Adresár článkov
Ako požiadať o Let's Encrypt?
Poďme šifrovať princíp certifikátu SSL a návod na inštaláciu
Čo je SSL?Chen WeiliangV predchádzajúcom článku "Aký je rozdiel medzi http vs https? Podrobné vysvetlenie procesu šifrovania SSL“spomínané v.
okremE-commerceWebová lokalita si musí zakúpiť pokročilý šifrovaný certifikát SSL a používať webovú stránku ako WeChatPropagácia verejného účtuznové médiáĽudia, ak si chcete nainštalovať certifikát SSL, môžete si skutočne zadarmo nainštalovať šifrovaný certifikát SSL.SEOJe to užitočné a môže zlepšiť hodnotenie kľúčových slov webových stránok vo vyhľadávačoch.
Let's Encrypt sám napísal súbor procesov (https://certbot.eff.org/), použiteLinuxpriatelia, môžete postupovať podľa tohto návodu a zároveň sa odvolávať na proces.
Najprv si stiahnite nástroj certbot-auto a potom spustite závislosti inštalácie nástroja.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Vygenerujte SSL certifikát
Ďalej sChen WeiliangVezmite si názov domény blogu ako príklad, upravte ho podľa vlastných potrieb. SSH spúšťa nasledujúce príkazy.
Nezabudnite upraviť príkaz v:
- poštová schránka
- cesta k serveru
- názov domény webovej stránky
Jediný adresár s jednou doménou, vygenerujte certifikát:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Viacdoménový jeden adresár, vygenerujte certifikát: (tj viacero názvov domén, jeden adresár, použite rovnaký certifikát)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Vygenerovaný certifikát SSL bude uložený v:/etc/letsencrypt/live/www.chenweiliang.com/
Pod obsahom.
Viacero názvov domén a viacero adresárov, vygenerovanie certifikátu: (t. j. viacero názvov domén, viacero adresárov, použite rovnaký certifikát)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Po úspešnej inštalácii certifikátu Let's Encrypt sa v SSH zobrazí nasledujúca výzva:
DÔLEŽITÉ POZNÁMKY:
– Gratulujeme! Váš certifikát a chain boli uložené na:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Váš súbor kľúča bol uložený na adrese:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Platnosť vášho certifikátu vyprší 2018. 02. 26. Ak chcete získať nový alebo vylepšený
verziu tohto certifikátu v budúcnosti, jednoducho spustite certbot-auto
Ak chcete neinteraktívne obnoviť *všetky* svoje certifikáty, spustite
"certbot-auto renew"
- Ak máte radi Certbot, zvážte podporu našej práce:
Darovanie pre ISRG / Let's Encrypt: https://letsencrypt.org/donate
Darovanie pre EFF: https://eff.org/donate-le
Obnovenie certifikátu SSL
Obnovenie certifikátu je tiež veľmi pohodlné, pomocoucrontabAutomatické obnovenie.V niektorých Debianoch nie je nainštalovaný crontab, môžete si ho najskôr nainštalovať manuálne.
apt-get install cron
Nasledujúce príkazy sú v nginx a apache / Etc / crontab Príkaz zadaný v súbore znamená, že sa obnovuje každých 10 dní a postačuje 90-dňová doba platnosti.
Nginx súbor crontab, pridajte:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Súbor Apache crontab, pridajte:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL certifikát Konfigurácia Apache
Teraz musíme vykonať zmeny v konfigurácii Apache.
Tipy:
- ak použijeteOvládací panel CWP, v zaškrtnutí Pridať názov domény Automaticky vygenerovať SSL certifikát automaticky nakonfiguruje SSL certifikát pre Apache.
- Ak vykonáte viac z nasledujúcich krokov, po reštartovaní Apache sa môže vyskytnúť chyba.
- Ak sa vyskytne chyba, odstráňte konfiguráciu, ktorú ste pridali ručne.
Upravte súbor httpd.conf ▼
/usr/local/apache/conf/httpd.conf
Nájdite ▼
Listen 443
- (odstráňte predchádzajúci komentár číslo #)
alebo pridajte port počúvania 443 ▼
Listen 443
SSH skontrolujte port počúvania Apache ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Nájdite ▼
mod_ssl
- (odstráňte predchádzajúci komentár číslo #)
alebo pridajte ▼
LoadModule ssl_module modules/mod_ssl.so
Nájdite ▼
httpd-ssl
- (odstráňte predchádzajúci komentár číslo #)
Potom SSH vykonajte nasledujúci príkaz (upozorňujeme na zmenu cesty na vlastnú):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Ďalej na konci konfigurácie Apache pre web, ktorý ste vytvorilipod.
Pridajte konfiguračný súbor sekcie SSL (poznámka na odstránenie komentára a zmena cesty na vlastnú):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Nakoniec na ňom reštartujte Apache:
service httpd restart
Apache vynúti presmerovanie HTTP na HTTPS
- Mnoho webových požiadaviek môže vždy bežať iba s SSL.
- Musíme sa uistiť, že zakaždým, keď používame SSL, web musí byť prístupný cez SSL.
- Ak sa ktorýkoľvek používateľ pokúsi o prístup na webovú stránku s URL bez SSL, musí byť presmerovaný na webovú stránku SSL.
- Presmerujte na SSL URL pomocou modulu Apache mod_rewrite.
- Ako napríklad použitie inštalačného balíka LAMP na jedno kliknutie, vstavaná automatická inštalácia certifikátu SSL a nútené presmerovanie na HTTPS, presmerovanie na HTTPSV platnosti, nemusíte pridávať presmerovanie HTTPS.
Pridať pravidlo presmerovania
- V konfiguračnom súbore Apache upravte virtuálneho hostiteľa webovej lokality a pridajte nasledujúce nastavenia.
- Rovnaké nastavenia môžete pridať aj do koreňového adresára dokumentu na svojej webovej lokalite v súbore .htaccess.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Ak chcete zadať iba určitú adresu URL na presmerovanie na HTTPS:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Ak sa niekto pokúsi o prístup správa , stránka preskočí na https a používateľ bude mať prístup k adrese URL iba pomocou protokolu SSL.
Reštartujte Apache, aby sa súbor .htaccess prejavil:
service httpd restart
注意 事项
- Zmeňte vyššie uvedenú e-mailovú adresu na svoju e-mailovú adresu.
- Nezabudnite zmeniť vyššie uvedený názov domény webovej lokality na názov domény vašej webovej lokality.
Problém s umiestnením pravidla presmerovania
Pod pseudostatickými pravidlami sa pri umiestňovaní pravidiel skoku presmerovania zvyčajne stretnete http nemôže presmerovať na https Problém.
Pôvodne sme skopírovali kód presmerovania do .htaccess a zobrazí sa v nasledujúcich prípadoch ▼
- [L] označuje, že aktuálne pravidlo je posledným pravidlom, prestaňte analyzovať nasledujúce pravidlá prepisovania.
- Takže pri prístupe na stránku s presmerovaným článkom [L] zastaví nasledujúce pravidlo, takže pravidlo presmerovania nefunguje.
Pri návšteve domovskej stránky http chceme spustiť presmerovanie adresy URL, preskočiť pseudostatické pravidlo na vykonanie pravidla skoku presmerovania, aby sa to dalo dosiahnuťPresmerovanie http na https na celom webe .
Nevkladajte pravidlá presmerovania https [L] Pod pravidlá, dajte [L] nad pravidlami ▼
Ďalšie čítanie:
- Aký je rozdiel medzi http vs https? Podrobné vysvetlenie procesu šifrovania SSL
- Čo mám robiť, ak sa mi po nainštalovaní certifikátu Let's Encrypt SSL v ovládacom paneli CWP zobrazí chyba 500?
- Automaticky preskočiť na názov domény druhej úrovne bez názvu domény najvyššej úrovne www: názov koreňovej domény 301 presmeruje www
Blog Hope Chen Weiliang ( https://www.chenweiliang.com/ ) zdieľal "Ako požiadať o Let's Encrypt? Let's Encrypt SSL Free Certificate Princip & Installation Tutorial", ktorý je pre vás užitočný.
Vitajte pri zdieľaní odkazu na tento článok:https://www.chenweiliang.com/cwl-512.html
Vitajte na telegramovom kanáli blogu Chen Weiliang, kde získate najnovšie aktualizácie!
📚 Táto príručka obsahuje obrovskú hodnotu, 🌟Toto je vzácna príležitosť, nenechajte si ju ujsť! ⏰⌛💨
Ak sa vám páči, zdieľajte a lajkujte!
Vaše zdieľanie a lajky sú našou neustálou motiváciou!