Rakstu katalogs
Kā pieteikties Let's Encrypt?
Šifrēsim SSL sertifikāta principu un instalēšanas pamācību
Kas ir SSL?Čens VeiliangsIepriekšējā rakstā "Kāda ir atšķirība starp http un https? Detalizēts SSL šifrēšanas procesa skaidrojums"Tas ir minēts.
izņemotE-komercijaVietnei ir jāiegādājas uzlabots šifrēts SSL sertifikāts un jāizmanto vietne kā WeChatPubliskā konta veicināšanaNojaunie medijiCilvēki, ja vēlaties instalēt SSL sertifikātu, faktiski varat bez maksas instalēt šifrētu SSL sertifikātu.SEONoderīgs, var uzlabot vietņu atslēgvārdu ranžēšanu meklētājprogrammās.
Let's Encrypt pati ir uzrakstījusi procesu kopu (https://certbot.eff.org/), izmantojietLinuxdraugi, varat sekot šai apmācībai, vienlaikus atsaucoties uz procesu.
Vispirms lejupielādējiet rīku certbot-auto, pēc tam palaidiet rīka instalēšanas atkarības.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Ģenerēt SSL sertifikātu
Tālāk, arČens VeiliangsŅemiet par piemēru emuāra domēna nosaukumu, lūdzu, mainiet to atbilstoši savām vajadzībām. SSH izpilda šādas komandas.
Noteikti mainiet komandu:
- Pastkaste
- servera ceļš
- vietnes domēna nosaukums
Viena domēna viens direktorijs, ģenerējiet sertifikātu:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Vairāku domēnu viens direktorijs, ģenerējiet sertifikātu: (ti, vairāki domēna vārdi, viens direktorijs, izmantojiet vienu un to pašu sertifikātu)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Izveidotais SSL sertifikāts tiks saglabāts mapē:/etc/letsencrypt/live/www.chenweiliang.com/
Zem satura.
Vairāki domēnu nosaukumi un vairāki direktoriji, ģenerējiet sertifikātu: (tas ir, vairāki domēna vārdi, vairāki direktoriji, izmantojiet vienu un to pašu sertifikātu)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Kad sertifikāts Let's Encrypt ir veiksmīgi instalēts, SSH tiks parādīts šāds uzvednes ziņojums:
SVARĪGI PIEZĪMES:
– Apsveicam!Jūsu sertifikāts un chain ir saglabāti šeit:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Jūsu atslēgas fails ir saglabāts šeit:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Jūsu sertifikāta derīguma termiņš beigsies 2018. 02. Lai iegūtu jaunu vai pielāgotu
šī sertifikāta versiju, vienkārši palaidiet certbot-auto
Lai neinteraktīvi atjaunotu *visus* sertifikātus, palaidiet
"certbot-auto renew"
- Ja jums patīk Certbot, lūdzu, apsveriet iespēju atbalstīt mūsu darbu:
Ziedošana ISRG / šifrēsim: https://letsencrypt.org/donate
Ziedošana EZF: https://eff.org/donate-le
SSL sertifikāta atjaunošana
Arī sertifikātu atjaunošana ir ļoti ērta, izmantojotcrontabAutomātiska atjaunošana.Dažiem Debian nav instalēts crontab, vispirms varat to instalēt manuāli.
apt-get install cron
Šīs komandas ir attiecīgi nginx un apache / etc / crontab Failā ievadītā komanda nozīmē, ka tā tiek atjaunota ik pēc 10 dienām, un pietiek ar 90 dienu derīguma termiņu.
Nginx crontab failu, lūdzu, pievienojiet:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Apache crontab failu, lūdzu, pievienojiet:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL sertifikāta Apache konfigurācija
Tagad mums ir jāveic izmaiņas Apache konfigurācijā.
Padomi:
- ja lietojatCWP vadības panelis, izvēles rūtiņā Pievienot domēna nosaukumu Automātiski ģenerēt SSL sertifikātu, tas automātiski konfigurēs Apache SSL sertifikātu.
- Ja veicat vairākas tālāk norādītās darbības, pēc Apache restartēšanas var rasties kļūda.
- Ja rodas kļūda, izdzēsiet manuāli pievienoto konfigurāciju.
Rediģējiet failu httpd.conf ▼
/usr/local/apache/conf/httpd.conf
Atrodi ▼
Listen 443
- (noņemiet iepriekšējā komentāra numuru #)
vai pievienojiet klausīšanās portu 443 ▼
Listen 443
SSH pārbaudiet Apache klausīšanās portu ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Atrodi ▼
mod_ssl
- (noņemiet iepriekšējā komentāra numuru #)
vai pievienot ▼
LoadModule ssl_module modules/mod_ssl.so
Atrodi ▼
httpd-ssl
- (noņemiet iepriekšējā komentāra numuru #)
Pēc tam SSH izpildiet šo komandu (ņemiet vērā, lai mainītu ceļu uz savu):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Pēc tam jūsu izveidotās vietnes Apache konfigurācijas beigāszem.
Pievienojiet sadaļas SSL konfigurācijas failu (ņemiet vērā, lai noņemtu komentāru un mainītu ceļu uz savu):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Visbeidzot restartējiet Apache tajā:
service httpd restart
Apache piespiež HTTP novirzīšanu uz HTTPS
- Daudzus tīmekļa pieprasījumus vienmēr var izpildīt tikai ar SSL.
- Mums ir jāpārliecinās, ka katru reizi, kad mēs izmantojam SSL, vietnei ir jāpiekļūst, izmantojot SSL.
- Ja kāds lietotājs mēģina piekļūt vietnei ar URL, kas nav SSL, viņš ir jānovirza uz SSL vietni.
- Novirzīt uz SSL URL, izmantojot Apache mod_rewrite moduli.
- Piemēram, izmantojot LAMP viena klikšķa instalācijas pakotni, iebūvētu automātisku SSL sertifikāta instalēšanu un piespiedu novirzīšanu uz HTTPS, novirzīšanu uz HTTPSSpēkā, jums nav jāpievieno HTTPS novirzīšana.
Pievienojiet novirzīšanas kārtulu
- Apache konfigurācijas failā rediģējiet vietnes virtuālo resursdatoru un pievienojiet tālāk norādītos iestatījumus.
- Tos pašus iestatījumus varat pievienot arī savas vietnes dokumenta saknei savā .htaccess failā.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Ja vēlaties tikai norādīt noteiktu URL, lai novirzītu uz HTTPS:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Ja kāds mēģina piekļūt ziņa , lapa pāries uz https, un lietotājs var piekļūt tikai vietrādim URL, izmantojot SSL.
Restartējiet Apache, lai .htaccess fails stātos spēkā:
service httpd restart
注意 事项
- Lūdzu, nomainiet iepriekš minēto e-pasta adresi uz savu e-pasta adresi.
- Lūdzu, neaizmirstiet nomainīt iepriekš minēto vietnes domēna nosaukumu uz jūsu vietnes domēna nosaukumu.
Pāradresācijas kārtulas atrašanās vietas problēma
Saskaņā ar pseidostatiskiem noteikumiem, ievietojot novirzīšanas lēciena noteikumus, jūs parasti saskaraties http nevar novirzīt uz https Problēma.
Sākotnēji mēs nokopējām novirzīšanas kodu .htaccess, un tas parādīsies šādos gadījumos ▼
- [L] norāda, ka pašreizējais noteikums ir pēdējais noteikums, pārtrauciet analizēt tālāk norādītos pārrakstīšanas noteikumus.
- Tātad, piekļūstot novirzītā raksta lapai, [L] aptur tālāk norādītos noteikumus, tāpēc novirzīšanas noteikumi nedarbojas.
Apmeklējot http mājaslapu, mēs vēlamies aktivizēt URL novirzīšanu, izlaist pseidostatisko noteikumu, lai izpildītu novirzīšanas lēciena kārtulu, lai to varētu sasniegtVietnes mēroga http novirzīšana uz https .
Neievietojiet https novirzīšanas noteikumus [L] Zem noteikumiem, ielieciet [L] virs noteikumiem ▼
Paplašināta lasīšana:
- Kāda ir atšķirība starp http un https? Detalizēts SSL šifrēšanas procesa skaidrojums
- Kā rīkoties, ja pēc Let's Encrypt SSL sertifikāta instalēšanas CWP vadības panelī tiek parādīta kļūda 500?
- Automātiski pāriet uz otrā līmeņa domēna nosaukumu bez www augstākā līmeņa domēna nosaukuma: saknes domēna nosaukums 301 novirza www.
Hope Chen Weiliang emuārs ( https://www.chenweiliang.com/ ) koplietots "Kā pieteikties Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial", kas jums noder.
Laipni lūdzam kopīgot šī raksta saiti:https://www.chenweiliang.com/cwl-512.html
Laipni lūdzam Chen Weiliang emuāra Telegram kanālā, lai saņemtu jaunākos atjauninājumus!
📚 Šajā rokasgrāmatā ir milzīga vērtība, 🌟Šī ir reta iespēja, nepalaidiet to garām! ⏰⌛💨
Dalies un patīk, ja patīk!
Jūsu kopīgošana un atzīmes Patīk ir mūsu nepārtraukta motivācija!