Како се пријавити за Лет'с Енцрипт? Хајде да шифрујемо ССЛ бесплатни сертификат Принцип и водич за инсталацију

Како се пријавити за Лет'с Енцрипт?

Хајде да шифрујемо ССЛ сертификат о принципу и водичу за инсталацију

Шта је ССЛ?Цхен ВеилиангУ претходном чланку "Која је разлика између хттп и хттпс? Детаљно објашњење процеса ССЛ енкрипције„Помиње се у.

семЕ-трговинаВеб локација мора да купи напредни шифровани ССЛ сертификат и да користи веб локацију као ВеЦхатПромоција јавног налогаОфНови медијиЉуди, ако желите да инсталирате ССЛ сертификат, заправо можете бесплатно инсталирати шифровани ССЛ сертификат.SЕОКорисно, може побољшати рангирање кључних речи веб сајта у претраживачима.

Сам Лет'с Енцрипт је написао скуп процеса (https://certbot.eff.org/), користитилинукпријатељи, можете пратити овај водич док се позивате на процес.

Прво преузмите алатку цертбот-ауто, а затим покрените инсталационе зависности алата.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Генеришите ССЛ сертификат

Следеће, саЦхен ВеилиангУзмите име домена блога као пример, модификујте га према сопственим потребама ССХ покреће следеће команде.

Обавезно измените команду у:

1. Пошта
2. путања сервера
3. Домена веб странице

Један директоријум са једним доменом, генеришите сертификат:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Један директоријум са више домена, генеришите сертификат: (тј. више имена домена, један директоријум, користите исти сертификат)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Генерисани ССЛ сертификат ће бити сачуван у:/etc/letsencrypt/live/www.chenweiliang.com/ Под садржајем.

Више имена домена и више директоријума, генеришите сертификат: (то јест, више имена домена, више директоријума, користите исти сертификат)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Након што се сертификат Лет'с Енцрипт успешно инсталира, у ССХ-у ће се појавити следећа порука:

ВАЖНЕ НАПОМЕНЕ:
– Честитамо!Ваша сведочанство и глaiн су сачувани на:
/етц/летсенцрипт/ливе/ввв.цхенвеилианг.цом/фуллцхаин.пем
Ваша кључна датотека је сачувана на:
/етц/летсенцрипт/ливе/ввв.цхенвеилианг.цом/привкеи.пем
Ваш сертификат истиче 2018. Да бисте добили нови или измењени сертификат
верзију овог сертификата у будућности, једноставно покрените цертбот-ауто
поново. Да неинтерактивно обновите *све* сертификате, покрените
"цертбот-ауто ренев"
- Ако вам се свиђа Цертбот, размислите о подршци нашем раду тако што ћете:
Донација ИСРГ-у / Хајде да шифрујемо: https://letsencrypt.org/donate
Донирање ЕФФ-у: https://eff.org/donate-le

Обнова ССЛ сертификата

Обнављање сертификата је такође веома згодно, коришћењемцорнтабАуто-ренев.Неки Дебиан нема инсталиран цронтаб, можете га прво инсталирати ручно.

apt-get install cron

Следеће команде су у нгинк-у и апацхе-у / етц / цронтаб Команда унесена у датотеку значи да се она обнавља сваких 10 дана, а довољан је период важења од 90 дана.

Нгинк цронтаб датотеку, додајте:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Апацхе цронтаб датотеку, додајте:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

ССЛ сертификат Апацхе конфигурација

Сада морамо да променимо Апацхе конфигурацију.

Савети:

• ако користитеЦВП Цонтрол Панел, у потврди Додај име домена Аутоматски генерише ССЛ сертификат, аутоматски ће конфигурисати ССЛ сертификат за Апацхе.
• Ако урадите више од следећих корака, може доћи до грешке након поновног покретања Апацхе-а.
• Ако постоји грешка, избришите конфигурацију коју сте додали ручно.

Уредите хттпд.цонф датотеку ▼

/usr/local/apache/conf/httpd.conf

Пронађите ▼

Listen 443

• (уклони претходни коментар број #)

или додајте порт за слушање 443 ▼

Listen 443

ССХ провери Апацхе порт за слушање ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Пронађите ▼

mod_ssl

• (уклони претходни коментар број #)

или додајте ▼

LoadModule ssl_module modules/mod_ssl.so

Пронађите ▼

httpd-ssl

• (уклони претходни коментар број #)

Затим, ССХ изврши следећу команду (имајте на уму да промените путању на своју):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Затим, на крају Апацхе конфигурације за веб локацију коју сте креиралииспод.

Додајте конфигурациону датотеку ССЛ одељка (напомена да уклоните коментар и промените путању на своју):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Коначно поново покрените Апацхе на њему:

service httpd restart

Апацхе присиљава ХТТП преусмеравање на ХТТПС

• Многи веб захтеви увек могу да раде само са ССЛ-ом.
• Морамо да се уверимо да сваки пут када користимо ССЛ, веб локацији мора да се приступа преко ССЛ-а.
• Ако било који корисник покуша да приступи веб локацији са УРЛ-ом који није ССЛ, мора бити преусмерен на ССЛ веб локацију.
• Преусмери на ССЛ УРЛ користећи Апацхе мод_реврите модул.
• Као што је коришћење ЛАМП инсталационог пакета једним кликом, уграђена аутоматска инсталација ССЛ сертификата и принудно преусмеравање на ХТТПС, преусмеравање на ХТТПСНа снази, не морате да додате ХТТПС преусмеравање.

Додајте правило преусмеравања

• У Апацхе-овој конфигурационој датотеци уредите виртуелни хост веб локације и додајте следећа подешавања.
• Такође можете додати иста подешавања у корен документа на вашој веб локацији у вашој .хтаццесс датотеци.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ако само желите да наведете одређени УРЛ за преусмеравање на ХТТПС:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Ако неко покуша да приступи порука , страница ће скочити на хттпс, а корисник може приступити УРЛ адреси само са ССЛ-ом.

Поново покрените Апацхе да би .хтаццесс датотека ступила на снагу:

service httpd restart

注意 事项

• Молимо вас да промените горњу адресу е-поште у своју адресу е-поште.
• Не заборавите да промените горенаведено име домена веб локације у име домена ваше веб локације.

Проблем са локацијом правила преусмеравања

Под псеудостатичким правилима, када постављате правила за скок преусмеравања, обично се сусрећете хттп не може да преусмери на хттпс Проблем.

Првобитно смо копирали код за преусмеравање у .хтаццесс и он ће се појавити у следећим случајевима ▼

• [Л] означава да је тренутно правило последње правило, престаните да анализирате следећа правила поновног писања.
• Дакле, када приступате преусмереној страници чланка, [Л] зауставља следећа правила, тако да правила преусмеравања не функционишу.

Када посећујемо хттп почетну страницу, желимо да покренемо преусмеравање УРЛ-а, прескочимо псеудостатичко правило да бисмо извршили правило за скок преусмеравања, тако да се може постићихттп на целом сајту преусмерава на хттпс .

Не стављајте хттпс правила за преусмеравање [Л] Испод правила, ставите [Л] изнад правила ▼

Додатна литература:

• Која је разлика између хттп и хттпс? Детаљно објашњење процеса ССЛ енкрипције
• Шта да радим ако добијем грешку 500 након инсталирања Лет'с Енцрипт ССЛ сертификата на ЦВП контролној табли?
• Аутоматски пређите на име домена другог нивоа без имена домена највишег нивоа ввв: име основног домена 301 преусмерава на ввв