Директориум за статии
Како да аплицирате за Let's Encrypt?
Ајде да го шифрираме принципот на SSL сертификатот и упатството за инсталација
Што е SSL?Чен ВајлијангВо претходната статија "Која е разликата помеѓу http наспроти https? Детално објаснување за процесот на шифрирање на SSL„Се споменува во“.
одвоен одЕ-трговијаПокрај купувањето на напреден SSL сертификат за шифрирање, веб-локацијата мора да се користи за WeChatПромоција на јавна сметкаоднови медиумиЛуѓе, ако сакате да инсталирате SSL сертификат, всушност можете да инсталирате шифриран SSL сертификат бесплатно, што е добро заОптимизацијаТоа е корисно и може да го подобри рангирањето на клучни зборови на веб-страниците во пребарувачите.
Самиот Let's Encrypt напиша сет на процеси (https://certbot.eff.org/), употребаLinuxПријатели, можете да се повикате на овој процес и да го следите ова упатство.
Прво преземете ја алатката certbot-auto, а потоа стартувајте ги компонентите зависни од инсталацијата на алатката.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Генерирајте SSL сертификат
Следно, започнете соЧен ВајлијангЗемете го како пример името на доменот на блогот. Модифицирајте го според вашите потреби. Извршете ја следнава команда преку SSH.
Не заборавајте да ја измените командата:
- Поштенско сандаче
- Патека на серверот
- име на домен на веб-страница
Директориум со список со еден домен, генерирај сертификат:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Директориум со список со повеќе домени, генерирајте сертификат: (т.е. повеќе имиња на домени, еден директориум, користете ист сертификат)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Генерираниот SSL сертификат ќе се зачува во:/etc/letsencrypt/live/www.chenweiliang.com/
Под содржината.
Повеќе имиња на домени и повеќе директориуми, генерирајте сертификат: (т.е. повеќе имиња на домени, повеќе директориуми, користете ист сертификат)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
По успешно инсталирање на сертификатот Let's Encrypt, ќе се појави следнава промптна порака за SSH:
ВАЖНИ ЗАБЕЛЕШКИ:
– Честитки!Вашата потврда и глain се зачувани на:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Вашата клучна датотека е зачувана на:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Вашиот сертификат ќе истече на 2018. За да добиете нов или изменет
верзија на овој сертификат во иднина, едноставно стартувајте certbot-auto
повторно За неинтерактивно обновување на *сите* сертификати, стартувајте
"certbot-автоматско обновување"
- Ако сакате Certbot, ве молиме размислете за поддршка на нашата работа преку:
Донирање на ISRG / Ајде да шифрираме: https://letsencrypt.org/donate
Донирање на ЕФФ: https://eff.org/donate-le
Обновување на SSL сертификатот
Обновувањето на сертификатот е исто така многу погодно, користетеcrontabИзведете автоматско обновување. Ако некои Debians немаат инсталирано crontab, прво можете да го инсталирате рачно.
apt-get install cron
Следниве команди се за nginx и apache соодветно. / итн / кронтаб Командата внесена во датотеката значи обновување на секои 10 дена, а доволен е период на важност од 90 дена.
Nginx crontab датотека, ве молиме додадете:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Crontab датотеката на Apache, ве молиме додадете:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
Конфигурација на Apache-то на SSL сертификат
Сега, треба да ја измениме конфигурацијата на Apache.
Совети:
- Доколку користитеCWP контролен панел, штиклирајте Автоматски генерирај SSL сертификат кога додавате име на домен и SSL сертификатот Apache ќе биде автоматски конфигуриран.
- Ако направите повеќе од следните чекори, може да се појави грешка по рестартирање на Apache.
- Ако нешто тргне наопаку, избришете ја конфигурацијата што ја додадовте рачно.
Уредете ја датотеката httpd.conf ▼
/usr/local/apache/conf/httpd.conf
Најдете ▼
Listen 443
- (Отстранете го претходниот број на коментар #)
Или додадете порта за слушање 443 ▼
Listen 443
SSH проверете ја портата за слушање на Apache ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Најдете ▼
mod_ssl
- (Отстранете го претходниот број на коментар #)
или додадете ▼
LoadModule ssl_module modules/mod_ssl.so
Најдете ▼
httpd-ssl
- (Отстранете го претходниот број на коментар #)
Потоа, SSH ја изврши следнава команда (забележете да ја смените патеката до вашата):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Следно, на крајот од конфигурацијата на Apache за веб-страницата што ја создадовтепод.
Додајте ја конфигурациската датотека SSL (забележете да ги отстраните коментарите и да ја промените патеката до вашата сопствена):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Конечно, само рестартирајте го Apache:
service httpd restart
Апачи на сила HTTP пренасочува HTTPS
- Многу веб-барања секогаш може да се извршуваат само со SSL.
- Треба да се погрижиме секогаш кога користиме SSL, да пристапиме до веб-страницата преку SSL.
- Ако некој корисник се обиде да пристапи до веб-локацијата користејќи URL што не е SSL, тој мора да биде пренасочен на веб-локацијата SSL.
- Користете го модулот Apache mod_rewrite за пренасочување на SSL URL-адреси.
- Ако користите LAMP за да го инсталирате пакетот со еден клик, тој има вградена автоматска инсталација на SSL сертификати и принудно пренасочување кон HTTPS и пренасочување кон HTTPS.Во сила, нема потреба да се додава пренасочување HTTPS.
Додадете правило за пренасочување
- Во конфигурациската датотека на Apache, уредете го виртуелниот домаќин на веб-страницата и додајте ги следните поставки.
- Можете исто така да ги додадете истите поставки на коренот на документот на вашата веб-локација во датотека .htaccess.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Ако сакате само да наведете одредена URL адреса за пренасочување на HTTPS:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Ако некој се обиде да пристапи порака , страницата ќе скокне на https, а корисниците можат да пристапат до URL-то само со помош на SSL.
Рестартирајте го Apache за да стапи на сила датотеката .htaccess:
service httpd restart
мерки на претпазливост
- Ве молиме сменете ја горната е-адреса на вашата сопствена е-адреса.
- Ве молиме не заборавајте да го промените горенаведеното име на домен на веб-локација во име на домен на вашата веб-локација.
Проблем со локацијата на правилото за пренасочување
Според псевдо-статички правила, кога поставувате правила за пренасочување скок, обично се среќавате http не може да ја пренасочи целата страница на https Проблемот.
Првично го копираме кодот за пренасочување во .htaccess и тој ќе се појави во следните ситуации ▼
- [L] покажува дека тековното правило е последното правило, престанете да анализирате и напишете ги правилата подоцна.
- Затоа, кога пристапувате до страницата со пренасочена статија, [L] ги запира следните правила, така што правилата за пренасочување не можат да работат.
Кога пристапуваме до почетната страница http, сакаме да активираме пренасочување на URL-то и да ги прескокнеме псевдо-статичките правила за да ги извршиме правилата за прескокнување пренасочување за да може да се постигнеЦелиот сајт http се пренасочува на https .
Не ставајте правила за пренасочување https [Л] Според правилата, треба да се стави [Л] Правила погоре ▼
Дополнително читање:
- Која е разликата помеѓу http наспроти https? Детално објаснување за процесот на шифрирање на SSL
- Што треба да направам ако се појави грешка 500 по инсталирањето на Let's Encrypt SSL сертификатот во контролниот панел CWP?
- Автоматски скокајте до името на доменот од второ ниво без името на доменот од највисоко ниво www: името на доменот на коренот 301 го пренасочува www
Блог на Hope Chen Weiliang ( https://www.chenweiliang.com/ ) сподели „Како да аплицирате за Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial“, што ќе ви биде корисно.
Добредојдовте да ја споделите врската од оваа статија:https://www.chenweiliang.com/cwl-512.html
Добредојдовте на Телеграмскиот канал на блогот на Чен Веилијанг за да ги добиете најновите ажурирања!
📚 Овој водич содржи огромна вредност, 🌟Ова е ретка можност, не ја пропуштајте! ⏰⌛💨
Споделете и лајкнете ако ви се допаѓа!
Вашето споделување и лајкови се наша континуирана мотивација!