Каталог статей
Как подать заявку на Let’s Encrypt?
Давайте зашифруем принцип SSL-сертификата и руководство по установке
Что такое SSL?Чен ВэйлянВ предыдущей статье »В чем разница между http и https? Подробное объяснение процесса шифрования SSL«Упоминается в.
除了Электронная коммерцияВеб-сайт должен приобрести расширенный зашифрованный SSL-сертификат и использовать веб-сайт как WeChat.Продвижение публичного аккаунта的новые средства массовой информацииЛюди, если вы хотите установить SSL-сертификат, вы можете бесплатно установить зашифрованный SSL-сертификат.SEOПолезно, может улучшить рейтинг ключевых слов сайта в поисковых системах.
Let's Encrypt сам написал набор процессов (https://certbot.eff.org/),использоватьLinuxдрузья, вы можете следовать этому руководству, обращаясь к процессу.
Сначала загрузите инструмент certbot-auto, а затем запустите зависимости установки инструмента.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Создать SSL-сертификат
Далее, сЧен ВэйлянВозьмите доменное имя блога в качестве примера, измените его в соответствии с вашими потребностями.SSH выполняет следующие команды.
Обязательно измените команду в:
- 邮箱
- путь к серверу
- Домен сайта
Один домен, один каталог, создайте сертификат:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Один каталог с несколькими доменами, сгенерируйте сертификат: (т. е. несколько доменных имен, один каталог, используйте один и тот же сертификат)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Сгенерированный SSL-сертификат будет сохранен в:/etc/letsencrypt/live/www.chenweiliang.com/
Под содержанием.
Несколько доменных имен и несколько каталогов создают сертификат: (то есть несколько доменных имен, несколько каталогов используют один и тот же сертификат)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
После успешной установки сертификата Let's Encrypt в SSH появится следующее сообщение:
ВАЖНАЯ ИНФОРМАЦИЯ:
– Поздравляем! Ваш сертификат и chain были сохранены по адресу:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Ваш ключевой файл сохранен по адресу:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Срок действия вашего сертификата истекает 2018 февраля 02 г. Чтобы получить новый или измененный
версия этого сертификата в будущем, просто запустите certbot-auto
Чтобы неинтерактивно обновить *все* ваши сертификаты, запустите
"certbot-автоматическое продление"
- Если вам нравится Certbot, рассмотрите возможность поддержки нашей работы:
Пожертвование ISRG / Let's Encrypt: https://letsencrypt.org/donate
Пожертвование EFF: https://eff.org/donate-le
Обновление SSL-сертификата
Продление сертификата также очень удобно, используякронтабАвто-обновление.В некоторых Debian не установлен crontab, вы можете сначала установить его вручную.
apt-get install cron
Следующие команды находятся в nginx и apache соответственно. / etc / crontab Введенная в файл команда означает, что она обновляется каждые 10 дней, и достаточно 90-дневного срока действия.
Файл crontab Nginx, пожалуйста, добавьте:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Файл crontab Apache, пожалуйста, добавьте:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
Настройка SSL-сертификата Apache
Теперь нам нужно внести изменения в конфигурацию Apache.
Советы:
- если вы используетеПанель управления КВП, в поле Добавить доменное имя установите флажок Автоматически генерировать сертификат SSL, он автоматически настроит сертификат SSL для Apache.
- Если вы сделаете больше из следующих шагов, после перезапуска Apache может возникнуть ошибка.
- В случае ошибки удалите конфигурацию, которую вы добавили вручную.
Отредактируйте файл httpd.conf ▼
/usr/local/apache/conf/httpd.conf
Найти ▼
Listen 443
- (удалите предыдущий номер комментария #)
или добавьте порт прослушивания 443 ▼
Listen 443
SSH проверьте порт прослушивания Apache ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Найти ▼
mod_ssl
- (удалите предыдущий номер комментария #)
или добавьте ▼
LoadModule ssl_module modules/mod_ssl.so
Найти ▼
httpd-ssl
- (удалите предыдущий номер комментария #)
Затем SSH выполните следующую команду (обратите внимание, чтобы изменить путь на свой):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Далее, в конце настройки Apache для созданного вами веб-сайтапод.
Добавьте файл конфигурации раздела SSL (обратите внимание, чтобы удалить комментарий, и изменить путь на свой):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Наконец, перезапустите на нем Apache:
service httpd restart
Apache принудительно перенаправляет HTTP на HTTPS
- Многие веб-запросы всегда могут выполняться только с SSL.
- Нам нужно убедиться, что каждый раз, когда мы используем SSL, доступ к веб-сайту должен осуществляться через SSL.
- Если какой-либо пользователь попытается получить доступ к веб-сайту с URL-адресом, отличным от SSL, он должен быть перенаправлен на веб-сайт SSL.
- Перенаправление на URL-адрес SSL с помощью модуля Apache mod_rewrite.
- Если вы используете пакет установки LAMP в один клик, встроенная автоматическая установка сертификата SSL и принудительное перенаправление на HTTPS, перенаправление на HTTPSДействующий, вам не нужно добавлять перенаправление HTTPS.
Добавить правило перенаправления
- В файле конфигурации Apache отредактируйте виртуальный хост веб-сайта и добавьте следующие параметры.
- Вы также можете добавить те же настройки в корень документа на своем веб-сайте в файле .htaccess.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Если вы просто хотите указать определенный URL-адрес для перенаправления на HTTPS:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Если кто-то попытается получить доступ сообщение , страница перейдет на https, и пользователь сможет получить доступ к URL-адресу только с помощью SSL.
Перезапустите Apache, чтобы файл .htaccess вступил в силу:
service httpd restart
注意 事项
- Пожалуйста, измените указанный выше адрес электронной почты на свой адрес электронной почты.
- Не забудьте изменить указанное выше доменное имя веб-сайта на доменное имя вашего веб-сайта.
Проблема с расположением правила перенаправления
При псевдостатических правилах при размещении правил перехода перенаправления вы обычно сталкиваетесь http не может перенаправить на https Эта проблема.
Изначально мы скопировали код редиректа в .htaccess и он появится в следующих случаях ▼
- [L] указывает, что текущее правило является последним правилом, прекратить анализ следующих правил перезаписи.
- Таким образом, при доступе к перенаправленной странице статьи [L] останавливает следующие правила, поэтому правила перенаправления не работают.
При посещении домашней страницы http мы хотим вызвать перенаправление URL-адреса, пропустить псевдостатическое правило, чтобы выполнить правило перехода перенаправления, чтобы его можно было достичь.Переадресация с http на https по всему сайту .
Не устанавливайте правила перенаправления https в [L] Под правилами поставить [L] выше правил ▼
Расширенное чтение:
- В чем разница между http и https? Подробное объяснение процесса шифрования SSL
- Что делать, если я получаю ошибку 500 после установки SSL-сертификата Let's Encrypt в панели управления CWP?
- Автоматически переходить на доменное имя второго уровня без доменного имени верхнего уровня www: корневое доменное имя 301 перенаправляет www
Блог Хоуп Чен Вейлян ( https://www.chenweiliang.com/ ) поделился полезной информацией «Как подать заявку на Let’s Encrypt? Let’s Encrypt Free SSL Certificate Principle & Installation Tutorial».
Добро пожаловать, чтобы поделиться ссылкой на эту статью:https://www.chenweiliang.com/cwl-512.html
Добро пожаловать на Telegram-канал блога Chen Weiliang, чтобы быть в курсе последних обновлений!
📚 Это руководство содержит огромную ценность. 🌟Это редкая возможность, не упустите ее! ⏰⌛💨
Делитесь и ставьте лайк, если хотите!
Ваш обмен и лайки - наша постоянная мотивация!