Ahoana ny fomba fangatahana Let's Encrypt? Andao encrypt SSL Free Certificate Principle & Installation Tutorial

Ahoana ny fomba fangatahana Let's Encrypt?

Andao encrypt SSL Certificate Principle & Installation Tutorial

Inona no atao hoe SSL?Chen WeiliangAo amin'ny lahatsoratra teo aloha "Inona no maha samy hafa ny http sy ny https? Fanazavana amin'ny antsipiriany momba ny fizotran'ny encryption SSL"Voalaza ao amin'ny ".

Ankoatra nyE-commerceHo fanampin'ny fividianana certificat SSL encryption mandroso, ny tranokala dia tsy maintsy ampiasaina amin'ny WeChatFampiroboroboana kaonty ho an'ny daholobenyhaino aman-jery vaovaoRy olona, ​​raha te-hametraka certificat SSL ianao dia azonao atao ny mametraka maimaim-poana certificat SSL miafina, izay tsara ho an'nySEOManampy izany ary afaka manatsara ny laharan'ny teny fanalahidy amin'ny tranokala amin'ny milina fikarohana.

Let's Encrypt mihitsy dia nanoratra andiana dingana (https://certbot.eff.org/), fampiasanaLinuxRy namako, azonao jerena ity dingana ity ary araho ity lesona ity.

Ampidino aloha ny fitaovana certbot-auto, ary avy eo dia tanteraho ireo singa miankina amin'ny fametrahana ilay fitaovana.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Mamorona taratasy fanamarinana SSL

Manaraka, manomboka amin'nyChen WeiliangRaiso ho ohatra ny anaran'ny sehatra bilaogy. Ovay araka izay ilainao azafady ity baiko manaraka ity amin'ny alàlan'ny SSH.

Azafady azafady mba ovaina ny baiko:

1. mailbox
2. Lalana mpizara
3. anaran-tranonkala

Lahatahiry lisitry ny sehatra tokana, mamorona taratasy fanamarinana:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Lahatahiry lisitry ny sehatra maro, mamorona certificat: (izany hoe anaran-tsehatra maromaro, lahatahiry tokana, mampiasa taratasy fanamarinana mitovy)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d iwww.chenweiliang.com/mg

Ny taratasy fanamarinana SSL vokarina dia hotehirizina ao amin'ny:/etc/letsencrypt/live/www.chenweiliang.com/ Eo ambanin'ny atiny.

Anarana sehatra maro sy lahatahiry maro, mamorona taratasy fanamarinana: (izany hoe anarana sehatra maro, lahatahiry maromaro, mampiasa taratasy fanamarinana iray ihany)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d iwww.chenweiliang.com/mg -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Rehefa vita ny fametrahana ny mari-pankasitrahana Let's Encrypt dia hiseho ity hafatra bitsika SSH manaraka ity:

TOROHEVITRA MAHALALA:
– Arahabaina!ain efa voavonjy ao amin'ny:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Voatahiry ao amin'ny:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Ny taratasy fanamarinanao dia ho tapitra amin'ny 2018-02-26. Mba hahazoana vaovao na tweak
dikan'ity taratasy fanamarinana ity amin'ny ho avy, mandehana fotsiny certbot-auto
Raha te hanavao *rehetra* ny mari-pankasitrahana anao ianao dia mandehana
"certbot-auto fanavaozana"
- Raha tianao Certbot, azafady mba diniho ny fanohanana ny asanay amin'ny:
Fanomezana ho an'ny ISRG / Let's Encrypt: https://letsencrypt.org/donate
Fanomezana ho an'ny EFF: https://eff.org/donate-le

Fanavaozana ny fanamarinana SSL

Ny fanavaozana ny certificat koa dia tena mety, ampiasainacrontabManaova fanavaozana mandeha ho azy. Raha toa ka tsy misy crontab napetraka ny Debian sasany dia azonao atao ny mametraka azy amin'ny tanana aloha.

apt-get install cron

Ireto baiko manaraka ireto dia ho an'ny nginx sy apache tsirairay avy. / sns / crontab Ny baiko nampidirina tao amin'ny rakitra dia midika hoe fanavaozana isaky ny 10 andro, ary ampy ny fe-potoana manankery 90 andro.

Ny rakitra crontab Nginx, azafady ampio:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Ny rakitra crontab Apache, azafady ampio:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL Certificate Apache Configuration

Ankehitriny, mila manova ny konfigurasi Apache isika.

Soso-kevitra:

• Raha mampiasa ianaoCWP Control Panel, jereo Mamorona taratasy fanamarinana SSL ho azy rehefa manampy anaram-pirahalahiana, ary ny SSL mari-pankasitrahana Apache dia hamboarina ho azy.
• Raha manao bebe kokoa amin'ireto dingana manaraka ireto ianao, dia mety hisy hadisoana hitranga aorian'ny famerenana ny Apache.
• Raha misy tsy mety dia vonoy ny tefy nampidirinao tanana.

Amboary ny rakitra httpd.conf ▼

/usr/local/apache/conf/httpd.conf

Tadiavo ny ▼

Listen 443

• (Esory ny laharana fanehoan-kevitra teo aloha #)

Na ampio seranan-tsambo fihainoana 443 ▼

Listen 443

SSH jereo ny seranana mihaino Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Tadiavo ny ▼

mod_ssl

• (Esory ny laharana fanehoan-kevitra teo aloha #)

na ampio ▼

LoadModule ssl_module modules/mod_ssl.so

Tadiavo ny ▼

httpd-ssl

• (Esory ny laharana fanehoan-kevitra teo aloha #)

Avy eo, manatanteraka ity baiko manaraka ity ny SSH (mariho raha hanova ny lalana ho anao manokana):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Manaraka, amin'ny fiafaran'ny config Apache ho an'ny tranokala noforoninaoambany.

Ampio ny fisie fanamafisana SSL (mariho hanesorana ny fanehoan-kevitra ary hanova ny lalana ho anao manokana):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Farany, avereno fotsiny ny Apache:

service httpd restart

Apache force HTTP redirect HTTPS

• Ny fangatahana tranonkala maro dia afaka mandeha amin'ny fampiasana SSL ihany.
• Mila mahazo antoka isika fa isaky ny mampiasa SSL isika dia tsy maintsy miditra amin'ny tranokala amin'ny SSL.
• Raha misy mpampiasa manandrana miditra amin'ny tranokala mampiasa URL tsy SSL, dia tsy maintsy averina mankany amin'ny tranokala SSL izy.
• Ampiasao ny maody mod_rewrite Apache mba hivezivezy amin'ny URL SSL.
• Raha mampiasa LAMP ianao mba hametrahana ilay fonosana amin'ny tsindry iray, dia manana fametrahana automatique amin'ny mari-pankasitrahana SSL izy io ary nanery redirection amin'ny HTTPS ary redirection amin'ny HTTPS.Manan-kery, tsy ilaina ny manampy HTTPS redirection.

Ampio fitsipika redirect

• Ao amin'ny rakitra fikirakirana Apache, ovay ny mpampiantrano virtoaly an'ny tranokala ary ampio ireto fanovana manaraka ireto.
• Azonao atao ihany koa ny manampy ireo fanovana mitovy amin'ny fakan'ny antontan-taratasy ao amin'ny tranokalanao amin'ny rakitra .htaccess.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Raha te-hametraka URL iray ihany ianao hamerenana amin'ny HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Raha misy manandrana miditra hafatra , hitsambikina mankany amin'ny https ny pejy, ary mampiasa SSL ihany no azon'ny mpampiasa miditra amin'ny URL.

Avereno indray ny Apache mba hampihatra ny rakitra .htaccess:

service httpd restart

fepetra

• Ovay ho adiresy mailakao manokana ny adiresy mailaka etsy ambony.
• Azafady, tadidio ny manova ny anaran-tranonkala amin'ny tranokalanao amin'ny anaran-tranonkalanao.

Olana momba ny toerana misy ny fitsipika

Eo ambanin'ny fitsipika pseudo-static, rehefa mametraka fitsipika hitsambikina redirection, matetika no hitanao Tsy afaka mitodika any amin'ny https ny http Ny olana.

Tamin'ny voalohany dia nadikay tao amin'ny .htaccess ny code redirect ary hiseho amin'ireto tranga manaraka ireto ▼

• [L] dia manondro fa ny fitsipika ankehitriny no fitsipika farany, atsaharo ny famakafakana ireto fitsipika famerenana manoratra manaraka ireto.
• Noho izany, rehefa miditra amin'ny pejin'ny lahatsoratra navitrika, [L] dia atsahatra ireto fitsipika manaraka ireto, ka tsy mandeha ny fitsipi-dalao.

Rehefa mitsidika ny pejin-tranonkala http isika dia te-hamosika URL redirection, tsidiho ny fitsipika pseudo-static hanatanteraka ny fitsipika hitsambikina redirection, mba ho tratra.Redirect ny http manerana ny tranokala mankany amin'ny https .

Aza asiana fitsipika redirect https [L] Eo ambanin'ny fitsipika, apetraho [L] ambonin'ny fitsipika ▼

Famakiana lavitra:

• Inona no maha samy hafa ny http sy ny https? Fanazavana amin'ny antsipiriany momba ny fizotran'ny encryption SSL
• Inona no tokony hataoko raha mahazo fahadisoana 500 aho rehefa avy nametraka ny mari-pankasitrahana Let's Encrypt SSL ao amin'ny tontonana fanaraha-maso CWP?
• Mitsambikina mandeha ho azy amin'ny anaran-tsehatra faharoa raha tsy misy ny anaran-tsehatra www ambony: ny anaran-tsehatra fototra 301 dia mamindra www