Artigo Diretório
Como se inscrever no Let's Encrypt?
Vamos criptografar o Princípio do Certificado SSL e Tutorial de Instalação
O que é SSL?Chen WeiliangNo artigo anterior "Qual é a diferença entre http vs https? Explicação detalhada do processo de criptografia SSL" mencionado em.
ExcetoComércio eletrônicoO site deve adquirir um certificado SSL criptografado avançado e usar o site como WeChatPromoção de conta pública的Novas mídiasPessoal, se você deseja instalar um certificado SSL, pode instalar um certificado SSL criptografado gratuitamente.SEOÉ útil e pode melhorar a classificação das palavras-chave do site nos motores de busca.
O próprio Let's Encrypt escreveu um conjunto de processos (https://certbot.eff.org/),usarLinuxamigos, você pode seguir este tutorial enquanto se refere ao processo.
Baixe a ferramenta certbot-auto primeiro e, em seguida, execute as dependências de instalação da ferramenta.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Gerar certificado SSL
A seguir, comChen WeiliangTome o nome de domínio do blog como exemplo, modifique-o de acordo com suas próprias necessidades. O SSH executa os seguintes comandos.
Certifique-se de modificar o comando em:
- 邮箱
- caminho do servidor
- nome de domínio do site
Diretório único de domínio único, gere um certificado:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Diretório único de vários domínios, gere um certificado: (ou seja, vários nomes de domínio, diretório único, use o mesmo certificado)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
O certificado SSL gerado será salvo em:/etc/letsencrypt/live/www.chenweiliang.com/
Em conteúdo.
Vários nomes de domínio e vários diretórios, gere um certificado: (ou seja, vários nomes de domínio, vários diretórios, use o mesmo certificado)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Depois que o certificado Let's Encrypt for instalado com sucesso, a seguinte mensagem de prompt aparecerá no SSH:
ANOTAÇÕES IMPORTANTES:
– Parabéns! Seu certificado e chain foram salvos em:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Seu arquivo de chave foi salvo em:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Seu certificado expirará em 2018/02/26. Para obter um certificado novo ou aprimorado
versão deste certificado no futuro, basta executar certbot-auto
novamente. Para renovar de forma não interativa *todos* os seus certificados, execute
"certbot-renovação automática"
- Se você gosta do Certbot, considere apoiar nosso trabalho da seguinte forma:
Doando para ISRG / Let's Encrypt: https://letsencrypt.org/donate
Doando para EFF: https://eff.org/donate-le
Renovação do Certificado SSL
A renovação do certificado também é muito conveniente, usandocrontabAuto-renovação.Alguns Debian não possuem o crontab instalado, você pode instalá-lo manualmente primeiro.
apt-get install cron
Os seguintes comandos estão em nginx e apache respectivamente / etc / crontab O comando inserido no arquivo significa que ele é renovado a cada 10 dias, sendo suficiente um período de validade de 90 dias.
Arquivo crontab Nginx, adicione:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Arquivo crontab do Apache, por favor adicione:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
Configuração do Apache com certificado SSL
Agora, precisamos fazer alterações na configuração do Apache.
Dicas:
- se você usarPainel de controle CWP, na verificação Adicionar nome de domínio Gerar automaticamente um certificado SSL, ele configurará automaticamente o certificado SSL para o Apache.
- Se você executar mais das etapas a seguir, poderá ocorrer um erro após reiniciar o Apache.
- Se houver um erro, exclua a configuração que você adicionou manualmente.
Edite o arquivo httpd.conf ▼
/usr/local/apache/conf/httpd.conf
Encontrar ▼
Listen 443
- (remova o número do comentário anterior #)
ou adicione a porta de escuta 443 ▼
Listen 443
SSH verifique a porta de escuta do Apache ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Encontrar ▼
mod_ssl
- (remova o número do comentário anterior #)
ou adicione ▼
LoadModule ssl_module modules/mod_ssl.so
Encontrar ▼
httpd-ssl
- (remova o número do comentário anterior #)
Em seguida, o SSH execute o seguinte comando (observe para alterar o caminho para o seu próprio):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Em seguida, no final da configuração do Apache para o site que você crioudebaixo.
Adicione o arquivo de configuração da seção SSL (observe para remover o comentário e alterar o caminho para o seu próprio):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Finalmente reinicie o Apache nele:
service httpd restart
Apache forçar redirecionamento HTTP para HTTPS
- Muitas solicitações da Web sempre podem ser executadas apenas com SSL.
- Precisamos ter certeza de que toda vez que usarmos SSL, o site deve ser acessado via SSL.
- Se algum usuário tentar acessar o site com uma URL não SSL, ele deverá ser redirecionado para o site SSL.
- Redirecionar para URL SSL usando o módulo mod_rewrite do Apache.
- Como usar o pacote de instalação com um clique do LAMP, instalação automática integrada do certificado SSL e redirecionamento forçado para HTTPS, redirecionamento para HTTPSÀ força, você não precisa adicionar um redirecionamento HTTPS.
Adicionar regra de redirecionamento
- No arquivo de configuração do Apache, edite o host virtual do site e adicione as seguintes configurações.
- Você também pode adicionar as mesmas configurações à raiz do documento em seu site no arquivo .htaccess.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Se você quiser apenas especificar um determinado URL para redirecionar para HTTPS:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Se alguém tentar acessar mensagem , a página saltará para https e o usuário só poderá acessar a URL com SSL.
Reinicie o Apache para que o arquivo .htaccess tenha efeito:
service httpd restart
注意 事项
- Por favor, altere o endereço de e-mail acima para o seu endereço de e-mail.
- Lembre-se de alterar o nome de domínio do site acima para o nome de domínio do seu site.
Problema de localização da regra de redirecionamento
Sob regras pseudo-estáticas, ao colocar regras de salto de redirecionamento, você geralmente encontra http não pode redirecionar para https O problema.
Inicialmente copiamos o código de redirecionamento para .htaccess e ele aparecerá nos seguintes casos ▼
- [L] indica que a regra atual é a última regra, pare de analisar as seguintes regras de reescrita.
- Portanto, ao acessar a página do artigo redirecionado, [L] interrompe as seguintes regras, para que as regras de redirecionamento não funcionem.
Ao visitar a página inicial http, queremos acionar um redirecionamento de URL, pule a regra pseudo-estática para executar a regra de salto de redirecionamento, para que possa ser alcançadoRedirecionamento http em todo o site para https .
Não coloque regras de redirecionamento https [EU] Abaixo das regras, coloque [EU] acima das regras ▼
Leitura estendida:
- Qual é a diferença entre http vs https? Explicação detalhada do processo de criptografia SSL
- O que devo fazer se receber um erro 500 após instalar o certificado Let's Encrypt SSL no painel de controle do CWP?
- Saltar automaticamente para o nome de domínio de segundo nível sem o nome de domínio de nível superior www: o nome de domínio raiz 301 redireciona www
Hope Chen Weiliang Blog ( https://www.chenweiliang.com/ ) compartilhou "Como se inscrever no Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial", que é útil para você.
Bem-vindo a compartilhar o link deste artigo:https://www.chenweiliang.com/cwl-512.html
Bem-vindo ao canal Telegram do blog de Chen Weiliang para receber as últimas atualizações!
📚 Este guia contém um valor enorme, 🌟Esta é uma oportunidade rara, não perca! ⏰⌛💨
Compartilhe e curta se gostar!
Seus compartilhamentos e curtidas são nossa motivação contínua!