Ako požiadať o Let's Encrypt? Let's Encrypt SSL Free Certificate Princip & Installation Tutorial

Ako požiadať o Let's Encrypt?

Poďme šifrovať princíp certifikátu SSL a návod na inštaláciu

Čo je SSL?Chen WeiliangV predchádzajúcom článku "Aký je rozdiel medzi http vs https? Podrobné vysvetlenie procesu šifrovania SSL“spomínané v.

okremE-commerceWebová lokalita si musí zakúpiť pokročilý šifrovaný certifikát SSL a používať webovú stránku ako WeChatPropagácia verejného účtuznové médiáĽudia, ak si chcete nainštalovať certifikát SSL, môžete si skutočne zadarmo nainštalovať šifrovaný certifikát SSL.SEOJe to užitočné a môže zlepšiť hodnotenie kľúčových slov webových stránok vo vyhľadávačoch.

Let's Encrypt sám napísal súbor procesov (https://certbot.eff.org/), použiteLinuxpriatelia, môžete postupovať podľa tohto návodu a zároveň sa odvolávať na proces.

Najprv si stiahnite nástroj certbot-auto a potom spustite závislosti inštalácie nástroja.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Vygenerujte SSL certifikát

Ďalej sChen WeiliangVezmite si názov domény blogu ako príklad, upravte ho podľa vlastných potrieb. SSH spúšťa nasledujúce príkazy.

Nezabudnite upraviť príkaz v:

1. poštová schránka
2. cesta k serveru
3. názov domény webovej stránky

Jediný adresár s jednou doménou, vygenerujte certifikát:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Viacdoménový jeden adresár, vygenerujte certifikát: (tj viacero názvov domén, jeden adresár, použite rovnaký certifikát)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Vygenerovaný certifikát SSL bude uložený v:/etc/letsencrypt/live/www.chenweiliang.com/ Pod obsahom.

Viacero názvov domén a viacero adresárov, vygenerovanie certifikátu: (t. j. viacero názvov domén, viacero adresárov, použite rovnaký certifikát)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Po úspešnej inštalácii certifikátu Let's Encrypt sa v SSH zobrazí nasledujúca výzva:

DÔLEŽITÉ POZNÁMKY:
– Gratulujeme! Váš certifikát a chain boli uložené na:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Váš súbor kľúča bol uložený na adrese:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Platnosť vášho certifikátu vyprší 2018. 02. 26. Ak chcete získať nový alebo vylepšený
verziu tohto certifikátu v budúcnosti, jednoducho spustite certbot-auto
Ak chcete neinteraktívne obnoviť *všetky* svoje certifikáty, spustite
"certbot-auto renew"
- Ak máte radi Certbot, zvážte podporu našej práce:
Darovanie pre ISRG / Let's Encrypt: https://letsencrypt.org/donate
Darovanie pre EFF: https://eff.org/donate-le

Obnovenie certifikátu SSL

Obnovenie certifikátu je tiež veľmi pohodlné, pomocoucrontabAutomatické obnovenie.V niektorých Debianoch nie je nainštalovaný crontab, môžete si ho najskôr nainštalovať manuálne.

apt-get install cron

Nasledujúce príkazy sú v nginx a apache / Etc / crontab Príkaz zadaný v súbore znamená, že sa obnovuje každých 10 dní a postačuje 90-dňová doba platnosti.

Nginx súbor crontab, pridajte:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Súbor Apache crontab, pridajte:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL certifikát Konfigurácia Apache

Teraz musíme vykonať zmeny v konfigurácii Apache.

Tipy:

• ak použijeteOvládací panel CWP, v zaškrtnutí Pridať názov domény Automaticky vygenerovať SSL certifikát automaticky nakonfiguruje SSL certifikát pre Apache.
• Ak vykonáte viac z nasledujúcich krokov, po reštartovaní Apache sa môže vyskytnúť chyba.
• Ak sa vyskytne chyba, odstráňte konfiguráciu, ktorú ste pridali ručne.

Upravte súbor httpd.conf ▼

/usr/local/apache/conf/httpd.conf

Nájdite ▼

Listen 443

• (odstráňte predchádzajúci komentár číslo #)

alebo pridajte port počúvania 443 ▼

Listen 443

SSH skontrolujte port počúvania Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Nájdite ▼

mod_ssl

• (odstráňte predchádzajúci komentár číslo #)

alebo pridajte ▼

LoadModule ssl_module modules/mod_ssl.so

Nájdite ▼

httpd-ssl

• (odstráňte predchádzajúci komentár číslo #)

Potom SSH vykonajte nasledujúci príkaz (upozorňujeme na zmenu cesty na vlastnú):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Ďalej na konci konfigurácie Apache pre web, ktorý ste vytvorilipod.

Pridajte konfiguračný súbor sekcie SSL (poznámka na odstránenie komentára a zmena cesty na vlastnú):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Nakoniec na ňom reštartujte Apache:

service httpd restart

Apache vynúti presmerovanie HTTP na HTTPS

• Mnoho webových požiadaviek môže vždy bežať iba s SSL.
• Musíme sa uistiť, že zakaždým, keď používame SSL, web musí byť prístupný cez SSL.
• Ak sa ktorýkoľvek používateľ pokúsi o prístup na webovú stránku s URL bez SSL, musí byť presmerovaný na webovú stránku SSL.
• Presmerujte na SSL URL pomocou modulu Apache mod_rewrite.
• Ako napríklad použitie inštalačného balíka LAMP na jedno kliknutie, vstavaná automatická inštalácia certifikátu SSL a nútené presmerovanie na HTTPS, presmerovanie na HTTPSV platnosti, nemusíte pridávať presmerovanie HTTPS.

Pridať pravidlo presmerovania

• V konfiguračnom súbore Apache upravte virtuálneho hostiteľa webovej lokality a pridajte nasledujúce nastavenia.
• Rovnaké nastavenia môžete pridať aj do koreňového adresára dokumentu na svojej webovej lokalite v súbore .htaccess.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ak chcete zadať iba určitú adresu URL na presmerovanie na HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Ak sa niekto pokúsi o prístup správa , stránka preskočí na https a používateľ bude mať prístup k adrese URL iba pomocou protokolu SSL.

Reštartujte Apache, aby sa súbor .htaccess prejavil:

service httpd restart

注意 事项

• Zmeňte vyššie uvedenú e-mailovú adresu na svoju e-mailovú adresu.
• Nezabudnite zmeniť vyššie uvedený názov domény webovej lokality na názov domény vašej webovej lokality.

Problém s umiestnením pravidla presmerovania

Pod pseudostatickými pravidlami sa pri umiestňovaní pravidiel skoku presmerovania zvyčajne stretnete http nemôže presmerovať na https Problém.

Pôvodne sme skopírovali kód presmerovania do .htaccess a zobrazí sa v nasledujúcich prípadoch ▼

• [L] označuje, že aktuálne pravidlo je posledným pravidlom, prestaňte analyzovať nasledujúce pravidlá prepisovania.
• Takže pri prístupe na stránku s presmerovaným článkom [L] zastaví nasledujúce pravidlo, takže pravidlo presmerovania nefunguje.

Pri návšteve domovskej stránky http chceme spustiť presmerovanie adresy URL, preskočiť pseudostatické pravidlo na vykonanie pravidla skoku presmerovania, aby sa to dalo dosiahnuťPresmerovanie http na https na celom webe .

Nevkladajte pravidlá presmerovania https [L] Pod pravidlá, dajte [L] nad pravidlami ▼

Ďalšie čítanie:

• Aký je rozdiel medzi http vs https? Podrobné vysvetlenie procesu šifrovania SSL
• Čo mám robiť, ak sa mi po nainštalovaní certifikátu Let's Encrypt SSL v ovládacom paneli CWP zobrazí chyba 500?
• Automaticky preskočiť na názov domény druhej úrovne bez názvu domény najvyššej úrovne www: názov koreňovej domény 301 presmeruje www