Как подать заявку на Let's Encrypt? Let's Encrypt Бесплатный сертификат SSL Принцип и руководство по установке

Как подать заявку на Let’s Encrypt?

Давайте зашифруем принцип SSL-сертификата и руководство по установке

Что такое SSL?Чен ВэйлянВ предыдущей статье »В чем разница между http и https? Подробное объяснение процесса шифрования SSL«Упоминается в.

除了Электронная коммерцияВеб-сайт должен приобрести расширенный зашифрованный SSL-сертификат и использовать веб-сайт как WeChat.Продвижение публичного аккаунта的новые средства массовой информацииЛюди, если вы хотите установить SSL-сертификат, вы можете бесплатно установить зашифрованный SSL-сертификат.SEOПолезно, может улучшить рейтинг ключевых слов сайта в поисковых системах.

Let's Encrypt сам написал набор процессов (https://certbot.eff.org/),использоватьLinuxдрузья, вы можете следовать этому руководству, обращаясь к процессу.

Сначала загрузите инструмент certbot-auto, а затем запустите зависимости установки инструмента.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Создать SSL-сертификат

Далее, сЧен ВэйлянВозьмите доменное имя блога в качестве примера, измените его в соответствии с вашими потребностями.SSH выполняет следующие команды.

Обязательно измените команду в:

1. 邮箱
2. путь к серверу
3. Домен сайта

Один домен, один каталог, создайте сертификат:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Один каталог с несколькими доменами, сгенерируйте сертификат: (т. е. несколько доменных имен, один каталог, используйте один и тот же сертификат)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Сгенерированный SSL-сертификат будет сохранен в:/etc/letsencrypt/live/www.chenweiliang.com/ Под содержанием.

Несколько доменных имен и несколько каталогов создают сертификат: (то есть несколько доменных имен, несколько каталогов используют один и тот же сертификат)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

После успешной установки сертификата Let's Encrypt в SSH появится следующее сообщение:

ВАЖНАЯ ИНФОРМАЦИЯ:
– Поздравляем! Ваш сертификат и chain были сохранены по адресу:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Ваш ключевой файл сохранен по адресу:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Срок действия вашего сертификата истекает 2018 февраля 02 г. Чтобы получить новый или измененный
версия этого сертификата в будущем, просто запустите certbot-auto
Чтобы неинтерактивно обновить *все* ваши сертификаты, запустите
"certbot-автоматическое продление"
- Если вам нравится Certbot, рассмотрите возможность поддержки нашей работы:
Пожертвование ISRG / Let's Encrypt: https://letsencrypt.org/donate
Пожертвование EFF: https://eff.org/donate-le

Обновление SSL-сертификата

Продление сертификата также очень удобно, используякронтабАвто-обновление.В некоторых Debian не установлен crontab, вы можете сначала установить его вручную.

apt-get install cron

Следующие команды находятся в nginx и apache соответственно. / etc / crontab Введенная в файл команда означает, что она обновляется каждые 10 дней, и достаточно 90-дневного срока действия.

Файл crontab Nginx, пожалуйста, добавьте:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Файл crontab Apache, пожалуйста, добавьте:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

Настройка SSL-сертификата Apache

Теперь нам нужно внести изменения в конфигурацию Apache.

Советы:

• если вы используетеПанель управления КВП, в поле Добавить доменное имя установите флажок Автоматически генерировать сертификат SSL, он автоматически настроит сертификат SSL для Apache.
• Если вы сделаете больше из следующих шагов, после перезапуска Apache может возникнуть ошибка.
• В случае ошибки удалите конфигурацию, которую вы добавили вручную.

Отредактируйте файл httpd.conf ▼

/usr/local/apache/conf/httpd.conf

Найти ▼

Listen 443

• (удалите предыдущий номер комментария #)

или добавьте порт прослушивания 443 ▼

Listen 443

SSH проверьте порт прослушивания Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Найти ▼

mod_ssl

• (удалите предыдущий номер комментария #)

или добавьте ▼

LoadModule ssl_module modules/mod_ssl.so

Найти ▼

httpd-ssl

• (удалите предыдущий номер комментария #)

Затем SSH выполните следующую команду (обратите внимание, чтобы изменить путь на свой):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Далее, в конце настройки Apache для созданного вами веб-сайтапод.

Добавьте файл конфигурации раздела SSL (обратите внимание, чтобы удалить комментарий, и изменить путь на свой):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Наконец, перезапустите на нем Apache:

service httpd restart

Apache принудительно перенаправляет HTTP на HTTPS

• Многие веб-запросы всегда могут выполняться только с SSL.
• Нам нужно убедиться, что каждый раз, когда мы используем SSL, доступ к веб-сайту должен осуществляться через SSL.
• Если какой-либо пользователь попытается получить доступ к веб-сайту с URL-адресом, отличным от SSL, он должен быть перенаправлен на веб-сайт SSL.
• Перенаправление на URL-адрес SSL с помощью модуля Apache mod_rewrite.
• Если вы используете пакет установки LAMP в один клик, встроенная автоматическая установка сертификата SSL и принудительное перенаправление на HTTPS, перенаправление на HTTPSДействующий, вам не нужно добавлять перенаправление HTTPS.

Добавить правило перенаправления

• В файле конфигурации Apache отредактируйте виртуальный хост веб-сайта и добавьте следующие параметры.
• Вы также можете добавить те же настройки в корень документа на своем веб-сайте в файле .htaccess.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Если вы просто хотите указать определенный URL-адрес для перенаправления на HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Если кто-то попытается получить доступ сообщение , страница перейдет на https, и пользователь сможет получить доступ к URL-адресу только с помощью SSL.

Перезапустите Apache, чтобы файл .htaccess вступил в силу:

service httpd restart

注意 事项

• Пожалуйста, измените указанный выше адрес электронной почты на свой адрес электронной почты.
• Не забудьте изменить указанное выше доменное имя веб-сайта на доменное имя вашего веб-сайта.

Проблема с расположением правила перенаправления

При псевдостатических правилах при размещении правил перехода перенаправления вы обычно сталкиваетесь http не может перенаправить на https Эта проблема.

Изначально мы скопировали код редиректа в .htaccess и он появится в следующих случаях ▼

• [L] указывает, что текущее правило является последним правилом, прекратить анализ следующих правил перезаписи.
• Таким образом, при доступе к перенаправленной странице статьи [L] останавливает следующие правила, поэтому правила перенаправления не работают.

При посещении домашней страницы http мы хотим вызвать перенаправление URL-адреса, пропустить псевдостатическое правило, чтобы выполнить правило перехода перенаправления, чтобы его можно было достичь.Переадресация с http на https по всему сайту .

Не устанавливайте правила перенаправления https в [L] Под правилами поставить [L] выше правил ▼

Расширенное чтение:

• В чем разница между http и https? Подробное объяснение процесса шифрования SSL
• Что делать, если я получаю ошибку 500 после установки SSL-сертификата Let's Encrypt в панели управления CWP?
• Автоматически переходить на доменное имя второго уровня без доменного имени верхнего уровня www: корневое доменное имя 301 перенаправляет www