مقالې لارښود
د لیټ انکرپټ لپاره څنګه غوښتنه وکړئ؟
راځئ چې د SSL سند اصول او د نصبولو لارښود کوډ کړو
SSL څه شی دی؟چن ویلینګپه تیره مقاله کې "د http او https تر مینځ توپیر څه دی؟ د SSL کوډ کولو پروسې تفصيلي توضیحات" کې ذکر شوی.
علاوه لدېای کامرسویب پاڼه باید یو پرمختللی کوډ شوی SSL سند واخلي او ویب پاڼه د WeChat په توګه وکارويد عامه حساب ودهدنوې رسنۍخلک، که تاسو غواړئ د SSL سند نصب کړئ، تاسو کولی شئ په حقیقت کې د وړیا لپاره د کوډ شوي SSL سند نصب کړئ.SEOګټور، کولی شي د لټون انجنونو کې د ویب پاڼې کلیدي درجه بندي ښه کړي.
راځئ چې کوډ کړئ پخپله د پروسو یوه سیټ لیکلی دی (https://certbot.eff.org/)، کاروللینوکسملګرو، تاسو کولی شئ دا درس تعقیب کړئ کله چې پروسې ته اشاره وکړئ.
لومړی د certbot-auto وسیله ډاونلوډ کړئ، بیا د وسیلې نصبولو انحصار چل کړئ.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
د SSL سند تولید کړئ
بل، سرهچن ویلینګد مثال په توګه د بلاګ ډومین نوم واخلئ، مهرباني وکړئ دا د خپلو اړتیاو سره سم تعدیل کړئ SSH لاندې کمانډونه پرمخ وړي.
ډاډ ترلاسه کړئ چې کمانډ په کې تعدیل کړئ:
- میل باکس
- د سرور لاره
- د ویب پاڼې ډومین نوم
د واحد ډومین واحد لارښود، یو سند تولید کړئ:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
د څو ډومین واحد لارښود، یو سند تولید کړئ: (د بیلګې په توګه، ډیری ډومین نومونه، واحد لارښود، ورته سند وکاروئ)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
تولید شوی SSL سند به په دې کې خوندي شي:/etc/letsencrypt/live/www.chenweiliang.com/ د منځپانګې لاندې.
ډیری ډومین نومونه او ډیری لارښودونه، یو سند تولید کړئ: (دا د ډیری ډومین نومونه، ډیری لارښودونه، ورته سند وکاروئ)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
وروسته له دې چې د لیټ انکریپټ سند په بریالیتوب سره نصب شو ، لاندې سمدستي پیغام به په SSH کې څرګند شي:
مهم یادښتونه
- مبارک شه ستاسو سند او chain په کې خوندي شوي دي:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
ستاسو کلیدي فایل په دې ځای کې خوندي شوی دی:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
ستاسو سند به په 2018-02-26 کې پای ته ورسیږي. د نوي یا ټیک شوي ترلاسه کولو لپاره
په راتلونکي کې د دې سند نسخه، په ساده ډول د certbot-auto چلول
یو ځل بیا. په غیر متقابل ډول ستاسو د ټولو سندونو * نوي کولو لپاره، چلول
"سرټبوټ - اتومات نوي کول"
- که تاسو سیرټبوټ خوښوئ ، نو مهرباني وکړئ زموږ لخوا د کار څخه ملاتړ باندې غور وکړئ:
ISRG ته مرسته کول / راځئ چې کوډ کړو: https://letsencrypt.org/donate
EFF ته بسپنه ورکول: https://eff.org/donate-le
د SSL سند نوي کول
د سند نوي کول هم خورا اسانه دي ، کارولcrontabپه اتوماتيک ډول نوي کول.ځینې دیبیان کرونټاب ندي نصب کړي ، تاسو کولی شئ دا لومړی په لاسي ډول نصب کړئ.
apt-get install cron
لاندې کمانډونه په ترتیب سره په نګینکس او اپاچي کې دي / etc / crontab په فایل کې داخل شوي کمانډ پدې معنی دی چې دا په هرو 10 ورځو کې نوي کیږي، او د 90 ورځو اعتبار موده کافي ده.
د نګینکس کرونټاب فایل، مهرباني وکړئ اضافه کړئ:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
د اپاچي کرونټاب فایل، مهرباني وکړئ اضافه کړئ:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
د SSL سند اپاچی ترتیب
اوس، موږ اړتیا لرو چې د اپاچي ترتیب کې بدلونونه رامنځته کړو.
لارښوونې:
- که تاسو کاروئد CWP کنټرول پینل، د ډومین نوم اضافه کولو کې چیک کړئ په اتوماتيک ډول د SSL سند رامینځته کړئ ، دا به په اوتومات ډول د اپاچي لپاره د SSL سند تنظیم کړي.
- که تاسو لاندې نور ګامونه ترسره کړئ، د اپاچي بیا پیلولو وروسته یوه تېروتنه رامنځته کیدی شي.
- که کومه تېروتنه وي، هغه ترتیب حذف کړئ چې تاسو په لاسي ډول اضافه کړی.
د httpd.conf فایل سمول ▼
/usr/local/apache/conf/httpd.conf
موندل ▼
Listen 443
- (د نظر مخکینۍ شمیره لرې کړئ #)
یا د اوریدلو پورټ 443 ▼ اضافه کړئ
Listen 443
SSH د اپاچي اوریدلو پورټ چیک کړئ ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
موندل ▼
mod_ssl
- (د نظر مخکینۍ شمیره لرې کړئ #)
یا اضافه کړئ ▼
LoadModule ssl_module modules/mod_ssl.so
موندل ▼
httpd-ssl
- (د نظر مخکینۍ شمیره لرې کړئ #)
بیا، SSH لاندې کمانډ اجرا کړئ (یادونه وکړئ چې خپل ځان ته لاره بدل کړئ):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
بل، د هغه ویب پاڼې لپاره چې تاسو یې جوړ کړی د اپاچي ترتیب په پای کېلاندې
د SSL برخې ترتیب کولو فایل اضافه کړئ (د تبصرې لرې کولو لپاره یادونه وکړئ، او خپل ځان ته لاره بدل کړئ):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
په نهایت کې په دې باندې اپاچی بیا پیل کړئ:
service httpd restart
د اپاچي ځواک HTTP HTTPS ته ریډیریټ کوي
- ډیری ویب غوښتنې تل یوازې د SSL سره پرمخ وړل کیدی شي.
- موږ اړتیا لرو ډاډ ترلاسه کړو چې هرکله چې موږ SSL کاروو، ویب پاڼه باید د SSL له لارې لاسرسی ومومي.
- که کوم کاروونکي هڅه کوي ویب پاڼې ته د غیر SSL URL سره لاسرسی ومومي، هغه باید د SSL ویب پاڼې ته واستول شي.
- د Apache mod_rewrite ماډل په کارولو سره SSL URL ته لارښود کړئ.
- لکه د LAMP د یو کلیک نصب کولو کڅوړه کارول ، د SSL سند په اتوماتيک ډول نصب کول او HTTPS ته جبري لارښود کول ، HTTPS ته راستنولپلي شوی، تاسو اړتیا نلرئ د HTTPS ریډیریټ اضافه کړئ.
د لارښوونې قاعده اضافه کړئ
- د اپاچي د ترتیب کولو فایل کې، د ویب پاڼې مجازی کوربه ایډیټ کړئ او لاندې ترتیبات اضافه کړئ.
- تاسو کولی شئ د htaccess فایل کې ستاسو په ویب پاڼه کې د سند روټ ته ورته ترتیبات هم اضافه کړئ.
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]که تاسو غواړئ یو ځانګړی URL مشخص کړئ ترڅو HTTPS ته راستون شي:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- که څوک د لاسرسي هڅه وکړي پیغام ، پاڼه به https ته لاړ شي، او کاروونکي یوازې د SSL سره URL ته لاسرسی کولی شي.
د .htaccess فایل د اغیزمن کیدو لپاره اپاچی بیا پیل کړئ:
service httpd restart
احتیاطونه
- مهرباني وکړئ پورته بریښنالیک پته خپل بریښنالیک ته بدل کړئ.
- مهرباني وکړئ په یاد ولرئ چې پورتني ویب سایټ ډومین نوم ستاسو د ویب پاڼې ډومین نوم ته بدل کړئ.
د ریډیریټ قاعدې ځای ستونزه
د pseudo-static قواعدو الندې، کله چې د ری ډایریکشن جمپ قواعد پلي کول، تاسو معمولا ورسره مخ یاست http نشي کولی https ته ولیږدوي ستونزه.
په پیل کې موږ د لارښوونې کوډ په .htaccess کې کاپي کړ او دا به په لاندې قضیو کې ښکاره شي ▼
![د بیرته راستنیدو قاعده [L] په پورته څلورم پاڼه کې](https://img.chenweiliang.com/2018/03/https-rule-1.png "د لیټز انکریټ لپاره څنګه درخواست وکړو؟ راځئ چې د SSL وړیا سند کوډ کړو اصول او د نصبولو ښوونې انځور 2")
- [L] په ګوته کوي چې اوسنی قاعده وروستۍ قاعده ده، د لاندې بیا لیکلو قواعدو تحلیل بند کړئ.
- نو کله چې د ریډیرکټ شوي مقالې پاڼې ته لاسرسی ومومي، [L] لاندې قاعده ودروي، نو د بیا لارښوونې قاعده کار نه کوي.
کله چې د http کورپاڼې څخه لیدنه وکړو، موږ غواړو چې د یو آر ایل ری ډایریکشن پیل کړو، د ریډیریکشن جمپ قاعدې اجرا کولو لپاره د سیډو جامد اصول پریږدو، ترڅو دا ترلاسه شي.د سایټ په کچه http https ته لیږدول .
د https ریډیریټ قواعد په کې مه واچوئ [ل] د قواعدو لاندې، واچوئ [ل] د قواعدو څخه پورته ▼
![لاندې په پنځمه پاڼه کې د Pseudo-static SSL redirection قواعد [L]](https://img.chenweiliang.com/2018/03/pseudo-static-ssl-jump.png "د لیټز انکریټ لپاره څنګه درخواست وکړو؟ راځئ چې د SSL وړیا سند کوډ کړو اصول او د نصبولو ښوونې انځور 3")
غځول شوی لوستل:
- د http او https تر مینځ توپیر څه دی؟ د SSL کوډ کولو پروسې تفصيلي توضیحات
- زه باید څه وکړم که زه د CWP کنټرول پینل کې د Let's Encrypt SSL سند نصبولو وروسته 500 تېروتنه ترلاسه کړم؟
- په اتوماتيک ډول د www لوړ پوړ ډومین نوم پرته د دویمې درجې ډومین نوم ته لاړ شئ: د روټ ډومین نوم 301 www ته لیږل کیږي
امید چن وییلینګ بلاګ ( https://www.chenweiliang.com/ ) شریک کړل "څنګه درخواست وکړو د لیټ انکریپټ لپاره؟ راځئ چې د SSL وړیا سند اصول او انسټالیشن ټیوټوریل کوډ کړو" چې ستاسو لپاره ګټور دی.
د دې مقالې لینک شریکولو ته ښه راغلاست:https://www.chenweiliang.com/cwl-512.html
د وروستي تازه معلوماتو ترلاسه کولو لپاره د چن ویلیانګ بلاګ ټیلیګرام چینل ته ښه راغلاست!
📚 دا لارښود لوی ارزښت لري، 🌟دا یو نادر فرصت دی، له لاسه مه ورکوئ! ⏰⌛💨
که مو خوښه شوه لایک او شریک کړئ!
ستاسو شریکول او خوښول زموږ دوامداره هڅونه ده!