Katalog artykułów
Jak ubiegać się o Let's Encrypt?
Let's Encrypt SSL Certificate Zasada i samouczek instalacji
Co to jest SSL?Chen WeiliangW poprzednim artykule „Jaka jest różnica między http a https? Szczegółowe wyjaśnienie procesu szyfrowania SSL„Wspomniano o tym w.
除了E-commerceWitryna musi wykupić zaawansowany szyfrowany certyfikat SSL i korzystać z witryny jako WeChatPromocja konta publicznego的nowe mediaLudzie, jeśli chcesz zainstalować certyfikat SSL, możesz zainstalować zaszyfrowany certyfikat SSL za darmo.SEOPomocna, może poprawić ranking słów kluczowych stron internetowych w wyszukiwarkach.
Let's Encrypt sam napisał zestaw procesów (https://certbot.eff.org/),posługiwać sięLinuxprzyjaciele, możesz śledzić ten samouczek, odnosząc się do procesu.
Najpierw pobierz narzędzie certbot-auto, a następnie uruchom zależności instalacyjne narzędzia.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Wygeneruj certyfikat SSL
Następnie zChen WeiliangWeźmy jako przykład nazwę domeny bloga, zmodyfikuj ją zgodnie z własnymi potrzebami.SSH uruchamia następujące polecenia.
Pamiętaj, aby zmodyfikować polecenie w:
- Skrzynka pocztowa
- ścieżka serwera
- nazwa domeny internetowej
Pojedynczy katalog pojedynczej domeny, wygeneruj certyfikat:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Pojedynczy katalog w wielu domenach, wygeneruj certyfikat: (tj. wiele nazw domen, jeden katalog, użyj tego samego certyfikatu)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Wygenerowany certyfikat SSL zostanie zapisany w:/etc/letsencrypt/live/www.chenweiliang.com/
Pod treścią.
Wiele nazw domen i wiele katalogów, wygeneruj certyfikat: (czyli wiele nazw domen, wiele katalogów, użyj tego samego certyfikatu)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Po pomyślnym zainstalowaniu certyfikatu Let's Encrypt monit SSH pojawi się w następujący sposób:
WAŻNE NOTATKI:
– Gratulacje!Twoje świadectwo i chain zostały zapisane w:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Twój plik klucza został zapisany pod adresem:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Twój certyfikat wygaśnie 2018 r. Aby uzyskać nowy lub ulepszony
wersję tego certyfikatu w przyszłości wystarczy uruchomić certbot-auto
Aby nieinteraktywnie odnowić *wszystkie* swoje certyfikaty, uruchom
„Certbot-automatyczne odnawianie”
- Jeśli lubisz Certbot, rozważ wsparcie naszej pracy poprzez:
Darowizna na rzecz ISRG / Let's Encrypt: https://letsencrypt.org/donate
Darowizny na EFF: https://eff.org/donate-le
Odnowienie certyfikatu SSL
Odnawianie certyfikatu jest również bardzo wygodne, przy użyciucrontabAutomatyczne odnawianie.Niektóre Debiany nie mają zainstalowanego crontab, możesz najpierw zainstalować go ręcznie.
apt-get install cron
Następujące polecenia są odpowiednio w nginx i apache / etc / crontab Polecenie wpisane do pliku oznacza, że jest ono odnawiane co 10 dni i wystarczy 90-dniowy okres ważności.
Plik crontab Nginx, proszę dodać:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Plik crontab Apache, proszę dodać:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
Konfiguracja certyfikatu SSL Apache
Teraz musimy dokonać zmian w konfiguracji Apache.
Wskazówki:
- Jeśli użyjeszPanel sterowania CWP, w polu Dodaj nazwę domeny zaznacz Automatycznie wygeneruj certyfikat SSL, automatycznie skonfiguruje certyfikat SSL dla Apache.
- Jeśli wykonasz więcej z poniższych kroków, po ponownym uruchomieniu Apache może wystąpić błąd.
- Jeśli wystąpi błąd, usuń konfigurację dodaną ręcznie.
Edytuj plik httpd.conf ▼
/usr/local/apache/conf/httpd.conf
Znajdź ▼
Listen 443
- (usuń poprzedni numer komentarza #)
lub dodaj port nasłuchiwania 443 ▼
Listen 443
SSH sprawdza port nasłuchiwania Apache ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Znajdź ▼
mod_ssl
- (usuń poprzedni numer komentarza #)
lub dodaj ▼
LoadModule ssl_module modules/mod_ssl.so
Znajdź ▼
httpd-ssl
- (usuń poprzedni numer komentarza #)
Następnie SSH wykonaj następujące polecenie (uwaga, aby zmienić ścieżkę na własną):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Następnie, pod koniec konfiguracji Apache dla utworzonej strony internetowejpod.
Dodaj plik konfiguracyjny sekcji SSL (uwaga, aby usunąć komentarz i zmienić ścieżkę na własną):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Na koniec zrestartuj na nim Apache:
service httpd restart
Apache wymusza przekierowanie HTTP do HTTPS
- Wiele żądań internetowych może zawsze działać tylko z SSL.
- Musimy upewnić się, że za każdym razem, gdy używamy SSL, dostęp do strony internetowej musi odbywać się przez SSL.
- Jeśli jakikolwiek użytkownik próbuje uzyskać dostęp do witryny z adresem URL innym niż SSL, musi zostać przekierowany do witryny SSL.
- Przekieruj do SSL URL za pomocą modułu mod_rewrite Apache.
- W przypadku korzystania z pakietu instalacyjnego LAMP jednym kliknięciem, wbudowana automatyczna instalacja certyfikatu SSL i wymuszone przekierowanie na HTTPS, przekierowanie na HTTPSObowiązujący, nie musisz dodawać przekierowania HTTPS.
Dodaj regułę przekierowania
- W pliku konfiguracyjnym Apache edytuj wirtualnego hosta witryny i dodaj następujące ustawienia.
- Możesz również dodać te same ustawienia do katalogu głównego dokumentu w swojej witrynie w pliku .htaccess.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Jeśli chcesz tylko określić określony adres URL, aby przekierować do HTTPS:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Jeśli ktoś spróbuje uzyskać dostęp wiadomość , strona przejdzie do https, a użytkownik będzie mógł uzyskać dostęp do adresu URL tylko za pomocą SSL.
Zrestartuj Apache, aby plik .htaccess zaczął działać:
service httpd restart
注意 事项
- Zmień powyższy adres e-mail na swój adres e-mail.
- Pamiętaj, aby zmienić powyższą nazwę domeny witryny na nazwę domeny Twojej witryny.
Problem z lokalizacją reguły przekierowania
Zgodnie z regułami pseudostatycznymi, umieszczając reguły przekierowania skoku, zwykle napotkasz http nie może przekierować do https Problem.
Początkowo skopiowaliśmy kod przekierowania do .htaccess i pojawi się on w następujących przypadkach ▼
- [L] wskazuje, że bieżąca reguła jest ostatnią regułą, przestań analizować następujące reguły przepisywania.
- Tak więc podczas uzyskiwania dostępu do przekierowanej strony artykułu [L] zatrzymuje następujące reguły, więc reguły przekierowania nie działają.
Odwiedzając stronę główną http, chcemy wywołać przekierowanie adresu URL, pominąć regułę pseudostatyczną, aby wykonać regułę skoku przekierowania, aby można było to osiągnąćPrzekierowanie http w całej witrynie do https .
Nie umieszczaj reguł przekierowań https w [L] Poniżej zasad umieść [L] powyżej zasad ▼
Rozszerzona lektura:
- Jaka jest różnica między http a https? Szczegółowe wyjaśnienie procesu szyfrowania SSL
- Co mam zrobić, jeśli otrzymam błąd 500 po zainstalowaniu certyfikatu Let's Encrypt SSL w panelu sterowania CWP?
- Automatycznie przejdź do nazwy domeny drugiego poziomu bez nazwy domeny najwyższego poziomu www: nazwa domeny głównej 301 przekierowuje www
Nadzieja Chen Weiliang Blog ( https://www.chenweiliang.com/ ) udostępnił „Jak ubiegać się o Let's Encrypt? Let's Encrypt SSL Free Certificate Zasady i samouczek instalacji”, który jest dla Ciebie pomocny.
Zapraszamy do udostępnienia linku do tego artykułu:https://www.chenweiliang.com/cwl-512.html
Witamy na kanale Telegram bloga Chen Weiliang, aby uzyskać najnowsze aktualizacje!
📚 Ten przewodnik zawiera ogromną wartość, 🌟To rzadka okazja, nie przegap jej! ⏰⌛💨
Udostępnij i polub, jeśli chcesz!
Twoje udostępnianie i polubienia to nasza ciągła motywacja!