Jak złożyć wniosek o Let's Encrypt? Let's Encrypt SSL Free Certificate Zasady i samouczek instalacji

Jak ubiegać się o Let's Encrypt?

Let's Encrypt SSL Certificate Zasada i samouczek instalacji

Co to jest SSL?Chen WeiliangW poprzednim artykule „Jaka jest różnica między http a https? Szczegółowe wyjaśnienie procesu szyfrowania SSL„Wspomniano o tym w.

除了E-commerceWitryna musi wykupić zaawansowany szyfrowany certyfikat SSL i korzystać z witryny jako WeChatPromocja konta publicznego的nowe mediaLudzie, jeśli chcesz zainstalować certyfikat SSL, możesz zainstalować zaszyfrowany certyfikat SSL za darmo.SEOPomocna, może poprawić ranking słów kluczowych stron internetowych w wyszukiwarkach.

Let's Encrypt sam napisał zestaw procesów (https://certbot.eff.org/),posługiwać sięLinuxprzyjaciele, możesz śledzić ten samouczek, odnosząc się do procesu.

Najpierw pobierz narzędzie certbot-auto, a następnie uruchom zależności instalacyjne narzędzia.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Wygeneruj certyfikat SSL

Następnie zChen WeiliangWeźmy jako przykład nazwę domeny bloga, zmodyfikuj ją zgodnie z własnymi potrzebami.SSH uruchamia następujące polecenia.

Pamiętaj, aby zmodyfikować polecenie w:

1. Skrzynka pocztowa
2. ścieżka serwera
3. nazwa domeny internetowej

Pojedynczy katalog pojedynczej domeny, wygeneruj certyfikat:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Pojedynczy katalog w wielu domenach, wygeneruj certyfikat: (tj. wiele nazw domen, jeden katalog, użyj tego samego certyfikatu)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Wygenerowany certyfikat SSL zostanie zapisany w:/etc/letsencrypt/live/www.chenweiliang.com/ Pod treścią.

Wiele nazw domen i wiele katalogów, wygeneruj certyfikat: (czyli wiele nazw domen, wiele katalogów, użyj tego samego certyfikatu)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Po pomyślnym zainstalowaniu certyfikatu Let's Encrypt monit SSH pojawi się w następujący sposób:

WAŻNE NOTATKI:
– Gratulacje!Twoje świadectwo i chain zostały zapisane w:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Twój plik klucza został zapisany pod adresem:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Twój certyfikat wygaśnie 2018 r. Aby uzyskać nowy lub ulepszony
wersję tego certyfikatu w przyszłości wystarczy uruchomić certbot-auto
Aby nieinteraktywnie odnowić *wszystkie* swoje certyfikaty, uruchom
„Certbot-automatyczne odnawianie”
- Jeśli lubisz Certbot, rozważ wsparcie naszej pracy poprzez:
Darowizna na rzecz ISRG / Let's Encrypt: https://letsencrypt.org/donate
Darowizny na EFF: https://eff.org/donate-le

Odnowienie certyfikatu SSL

Odnawianie certyfikatu jest również bardzo wygodne, przy użyciucrontabAutomatyczne odnawianie.Niektóre Debiany nie mają zainstalowanego crontab, możesz najpierw zainstalować go ręcznie.

apt-get install cron

Następujące polecenia są odpowiednio w nginx i apache / etc / crontab Polecenie wpisane do pliku oznacza, że ​​jest ono odnawiane co 10 dni i wystarczy 90-dniowy okres ważności.

Plik crontab Nginx, proszę dodać:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Plik crontab Apache, proszę dodać:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

Konfiguracja certyfikatu SSL Apache

Teraz musimy dokonać zmian w konfiguracji Apache.

Wskazówki:

• Jeśli użyjeszPanel sterowania CWP, w polu Dodaj nazwę domeny zaznacz Automatycznie wygeneruj certyfikat SSL, automatycznie skonfiguruje certyfikat SSL dla Apache.
• Jeśli wykonasz więcej z poniższych kroków, po ponownym uruchomieniu Apache może wystąpić błąd.
• Jeśli wystąpi błąd, usuń konfigurację dodaną ręcznie.

Edytuj plik httpd.conf ▼

/usr/local/apache/conf/httpd.conf

Znajdź ▼

Listen 443

• (usuń poprzedni numer komentarza #)

lub dodaj port nasłuchiwania 443 ▼

Listen 443

SSH sprawdza port nasłuchiwania Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Znajdź ▼

mod_ssl

• (usuń poprzedni numer komentarza #)

lub dodaj ▼

LoadModule ssl_module modules/mod_ssl.so

Znajdź ▼

httpd-ssl

• (usuń poprzedni numer komentarza #)

Następnie SSH wykonaj następujące polecenie (uwaga, aby zmienić ścieżkę na własną):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Następnie, pod koniec konfiguracji Apache dla utworzonej strony internetowejpod.

Dodaj plik konfiguracyjny sekcji SSL (uwaga, aby usunąć komentarz i zmienić ścieżkę na własną):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Na koniec zrestartuj na nim Apache:

service httpd restart

Apache wymusza przekierowanie HTTP do HTTPS

• Wiele żądań internetowych może zawsze działać tylko z SSL.
• Musimy upewnić się, że za każdym razem, gdy używamy SSL, dostęp do strony internetowej musi odbywać się przez SSL.
• Jeśli jakikolwiek użytkownik próbuje uzyskać dostęp do witryny z adresem URL innym niż SSL, musi zostać przekierowany do witryny SSL.
• Przekieruj do SSL URL za pomocą modułu mod_rewrite Apache.
• W przypadku korzystania z pakietu instalacyjnego LAMP jednym kliknięciem, wbudowana automatyczna instalacja certyfikatu SSL i wymuszone przekierowanie na HTTPS, przekierowanie na HTTPSObowiązujący, nie musisz dodawać przekierowania HTTPS.

Dodaj regułę przekierowania

• W pliku konfiguracyjnym Apache edytuj wirtualnego hosta witryny i dodaj następujące ustawienia.
• Możesz również dodać te same ustawienia do katalogu głównego dokumentu w swojej witrynie w pliku .htaccess.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Jeśli chcesz tylko określić określony adres URL, aby przekierować do HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Jeśli ktoś spróbuje uzyskać dostęp wiadomość , strona przejdzie do https, a użytkownik będzie mógł uzyskać dostęp do adresu URL tylko za pomocą SSL.

Zrestartuj Apache, aby plik .htaccess zaczął działać:

service httpd restart

注意 事项

• Zmień powyższy adres e-mail na swój adres e-mail.
• Pamiętaj, aby zmienić powyższą nazwę domeny witryny na nazwę domeny Twojej witryny.

Problem z lokalizacją reguły przekierowania

Zgodnie z regułami pseudostatycznymi, umieszczając reguły przekierowania skoku, zwykle napotkasz http nie może przekierować do https Problem.

Początkowo skopiowaliśmy kod przekierowania do .htaccess i pojawi się on w następujących przypadkach ▼

• [L] wskazuje, że bieżąca reguła jest ostatnią regułą, przestań analizować następujące reguły przepisywania.
• Tak więc podczas uzyskiwania dostępu do przekierowanej strony artykułu [L] zatrzymuje następujące reguły, więc reguły przekierowania nie działają.

Odwiedzając stronę główną http, chcemy wywołać przekierowanie adresu URL, pominąć regułę pseudostatyczną, aby wykonać regułę skoku przekierowania, aby można było to osiągnąćPrzekierowanie http w całej witrynie do https .

Nie umieszczaj reguł przekierowań https w [L] Poniżej zasad umieść [L] powyżej zasad ▼

Rozszerzona lektura:

• Jaka jest różnica między http a https? Szczegółowe wyjaśnienie procesu szyfrowania SSL
• Co mam zrobić, jeśli otrzymam błąd 500 po zainstalowaniu certyfikatu Let's Encrypt SSL w panelu sterowania CWP?
• Automatycznie przejdź do nazwy domeny drugiego poziomu bez nazwy domeny najwyższego poziomu www: nazwa domeny głównej 301 przekierowuje www