Let's Encrypt لاءِ ڪيئن اپلائي ڪجي؟ اچو ته انڪريپٽ SSL مفت سرٽيفڪيٽ اصول ۽ تنصيب سبق

Let's Encrypt لاءِ ڪيئن لاڳو ڪجي؟

اچو ته انڪريپٽ SSL سرٽيفڪيٽ اصول ۽ تنصيب سبق

SSL ڇا آهي؟چن ويلانگپوئين مضمون ۾ "http ۽ https جي وچ ۾ ڇا فرق آهي؟ SSL انڪرپشن جي عمل جي تفصيلي وضاحت“ ۾ ذڪر ٿيل آهي.

کان علاوهاي ڪامرسويب سائيٽ کي لازمي طور تي هڪ ترقي يافته اينڪرپٽ ٿيل SSL سرٽيفڪيٽ خريد ڪرڻ گهرجي ۽ ويب سائيٽ کي WeChat طور استعمال ڪرڻ گهرجيعوامي اڪائونٽ جي واڌاريجونئين ميڊياماڻهو، جيڪڏهن توهان هڪ SSL سرٽيفڪيٽ انسٽال ڪرڻ چاهيو ٿا، توهان اصل ۾ انسٽال ڪري سگهو ٿا هڪ انڪوڊ ٿيل SSL سرٽيفڪيٽ مفت ۾.SEOمددگار، سرچ انجڻ ۾ ويب سائيٽ جي لفظن جي درجه بندي کي بهتر بڻائي سگھي ٿو.

اچو ته انڪريپٽ پاڻ لکيو آهي پروسيس جو هڪ سيٽ (https://certbot.eff.org/)، استعمال ڪريولينڪسدوستو، توهان عمل جي حوالي سان هن سبق جي پيروي ڪري سگهو ٿا.

ڊائون لوڊ ڪريو certbot-auto tool پهرين، پوءِ هلايو ٽول جي انسٽاليشن انحصار.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

SSL سرٽيفڪيٽ ٺاھيو

اڳيان ، سانچن ويلانگمثال طور بلاگ ڊومين جو نالو وٺو، مھرباني ڪري پنھنجي ضرورتن مطابق ان کي تبديل ڪريو. SSH ھيٺ ڏنل حڪمن تي ھلندو آھي.

حڪم ۾ ترميم ڪرڻ جي پڪ ڪريو:

1. ٽپال جو ٽپال
2. سرور جو رستو
3. ويب سائيٽ ڊومين جو نالو

اڪيلو ڊومين واحد ڊاريڪٽري، هڪ سرٽيفڪيٽ ٺاهي:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

ملٽي ڊومين سنگل ڊاريڪٽري، هڪ سرٽيفڪيٽ ٺاهي: (يعني، گهڻن ڊومين جا نالا، واحد ڊاريڪٽري، ساڳئي سرٽيفڪيٽ استعمال ڪريو)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

ٺاهيل SSL سرٽيفڪيٽ ۾ محفوظ ڪيو ويندو:/etc/letsencrypt/live/www.chenweiliang.com/ مواد جي تحت.

گھڻن ڊومين جا نالا ۽ گھڻا ڊائريڪٽريون، ھڪڙو سرٽيفڪيٽ ٺاھيو: (اھو آھي، گھڻن ڊومين جا نالا، گھڻن ڊائريڪٽرن، ھڪڙي سرٽيفڪيٽ استعمال ڪريو)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

اچو ته انڪريپٽ سرٽيفڪيٽ ڪاميابيءَ سان انسٽال ٿيڻ کان پوءِ، SSH ۾ ھيٺ ڏنل پيغام ظاهر ٿيندو:

اهم ياداشت:
- مبارڪون! توهان جو سرٽيفڪيٽ ۽ چيain تي محفوظ ڪيو ويو آهي:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
توهان جي اهم فائل محفوظ ڪئي وئي آهي:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
توهان جو سرٽيفڪيشن 2018-02-26 تي ختم ٿي ويندو. هڪ نئون يا ٽائيڪ حاصل ڪرڻ لاءِ
مستقبل ۾ هن سرٽيفڪيٽ جو نسخو، بس هلايو certbot-auto
ٻيهر. توهان جي سرٽيفڪيٽن جي *سڀني* کي غير مداخلت سان تجديد ڪرڻ لاءِ، هلايو
"certbot-خودڪار تجديد"
- جيڪڏهن توهان سرٽيبٽ پسند ڪريو ٿا، مهرباني ڪري اسان جي ڪم جي سهڪار تي غور ڪيو.
ISRG کي عطيو ڪرڻ / اچو ته انڪرپٽ: https://letsencrypt.org/donate
ايف ايف ايف جي مدد ڪرڻ: https://eff.org/donate-le

SSL سرٽيفڪيٽ تجديد

سرٽيفڪيٽ جي تجديد پڻ تمام آسان آهي، استعمال ڪنديٽرانسڪٽرخودڪار تجديد.ڪجھ ديبين ۾ ڪرنٽاب نصب نه آھي، توھان ان کي دستي طور تي انسٽال ڪري سگھو ٿا.

apt-get install cron

هيٺيون حڪم nginx ۽ apache ۾ ترتيب ڏنل آهن / وغيره / crontab فائل ۾ داخل ڪيل حڪم جو مطلب آهي ته اهو هر 10 ڏينهن ۾ تجديد ڪيو ويندو آهي، ۽ 90 ڏينهن جي صحيح مدت ڪافي آهي.

Nginx crontab فائل، مھرباني ڪري شامل ڪريو:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab فائل، مھرباني ڪري شامل ڪريو:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL سرٽيفڪيٽ Apache configuration

هاڻي، اسان کي اپاپي جي ترتيب ۾ تبديليون ڪرڻ جي ضرورت آهي.

طريقه:

• جيڪڏهن توهان استعمال ڪريوCWP ڪنٽرول پينل, ۾ شامل ڪريو ڊومين جو نالو چيڪ ڪريو خودڪار طور تي ھڪڙو ايس ايس ايل سرٽيفڪيٽ ٺاھيو، اھو خودڪار طور تي ايس ايس ايل سرٽيفڪيٽ اپاچي لاء ترتيب ڏيندو.
• جيڪڏهن توهان هيٺ ڏنل قدمن مان وڌيڪ ڪريو ٿا، هڪ غلطي ٿي سگهي ٿي Apache کي ٻيهر شروع ڪرڻ کان پوء.
• جيڪڏهن ڪو نقص آهي، ان ترتيب کي حذف ڪريو جيڪو توهان دستي طور شامل ڪيو آهي.

ايڊٽ ڪريو httpd.conf فائل ▼

/usr/local/apache/conf/httpd.conf

ڳولهيو ▼

Listen 443

• (اڳيون تبصرو نمبر هٽايو #)

يا شامل ڪريو ٻڌڻ وارو پورٽ 443 ▼

Listen 443

SSH چيڪ ڪريو اپاچي ٻڌڻ وارو پورٽ ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

ڳولهيو ▼

mod_ssl

• (اڳيون تبصرو نمبر هٽايو #)

يا شامل ڪريو ▼

LoadModule ssl_module modules/mod_ssl.so

ڳولهيو ▼

httpd-ssl

• (اڳيون تبصرو نمبر هٽايو #)

پوء، SSH ھيٺ ڏنل حڪم تي عمل ڪريو (توهان جي پنھنجي رستي کي تبديل ڪرڻ لاء نوٽ ڪريو):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

اڳيون، توهان جي ٺاهيل ويب سائيٽ لاء Apache ترتيب جي آخر ۾هيٺ.

SSL سيڪشن جي ٺاھ جوڙ واري فائل شامل ڪريو (تبصرو کي هٽائڻ لاء نوٽ ڪريو، ۽ پنھنجو رستو تبديل ڪريو):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

آخرڪار ان تي Apache ٻيهر شروع ڪريو:

service httpd restart

Apache force HTTP کي HTTPS ڏانهن ريڊائريڪٽ ڪريو

• ڪيتريون ئي ويب درخواستون هميشه صرف SSL سان هلائي سگهن ٿيون.
• اسان کي پڪ ڪرڻ جي ضرورت آهي ته هر ڀيري اسان SSL استعمال ڪندا آهيون، ويب سائيٽ کي SSL ذريعي پهچڻ گهرجي.
• جيڪڏهن ڪو به صارف غير SSL URL سان ويب سائيٽ تائين رسائي جي ڪوشش ڪري ٿو، ته هن کي SSL ويب سائيٽ ڏانهن ريڊائريڪٽ ڪيو وڃي.
• Apache mod_rewrite module استعمال ڪندي SSL URL ڏانھن ريڊائريڪٽ ڪريو.
• جيئن ته LAMP هڪ-ڪلڪ انسٽاليشن پيڪيج استعمال ڪرڻ، SSL سرٽيفڪيٽ جي خودڪار تنصيب ۽ HTTPS ڏانهن جبري ريڊائريشن، HTTPS ڏانهن ريڊائريشنزور ۾، توهان کي HTTPS ريڊائريڪٽ شامل ڪرڻ جي ضرورت ناهي.

ريٽائرمينٽ ضابطو شامل ڪريو

• Apache جي ڪنفيگريشن فائل ۾، ويب سائيٽ جي ورچوئل ميزبان کي ايڊٽ ڪريو ۽ ھيٺيون سيٽنگون شامل ڪريو.
• توھان پڻ ساڳيو سيٽنگون شامل ڪري سگھو ٿا دستاويز جي روٽ ۾ توھان جي ويب سائيٽ تي توھان جي .htaccess فائل ۾.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

جيڪڏهن توهان صرف HTTPS ڏانهن ريڊائريڪٽ ڪرڻ لاءِ هڪ خاص URL بيان ڪرڻ چاهيو ٿا:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• جيڪڏھن ڪو پھچڻ جي ڪوشش ڪري پيغام , صفحو ٽپو ڏيندو https تي، ۽ صارف صرف SSL سان URL تائين رسائي ڪري سگھن ٿا.

.htaccess فائل کي اثر انداز ڪرڻ لاء Apache کي ٻيهر شروع ڪريو:

service httpd restart

احتياط

• مھرباني ڪري مٿي ڏنل اي ميل پتي کي پنھنجي اي ميل پتي ۾ تبديل ڪريو.
• مهرباني ڪري مٿي ڏنل ويب سائيٽ ڊومين جو نالو تبديل ڪرڻ لاءِ ياد رکو پنهنجي ويب سائيٽ ڊومين جي نالي ۾.

ريڊائريڪٽ قاعدي جي جڳھ جو مسئلو

pseudo-static قاعدن جي تحت، جڏهن ريڊائريڪشن جمپ ضابطن کي رکڻ، توهان کي عام طور تي منهن ڏيڻو پوندو http https ڏانهن واپس نه ٿو ڪري سگھجي مسئلو.

شروعات ۾ اسان نقل ڪيو ريڊائريڪٽ ڪوڊ کي .htaccess ۾ ۽ اهو هيٺين صورتن ۾ ظاهر ٿيندو ▼

• [L] اشارو ڪري ٿو ته موجوده قاعدو آخري قاعدو آهي، هيٺ ڏنل ٻيهر لکڻ جي قاعدن جو تجزيو ڪرڻ بند ڪريو.
• تنهن ڪري جڏهن ريڊائريڪٽ ڪيل مضمون جي صفحي تائين پهچندي، [L] هيٺ ڏنل قاعدن کي روڪي ٿو، تنهنڪري ريڊائريڪشن ضابطا ڪم نٿا ڪن.

جڏهن http هوم پيج تي وڃون ٿا، اسان چاهيون ٿا ته URL ريڊائريڪشن کي ٽاريون، ريڊائريڪشن جمپ قاعدي تي عمل ڪرڻ لاءِ pseudo-static قاعدي کي ڇڏي ڏيو، ته جيئن اهو حاصل ڪري سگهجي.سائيٽ-وائڊ http https ڏانهن ريڊائريڪٽ ڪريو .

https ريڊائريڪٽ ضابطن ۾ نه وجهي [ايل] ضابطن جي هيٺان ، رکيل [ايل] قاعدن کان مٿي ▼

توسيع پڙهڻ:

• http ۽ https جي وچ ۾ ڇا فرق آهي؟ SSL انڪرپشن جي عمل جي تفصيلي وضاحت
• مون کي ڇا ڪرڻ گهرجي جيڪڏهن مون کي CWP ڪنٽرول پينل ۾ Let's Encrypt SSL سرٽيفڪيٽ انسٽال ڪرڻ کان پوءِ غلطي 500 ملي؟
• خود بخود ٻئي سطح جي ڊومين جي نالي تي وڃو بغير www جي مٿين سطح جي ڊومين جو نالو: روٽ ڊومين جو نالو 301 ريڊائريڪٽس www.