Let's Encrypt aanvragen? Let's Encrypt SSL Gratis certificaatprincipe & installatiehandleiding

Hoe kunt u Let's Encrypt aanvragen?

Laten we SSL-certificaatprincipe en installatiehandleiding versleutelen

Wat is SSL?Chen WeiliangIn het vorige artikel "Wat is het verschil tussen http versus https? Gedetailleerde uitleg van het SSL-coderingsproces"Het wordt vermeld in.

除了E-commerceDe website moet een geavanceerd versleuteld SSL-certificaat aanschaffen en de website gebruiken als WeChatPromotie voor openbare accounts的nieuwe mediaMensen, als je een SSL-certificaat wilt installeren, kun je eigenlijk gratis een versleuteld SSL-certificaat installeren.SEONuttig, kan de positie van websitezoekwoorden in zoekmachines verbeteren.

Let's Encrypt heeft zelf een reeks processen geschreven (https://certbot.eff.org/),gebruikLinuxvrienden, je kunt deze tutorial volgen terwijl je naar het proces verwijst.

Download eerst het hulpprogramma certbot-auto en voer vervolgens de installatie-afhankelijkheden van het hulpprogramma uit.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

SSL-certificaat genereren

Volgende, metChen WeiliangNeem de blog-domeinnaam als voorbeeld, pas deze naar eigen behoefte aan. SSH voert de volgende commando's uit.

Zorg ervoor dat u de opdracht wijzigt in:

1. 邮箱
2. serverpad
3. website domeinnaam

Enkele domein enkele map, genereer een certificaat:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Meerdere domeinen enkele directory, genereer een certificaat: (dwz meerdere domeinnamen, enkele directory, gebruik hetzelfde certificaat)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Het gegenereerde SSL-certificaat wordt opgeslagen in:/etc/letsencrypt/live/www.chenweiliang.com/ Onder inhoud.

Meerdere domeinnamen en meerdere mappen, een certificaat genereren: (dat wil zeggen, meerdere domeinnamen, meerdere mappen, hetzelfde certificaat gebruiken)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Nadat het Let's Encrypt-certificaat met succes is geïnstalleerd, verschijnt het volgende promptbericht in SSH:

BELANGRIJKE OPMERKINGEN:
– Gefeliciteerd! Je certificaat en chain zijn opgeslagen bij:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Uw sleutelbestand is opgeslagen op:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Je certificaat verloopt op 2018-02-26. Om een ​​nieuwe of aangepaste
versie van dit certificaat in de toekomst, voer gewoon certbot-auto . uit
Om *al* uw certificaten niet-interactief te vernieuwen, voert u
"certbot-automatisch verlengen"
- Als u Certbot leuk vindt, overweeg dan om ons werk te ondersteunen door:
Doneren aan ISRG / Let's Encrypt: https://letsencrypt.org/donate
Doneren aan EFF: https://eff.org/donate-le

SSL Certificaat Vernieuwing

Certificaatvernieuwing is ook erg handig, met behulp vancrontabAutomatisch vernieuwen.Sommige Debian hebben geen crontab geïnstalleerd, je kunt het eerst handmatig installeren.

apt-get install cron

De volgende commando's zijn respectievelijk in nginx en apache: / Etc / crontab De opdracht die in het bestand is ingevoerd, betekent dat deze elke 10 dagen wordt vernieuwd en dat een geldigheidsduur van 90 dagen voldoende is.

Nginx crontab-bestand, voeg toe:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab-bestand, voeg toe:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL-certificaat Apache-configuratie

Nu moeten we wijzigingen aanbrengen in de Apache-configuratie.

tips:

• als je gebruiktCWP-configuratiescherm, in het selectievakje Domeinnaam toevoegen Automatisch een SSL-certificaat genereren, wordt het SSL-certificaat voor Apache automatisch geconfigureerd.
• Als u meer van de volgende stappen uitvoert, kan er een fout optreden na het opnieuw opstarten van Apache.
• Als er een fout is, verwijdert u de configuratie die u handmatig hebt toegevoegd.

Bewerk het httpd.conf-bestand ▼

/usr/local/apache/conf/httpd.conf

. vinden

Listen 443

• (verwijder het voorgaande commentaarnummer #)

of voeg luisterpoort 443 toe ▼

Listen 443

SSH check Apache luisterpoort ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

. vinden

mod_ssl

• (verwijder het voorgaande commentaarnummer #)

of voeg . toe

LoadModule ssl_module modules/mod_ssl.so

. vinden

httpd-ssl

• (verwijder het voorgaande commentaarnummer #)

Voer vervolgens de volgende opdracht uit door SSH (merk op dat u het pad naar uw eigen pad moet wijzigen):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Vervolgens aan het einde van de Apache-configuratie voor de website die u hebt gemaaktonder.

Voeg het configuratiebestand van de SSL-sectie toe (let op om de opmerking te verwijderen en verander het pad naar uw eigen pad):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Herstart ten slotte Apache erop:

service httpd restart

Apache forceert HTTP-omleiding naar HTTPS

• Veel webverzoeken kunnen altijd alleen met SSL worden uitgevoerd.
• We moeten ervoor zorgen dat elke keer dat we SSL gebruiken, de website toegankelijk moet zijn via SSL.
• Als een gebruiker toegang probeert te krijgen tot de website met een niet-SSL-URL, moet hij worden doorgestuurd naar de SSL-website.
• Omleiden naar SSL-URL met behulp van de Apache mod_rewrite-module.
• Als u LAMP-installatiepakket met één klik gebruikt, ingebouwde automatische installatie van SSL-certificaat en geforceerde omleiding naar HTTPS, omleiding naar HTTPSVan kracht, hoeft u geen HTTPS-omleiding toe te voegen.

Omleidingsregel toevoegen

• Bewerk in het configuratiebestand van Apache de virtuele host van de website en voeg de volgende instellingen toe.
• U kunt dezelfde instellingen ook toevoegen aan de documentroot op uw website in uw .htaccess-bestand.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Als u alleen een bepaalde URL wilt opgeven om naar HTTPS om te leiden:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Als iemand probeert toegang te krijgen Bericht , springt de pagina naar https en heeft de gebruiker alleen toegang tot de URL met SSL.

Start Apache opnieuw om het .htaccess-bestand van kracht te laten worden:

service httpd restart

注意 事项

• Wijzig het bovenstaande e-mailadres in uw e-mailadres.
• Vergeet niet om de bovenstaande website-domeinnaam te wijzigen in uw website-domeinnaam.

Locatieprobleem met omleidingsregel

Onder pseudo-statische regels, bij het plaatsen van omleidingssprongregels, kom je meestal http kan niet doorverwijzen naar https Het probleem.

In eerste instantie hebben we de omleidingscode gekopieerd naar .htaccess en deze zal in de volgende gevallen verschijnen ▼

• [L] geeft aan dat de huidige regel de laatste regel is, stop met het analyseren van de volgende herschrijfregels.
• Dus bij het openen van de omgeleide artikelpagina, stopt [L] de volgende regel, dus de omleidingsregel werkt niet.

Wanneer we de http-startpagina bezoeken, willen we een URL-omleiding activeren, de pseudo-statische regel overslaan om de omleidingssprongregel uit te voeren, zodat dit kan worden bereiktSite-brede http-omleiding naar https .

Zet geen https-omleidingsregels in [L] Zet onder de regels [L] boven de regels

Uitgebreide lezing:

• Wat is het verschil tussen http versus https? Gedetailleerde uitleg van het SSL-coderingsproces
• Wat moet ik doen als ik een foutmelding 500 krijg na het installeren van het Let's Encrypt SSL-certificaat in het CWP-configuratiescherm?
• Automatisch naar de second-level domeinnaam springen zonder de www-top-level domeinnaam: de root-domeinnaam 301 leidt www door