Како да аплицирате за Let's Encrypt?

Како да аплицирате за Let's Encrypt?

Ајде да го шифрираме принципот на SSL сертификатот и упатството за инсталација

Што е SSL?Чен ВајлијангВо претходната статија "Која е разликата помеѓу http наспроти https? Детално објаснување за процесот на шифрирање на SSL„Се споменува во“.

одвоен одЕ-трговијаПокрај купувањето на напреден SSL сертификат за шифрирање, веб-локацијата мора да се користи за WeChatПромоција на јавна сметкаоднови медиумиЛуѓе, ако сакате да инсталирате SSL сертификат, всушност можете да инсталирате шифриран SSL сертификат бесплатно, што е добро заОптимизацијаТоа е корисно и може да го подобри рангирањето на клучни зборови на веб-страниците во пребарувачите.

Самиот Let's Encrypt напиша сет на процеси (https://certbot.eff.org/), употребаLinuxПријатели, можете да се повикате на овој процес и да го следите ова упатство.

Прво преземете ја алатката certbot-auto, а потоа стартувајте ги компонентите зависни од инсталацијата на алатката.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Генерирајте SSL сертификат

Следно, започнете соЧен ВајлијангЗемете го како пример името на доменот на блогот. Модифицирајте го според вашите потреби. Извршете ја следнава команда преку SSH.

Не заборавајте да ја измените командата:

1. Поштенско сандаче
2. Патека на серверот
3. име на домен на веб-страница

Директориум со список со еден домен, генерирај сертификат:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Директориум со список со повеќе домени, генерирајте сертификат: (т.е. повеќе имиња на домени, еден директориум, користете ист сертификат)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Генерираниот SSL сертификат ќе се зачува во:/etc/letsencrypt/live/www.chenweiliang.com/ Под содржината.

Повеќе имиња на домени и повеќе директориуми, генерирајте сертификат: (т.е. повеќе имиња на домени, повеќе директориуми, користете ист сертификат)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

По успешно инсталирање на сертификатот Let's Encrypt, ќе се појави следнава промптна порака за SSH:

ВАЖНИ ЗАБЕЛЕШКИ:
– Честитки!Вашата потврда и глain се зачувани на:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Вашата клучна датотека е зачувана на:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Вашиот сертификат ќе истече на 2018. За да добиете нов или изменет
верзија на овој сертификат во иднина, едноставно стартувајте certbot-auto
повторно За неинтерактивно обновување на *сите* сертификати, стартувајте
"certbot-автоматско обновување"
- Ако сакате Certbot, ве молиме размислете за поддршка на нашата работа преку:
Донирање на ISRG / Ајде да шифрираме: https://letsencrypt.org/donate
Донирање на ЕФФ: https://eff.org/donate-le

Обновување на SSL сертификатот

Обновувањето на сертификатот е исто така многу погодно, користетеcrontabИзведете автоматско обновување. Ако некои Debians немаат инсталирано crontab, прво можете да го инсталирате рачно.

apt-get install cron

Следниве команди се за nginx и apache соодветно. / итн / кронтаб Командата внесена во датотеката значи обновување на секои 10 дена, а доволен е период на важност од 90 дена.

Nginx crontab датотека, ве молиме додадете:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Crontab датотеката на Apache, ве молиме додадете:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

Конфигурација на Apache-то на SSL сертификат

Сега, треба да ја измениме конфигурацијата на Apache.

Совети:

• Доколку користитеCWP контролен панел, штиклирајте Автоматски генерирај SSL сертификат кога додавате име на домен и SSL сертификатот Apache ќе биде автоматски конфигуриран.
• Ако направите повеќе од следните чекори, може да се појави грешка по рестартирање на Apache.
• Ако нешто тргне наопаку, избришете ја конфигурацијата што ја додадовте рачно.

Уредете ја датотеката httpd.conf ▼

/usr/local/apache/conf/httpd.conf

Најдете ▼

Listen 443

• (Отстранете го претходниот број на коментар #)

Или додадете порта за слушање 443 ▼

Listen 443

SSH проверете ја портата за слушање на Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Најдете ▼

mod_ssl

• (Отстранете го претходниот број на коментар #)

или додадете ▼

LoadModule ssl_module modules/mod_ssl.so

Најдете ▼

httpd-ssl

• (Отстранете го претходниот број на коментар #)

Потоа, SSH ја изврши следнава команда (забележете да ја смените патеката до вашата):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Следно, на крајот од конфигурацијата на Apache за веб-страницата што ја создадовтепод.

Додајте ја конфигурациската датотека SSL (забележете да ги отстраните коментарите и да ја промените патеката до вашата сопствена):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Конечно, само рестартирајте го Apache:

service httpd restart

Апачи на сила HTTP пренасочува HTTPS

• Многу веб-барања секогаш може да се извршуваат само со SSL.
• Треба да се погрижиме секогаш кога користиме SSL, да пристапиме до веб-страницата преку SSL.
• Ако некој корисник се обиде да пристапи до веб-локацијата користејќи URL што не е SSL, тој мора да биде пренасочен на веб-локацијата SSL.
• Користете го модулот Apache mod_rewrite за пренасочување на SSL URL-адреси.
• Ако користите LAMP за да го инсталирате пакетот со еден клик, тој има вградена автоматска инсталација на SSL сертификати и принудно пренасочување кон HTTPS и пренасочување кон HTTPS.Во сила, нема потреба да се додава пренасочување HTTPS.

Додадете правило за пренасочување

• Во конфигурациската датотека на Apache, уредете го виртуелниот домаќин на веб-страницата и додајте ги следните поставки.
• Можете исто така да ги додадете истите поставки на коренот на документот на вашата веб-локација во датотека .htaccess.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ако сакате само да наведете одредена URL адреса за пренасочување на HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Ако некој се обиде да пристапи порака , страницата ќе скокне на https, а корисниците можат да пристапат до URL-то само со помош на SSL.

Рестартирајте го Apache за да стапи на сила датотеката .htaccess:

service httpd restart

мерки на претпазливост

• Ве молиме сменете ја горната е-адреса на вашата сопствена е-адреса.
• Ве молиме не заборавајте да го промените горенаведеното име на домен на веб-локација во име на домен на вашата веб-локација.

Проблем со локацијата на правилото за пренасочување

Според псевдо-статички правила, кога поставувате правила за пренасочување скок, обично се среќавате http не може да ја пренасочи целата страница на https Проблемот.

Првично го копираме кодот за пренасочување во .htaccess и тој ќе се појави во следните ситуации ▼

• [L] покажува дека тековното правило е последното правило, престанете да анализирате и напишете ги правилата подоцна.
• Затоа, кога пристапувате до страницата со пренасочена статија, [L] ги запира следните правила, така што правилата за пренасочување не можат да работат.

Кога пристапуваме до почетната страница http, сакаме да активираме пренасочување на URL-то и да ги прескокнеме псевдо-статичките правила за да ги извршиме правилата за прескокнување пренасочување за да може да се постигнеЦелиот сајт http се пренасочува на https .

Не ставајте правила за пренасочување https [Л] Според правилата, треба да се стави [Л] Правила погоре ▼

Дополнително читање:

• Која е разликата помеѓу http наспроти https? Детално објаснување за процесот на шифрирање на SSL
• Што треба да направам ако се појави грешка 500 по инсталирањето на Let's Encrypt SSL сертификатот во контролниот панел CWP?
• Автоматски скокајте до името на доменот од второ ниво без името на доменот од највисоко ниво www: името на доменот на коренот 301 го пренасочува www