts, SSH tiks parādīts šāds uzvednes ziņojums:

SVARĪGI PIEZĪMES:
– Apsveicam!Jūsu sertifikāts un chain ir saglabāti šeit:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Jūsu atslēgas fails ir saglabāts šeit:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Jūsu sertifikāta derīguma termiņš beigsies 2018. 02. Lai iegūtu jaunu vai pielāgotu
šī sertifikāta versiju, vienkārši palaidiet certbot-auto
Lai neinteraktīvi atjaunotu *visus* sertifikātus, palaidiet
"certbot-auto renew"
- Ja jums patīk Certbot, lūdzu, apsveriet iespēju atbalstīt mūsu darbu:
Ziedošana ISRG / šifrēsim: https://letsencrypt.org/donate
Ziedošana EZF: https://eff.org/donate-le

SSL sertifikāta atjaunošana

Arī sertifikātu atjaunošana ir ļoti ērta, izmantojotcrontabAutomātiska atjaunošana.Dažiem Debian nav instalēts crontab, vispirms varat to instalēt manuāli.

apt-get install cron

Šīs komandas ir attiecīgi nginx un apache / etc / crontab Failā ievadītā komanda nozīmē, ka tā tiek atjaunota ik pēc 10 dienām, un pietiek ar 90 dienu derīguma termiņu.

Nginx crontab failu, lūdzu, pievienojiet:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab failu, lūdzu, pievienojiet:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL sertifikāta Apache konfigurācija

Tagad mums ir jāveic izmaiņas Apache konfigurācijā.

Padomi:

• ja lietojatCWP vadības panelis, izvēles rūtiņā Pievienot domēna nosaukumu Automātiski ģenerēt SSL sertifikātu, tas automātiski konfigurēs Apache SSL sertifikātu.
• Ja veicat vairākas tālāk norādītās darbības, pēc Apache restartēšanas var rasties kļūda.
• Ja rodas kļūda, izdzēsiet manuāli pievienoto konfigurāciju.

Rediģējiet failu httpd.conf ▼

/usr/local/apache/conf/httpd.conf

Atrodi ▼

Listen 443

• (noņemiet iepriekšējā komentāra numuru #)

vai pievienojiet klausīšanās portu 443 ▼

Listen 443

SSH pārbaudiet Apache klausīšanās portu ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Atrodi ▼

mod_ssl

• (noņemiet iepriekšējā komentāra numuru #)

vai pievienot ▼

LoadModule ssl_module modules/mod_ssl.so

Atrodi ▼

httpd-ssl

• (noņemiet iepriekšējā komentāra numuru #)

Pēc tam SSH izpildiet šo komandu (ņemiet vērā, lai mainītu ceļu uz savu):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Pēc tam jūsu izveidotās vietnes Apache konfigurācijas beigāszem.

Pievienojiet sadaļas SSL konfigurācijas failu (ņemiet vērā, lai noņemtu komentāru un mainītu ceļu uz savu):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Visbeidzot restartējiet Apache tajā:

service httpd restart

Apache piespiež HTTP novirzīšanu uz HTTPS

• Daudzus tīmekļa pieprasījumus vienmēr var izpildīt tikai ar SSL.
• Mums ir jāpārliecinās, ka katru reizi, kad mēs izmantojam SSL, vietnei ir jāpiekļūst, izmantojot SSL.
• Ja kāds lietotājs mēģina piekļūt vietnei ar URL, kas nav SSL, viņš ir jānovirza uz SSL vietni.
• Novirzīt uz SSL URL, izmantojot Apache mod_rewrite moduli.
• Piemēram, izmantojot LAMP viena klikšķa instalācijas pakotni, iebūvētu automātisku SSL sertifikāta instalēšanu un piespiedu novirzīšanu uz HTTPS, novirzīšanu uz HTTPSSpēkā, jums nav jāpievieno HTTPS novirzīšana.

Pievienojiet novirzīšanas kārtulu

• Apache konfigurācijas failā rediģējiet vietnes virtuālo resursdatoru un pievienojiet tālāk norādītos iestatījumus.
• Tos pašus iestatījumus varat pievienot arī savas vietnes dokumenta saknei savā .htaccess failā.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ja vēlaties tikai norādīt noteiktu URL, lai novirzītu uz HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Ja kāds mēģina piekļūt ziņa , lapa pāries uz https, un lietotājs var piekļūt tikai vietrādim URL, izmantojot SSL.

Restartējiet Apache, lai .htaccess fails stātos spēkā:

service httpd restart

注意 事项

• Lūdzu, nomainiet iepriekš minēto e-pasta adresi uz savu e-pasta adresi.
• Lūdzu, neaizmirstiet nomainīt iepriekš minēto vietnes domēna nosaukumu uz jūsu vietnes domēna nosaukumu.

Pāradresācijas kārtulas atrašanās vietas problēma

Saskaņā ar pseidostatiskiem noteikumiem, ievietojot novirzīšanas lēciena noteikumus, jūs parasti saskaraties http nevar novirzīt uz https Problēma.

Sākotnēji mēs nokopējām novirzīšanas kodu .htaccess, un tas parādīsies šādos gadījumos ▼

• [L] norāda, ka pašreizējais noteikums ir pēdējais noteikums, pārtrauciet analizēt tālāk norādītos pārrakstīšanas noteikumus.
• Tātad, piekļūstot novirzītā raksta lapai, [L] aptur tālāk norādītos noteikumus, tāpēc novirzīšanas noteikumi nedarbojas.

Apmeklējot http mājaslapu, mēs vēlamies aktivizēt URL novirzīšanu, izlaist pseidostatisko noteikumu, lai izpildītu novirzīšanas lēciena kārtulu, lai to varētu sasniegtVietnes mēroga http novirzīšana uz https .

Neievietojiet https novirzīšanas noteikumus [L] Zem noteikumiem, ielieciet [L] virs noteikumiem ▼

Paplašināta lasīšana:

• Kāda ir atšķirība starp http un https? Detalizēts SSL šifrēšanas procesa skaidrojums
• Kā rīkoties, ja pēc Let's Encrypt SSL sertifikāta instalēšanas CWP vadības panelī tiek parādīta kļūda 500?
• Automātiski pāriet uz otrā līmeņa domēna nosaukumu bez www augstākā līmeņa domēna nosaukuma: saknes domēna nosaukums 301 novirza www.