آرٽيڪل ڊاريڪٽري
Let's Encrypt لاءِ ڪيئن لاڳو ڪجي؟
اچو ته انڪريپٽ SSL سرٽيفڪيٽ اصول ۽ تنصيب سبق
SSL ڇا آهي؟چن ويلانگپوئين مضمون ۾ "http ۽ https جي وچ ۾ ڇا فرق آهي؟ SSL انڪرپشن جي عمل جي تفصيلي وضاحت“ ۾ ذڪر ٿيل آهي.
کان علاوهاي ڪامرسويب سائيٽ کي لازمي طور تي هڪ ترقي يافته اينڪرپٽ ٿيل SSL سرٽيفڪيٽ خريد ڪرڻ گهرجي ۽ ويب سائيٽ کي WeChat طور استعمال ڪرڻ گهرجيعوامي اڪائونٽ جي واڌاريجونئين ميڊياماڻهو، جيڪڏهن توهان هڪ SSL سرٽيفڪيٽ انسٽال ڪرڻ چاهيو ٿا، توهان اصل ۾ انسٽال ڪري سگهو ٿا هڪ انڪوڊ ٿيل SSL سرٽيفڪيٽ مفت ۾.SEOمددگار، سرچ انجڻ ۾ ويب سائيٽ جي لفظن جي درجه بندي کي بهتر بڻائي سگھي ٿو.
اچو ته انڪريپٽ پاڻ لکيو آهي پروسيس جو هڪ سيٽ (https://certbot.eff.org/)، استعمال ڪريولينڪسدوستو، توهان عمل جي حوالي سان هن سبق جي پيروي ڪري سگهو ٿا.
ڊائون لوڊ ڪريو certbot-auto tool پهرين، پوءِ هلايو ٽول جي انسٽاليشن انحصار.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
SSL سرٽيفڪيٽ ٺاھيو
اڳيان ، سانچن ويلانگمثال طور بلاگ ڊومين جو نالو وٺو، مھرباني ڪري پنھنجي ضرورتن مطابق ان کي تبديل ڪريو. SSH ھيٺ ڏنل حڪمن تي ھلندو آھي.
حڪم ۾ ترميم ڪرڻ جي پڪ ڪريو:
- ٽپال جو ٽپال
- سرور جو رستو
- ويب سائيٽ ڊومين جو نالو
اڪيلو ڊومين واحد ڊاريڪٽري، هڪ سرٽيفڪيٽ ٺاهي:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
ملٽي ڊومين سنگل ڊاريڪٽري، هڪ سرٽيفڪيٽ ٺاهي: (يعني، گهڻن ڊومين جا نالا، واحد ڊاريڪٽري، ساڳئي سرٽيفڪيٽ استعمال ڪريو)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
ٺاهيل SSL سرٽيفڪيٽ ۾ محفوظ ڪيو ويندو:/etc/letsencrypt/live/www.chenweiliang.com/
مواد جي تحت.
گھڻن ڊومين جا نالا ۽ گھڻا ڊائريڪٽريون، ھڪڙو سرٽيفڪيٽ ٺاھيو: (اھو آھي، گھڻن ڊومين جا نالا، گھڻن ڊائريڪٽرن، ھڪڙي سرٽيفڪيٽ استعمال ڪريو)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
اچو ته انڪريپٽ سرٽيفڪيٽ ڪاميابيءَ سان انسٽال ٿيڻ کان پوءِ، SSH ۾ ھيٺ ڏنل پيغام ظاهر ٿيندو:
اهم ياداشت:
- مبارڪون! توهان جو سرٽيفڪيٽ ۽ چيain تي محفوظ ڪيو ويو آهي:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
توهان جي اهم فائل محفوظ ڪئي وئي آهي:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
توهان جو سرٽيفڪيشن 2018-02-26 تي ختم ٿي ويندو. هڪ نئون يا ٽائيڪ حاصل ڪرڻ لاءِ
مستقبل ۾ هن سرٽيفڪيٽ جو نسخو، بس هلايو certbot-auto
ٻيهر. توهان جي سرٽيفڪيٽن جي *سڀني* کي غير مداخلت سان تجديد ڪرڻ لاءِ، هلايو
"certbot-خودڪار تجديد"
- جيڪڏهن توهان سرٽيبٽ پسند ڪريو ٿا، مهرباني ڪري اسان جي ڪم جي سهڪار تي غور ڪيو.
ISRG کي عطيو ڪرڻ / اچو ته انڪرپٽ: https://letsencrypt.org/donate
ايف ايف ايف جي مدد ڪرڻ: https://eff.org/donate-le
SSL سرٽيفڪيٽ تجديد
سرٽيفڪيٽ جي تجديد پڻ تمام آسان آهي، استعمال ڪنديٽرانسڪٽرخودڪار تجديد.ڪجھ ديبين ۾ ڪرنٽاب نصب نه آھي، توھان ان کي دستي طور تي انسٽال ڪري سگھو ٿا.
apt-get install cron
هيٺيون حڪم nginx ۽ apache ۾ ترتيب ڏنل آهن / وغيره / crontab فائل ۾ داخل ڪيل حڪم جو مطلب آهي ته اهو هر 10 ڏينهن ۾ تجديد ڪيو ويندو آهي، ۽ 90 ڏينهن جي صحيح مدت ڪافي آهي.
Nginx crontab فائل، مھرباني ڪري شامل ڪريو:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Apache crontab فائل، مھرباني ڪري شامل ڪريو:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL سرٽيفڪيٽ Apache configuration
هاڻي، اسان کي اپاپي جي ترتيب ۾ تبديليون ڪرڻ جي ضرورت آهي.
طريقه:
- جيڪڏهن توهان استعمال ڪريوCWP ڪنٽرول پينل, ۾ شامل ڪريو ڊومين جو نالو چيڪ ڪريو خودڪار طور تي ھڪڙو ايس ايس ايل سرٽيفڪيٽ ٺاھيو، اھو خودڪار طور تي ايس ايس ايل سرٽيفڪيٽ اپاچي لاء ترتيب ڏيندو.
- جيڪڏهن توهان هيٺ ڏنل قدمن مان وڌيڪ ڪريو ٿا، هڪ غلطي ٿي سگهي ٿي Apache کي ٻيهر شروع ڪرڻ کان پوء.
- جيڪڏهن ڪو نقص آهي، ان ترتيب کي حذف ڪريو جيڪو توهان دستي طور شامل ڪيو آهي.
ايڊٽ ڪريو httpd.conf فائل ▼
/usr/local/apache/conf/httpd.conf
ڳولهيو ▼
Listen 443
- (اڳيون تبصرو نمبر هٽايو #)
يا شامل ڪريو ٻڌڻ وارو پورٽ 443 ▼
Listen 443
SSH چيڪ ڪريو اپاچي ٻڌڻ وارو پورٽ ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
ڳولهيو ▼
mod_ssl
- (اڳيون تبصرو نمبر هٽايو #)
يا شامل ڪريو ▼
LoadModule ssl_module modules/mod_ssl.so
ڳولهيو ▼
httpd-ssl
- (اڳيون تبصرو نمبر هٽايو #)
پوء، SSH ھيٺ ڏنل حڪم تي عمل ڪريو (توهان جي پنھنجي رستي کي تبديل ڪرڻ لاء نوٽ ڪريو):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
اڳيون، توهان جي ٺاهيل ويب سائيٽ لاء Apache ترتيب جي آخر ۾هيٺ.
SSL سيڪشن جي ٺاھ جوڙ واري فائل شامل ڪريو (تبصرو کي هٽائڻ لاء نوٽ ڪريو، ۽ پنھنجو رستو تبديل ڪريو):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
آخرڪار ان تي Apache ٻيهر شروع ڪريو:
service httpd restart
Apache force HTTP کي HTTPS ڏانهن ريڊائريڪٽ ڪريو
- ڪيتريون ئي ويب درخواستون هميشه صرف SSL سان هلائي سگهن ٿيون.
- اسان کي پڪ ڪرڻ جي ضرورت آهي ته هر ڀيري اسان SSL استعمال ڪندا آهيون، ويب سائيٽ کي SSL ذريعي پهچڻ گهرجي.
- جيڪڏهن ڪو به صارف غير SSL URL سان ويب سائيٽ تائين رسائي جي ڪوشش ڪري ٿو، ته هن کي SSL ويب سائيٽ ڏانهن ريڊائريڪٽ ڪيو وڃي.
- Apache mod_rewrite module استعمال ڪندي SSL URL ڏانھن ريڊائريڪٽ ڪريو.
- جيئن ته LAMP هڪ-ڪلڪ انسٽاليشن پيڪيج استعمال ڪرڻ، SSL سرٽيفڪيٽ جي خودڪار تنصيب ۽ HTTPS ڏانهن جبري ريڊائريشن، HTTPS ڏانهن ريڊائريشنزور ۾، توهان کي HTTPS ريڊائريڪٽ شامل ڪرڻ جي ضرورت ناهي.
ريٽائرمينٽ ضابطو شامل ڪريو
- Apache جي ڪنفيگريشن فائل ۾، ويب سائيٽ جي ورچوئل ميزبان کي ايڊٽ ڪريو ۽ ھيٺيون سيٽنگون شامل ڪريو.
- توھان پڻ ساڳيو سيٽنگون شامل ڪري سگھو ٿا دستاويز جي روٽ ۾ توھان جي ويب سائيٽ تي توھان جي .htaccess فائل ۾.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
جيڪڏهن توهان صرف HTTPS ڏانهن ريڊائريڪٽ ڪرڻ لاءِ هڪ خاص URL بيان ڪرڻ چاهيو ٿا:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- جيڪڏھن ڪو پھچڻ جي ڪوشش ڪري پيغام , صفحو ٽپو ڏيندو https تي، ۽ صارف صرف SSL سان URL تائين رسائي ڪري سگھن ٿا.
.htaccess فائل کي اثر انداز ڪرڻ لاء Apache کي ٻيهر شروع ڪريو:
service httpd restart
احتياط
- مھرباني ڪري مٿي ڏنل اي ميل پتي کي پنھنجي اي ميل پتي ۾ تبديل ڪريو.
- مهرباني ڪري مٿي ڏنل ويب سائيٽ ڊومين جو نالو تبديل ڪرڻ لاءِ ياد رکو پنهنجي ويب سائيٽ ڊومين جي نالي ۾.
ريڊائريڪٽ قاعدي جي جڳھ جو مسئلو
pseudo-static قاعدن جي تحت، جڏهن ريڊائريڪشن جمپ ضابطن کي رکڻ، توهان کي عام طور تي منهن ڏيڻو پوندو http https ڏانهن واپس نه ٿو ڪري سگھجي مسئلو.
شروعات ۾ اسان نقل ڪيو ريڊائريڪٽ ڪوڊ کي .htaccess ۾ ۽ اهو هيٺين صورتن ۾ ظاهر ٿيندو ▼
- [L] اشارو ڪري ٿو ته موجوده قاعدو آخري قاعدو آهي، هيٺ ڏنل ٻيهر لکڻ جي قاعدن جو تجزيو ڪرڻ بند ڪريو.
- تنهن ڪري جڏهن ريڊائريڪٽ ڪيل مضمون جي صفحي تائين پهچندي، [L] هيٺ ڏنل قاعدن کي روڪي ٿو، تنهنڪري ريڊائريڪشن ضابطا ڪم نٿا ڪن.
جڏهن http هوم پيج تي وڃون ٿا، اسان چاهيون ٿا ته URL ريڊائريڪشن کي ٽاريون، ريڊائريڪشن جمپ قاعدي تي عمل ڪرڻ لاءِ pseudo-static قاعدي کي ڇڏي ڏيو، ته جيئن اهو حاصل ڪري سگهجي.سائيٽ-وائڊ http https ڏانهن ريڊائريڪٽ ڪريو .
https ريڊائريڪٽ ضابطن ۾ نه وجهي [ايل] ضابطن جي هيٺان ، رکيل [ايل] قاعدن کان مٿي ▼
توسيع پڙهڻ:
- http ۽ https جي وچ ۾ ڇا فرق آهي؟ SSL انڪرپشن جي عمل جي تفصيلي وضاحت
- مون کي ڇا ڪرڻ گهرجي جيڪڏهن مون کي CWP ڪنٽرول پينل ۾ Let's Encrypt SSL سرٽيفڪيٽ انسٽال ڪرڻ کان پوءِ غلطي 500 ملي؟
- خود بخود ٻئي سطح جي ڊومين جي نالي تي وڃو بغير www جي مٿين سطح جي ڊومين جو نالو: روٽ ڊومين جو نالو 301 ريڊائريڪٽس www.
اميد چن ويلانگ بلاگ ( https://www.chenweiliang.com/ "Let's Encrypt لاءِ ڪيئن اپلائي ڪريون؟ اچو ته SSL مفت سرٽيفڪيٽ اصول ۽ تنصيب وارو سبق انڪريپ ڪريو"، جيڪو توهان لاءِ مددگار آهي.
هن آرٽيڪل جي لنڪ کي حصيداري ڪرڻ لاء ڀليڪار:https://www.chenweiliang.com/cwl-512.html
تازن تازه ڪاريون حاصل ڪرڻ لاءِ Chen Weiliang جي بلاگ جي ٽيليگرام چينل تي ڀليڪار!
📚 هي گائيڊ وڏي قيمت تي مشتمل آهي، 🌟 هي هڪ نادر موقعو آهي، ان کي نه وڃايو! ⏰⌛💨
پسند اچي ته شيئر ڪريو ۽ پسند ڪريو!
توهان جي حصيداري ۽ پسند اسان جي مسلسل حوصلا آهن!