Jinsi ya kutuma ombi la Let's Encrypt? Hebu Tusimba Kanuni na Mafunzo ya Cheti Bila Malipo cha SSL

Jinsi ya kutuma ombi la Let's Encrypt?

Hebu Tusimbe Kanuni kwa Njia Fiche ya Cheti cha SSL & Mafunzo ya Usakinishaji

SSL ni nini?Chen WeiliangKatika makala iliyotangulia "Kuna tofauti gani kati ya http na https? Maelezo ya kina ya mchakato wa usimbaji fiche wa SSL"Imetajwa katika.

mbali naBiashara ya kielektronikiTovuti lazima inunue cheti cha hali ya juu cha SSL kilichosimbwa kwa njia fiche na kutumia tovuti kama WeChatUkuzaji wa akaunti ya ummaYamedia mpyaWatu, ikiwa unataka kusakinisha cheti cha SSL, unaweza kweli kusakinisha cheti cha SSL kilichosimbwa bila malipo.SEOInasaidia, inaweza kuboresha orodha ya maneno muhimu ya tovuti katika injini za utafutaji.

Wacha Tusimbe yenyewe imeandika seti ya michakato (https://certbot.eff.org/), tumiaLinuxmarafiki, unaweza kufuata mafunzo haya huku ukirejelea mchakato.

Pakua zana ya certbot-otomatiki kwanza, kisha endesha vitegemezi vya usakinishaji wa zana.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Tengeneza cheti cha SSL

Ifuatayo, naChen WeiliangChukua jina la kikoa cha blogu kama mfano, tafadhali lirekebishe kulingana na mahitaji yako mwenyewe SSH huendesha amri zifuatazo.

Hakikisha kurekebisha amri katika:

1. Sanduku la barua
2. njia ya seva
3. jina la kikoa cha tovuti

Saraka moja ya kikoa kimoja, toa cheti:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Saraka moja ya vikoa vingi, toa cheti: (yaani, majina mengi ya kikoa, saraka moja, tumia cheti sawa)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Cheti cha SSL kilichotengenezwa kitahifadhiwa katika:/etc/letsencrypt/live/www.chenweiliang.com/ Chini ya yaliyomo.

Majina ya vikoa vingi na saraka nyingi, toa cheti: (yaani, majina mengi ya kikoa, saraka nyingi, tumia cheti sawa)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Baada ya cheti cha Let's Encrypt kusakinishwa kwa mafanikio, ujumbe ufuatao wa haraka utaonekana katika SSH:

VIDOKEZO VYA MUHIMU:
- Hongera sana cheti chako na chain zimehifadhiwa kwa:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Faili yako muhimu imehifadhiwa kwa:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Cheti chako kitaisha muda mnamo 2018-02-26. Ili kupata mpya au iliyorekebishwa
toleo la cheti hiki katika siku zijazo, endesha kwa urahisi certbot-auto
tena Ili kusasisha vyeti vyako *vyote* bila mwingiliano, endesha
"certbot-sasisha kiotomatiki"
- Ikiwa unapenda Certbot, tafadhali fikiria kuunga mkono kazi yetu kwa:
Kuchangia kwa ISRG / Hebu Tusimbe kwa Njia Fiche: https://letsencrypt.org/donate
Kujitolea kwa EFF: https://eff.org/donate-le

Upyaji wa Cheti cha SSL

Upyaji wa cheti pia ni rahisi sana, kwa kutumiacrontabSasisha kiotomatiki.Debian fulani haina crontab iliyosanikishwa, unaweza kuisakinisha kwa mikono kwanza.

apt-get install cron

Amri zifuatazo ziko kwenye nginx na apache mtawaliwa / nk / crontab Amri iliyoingia kwenye faili ina maana kwamba inafanywa upya kila siku 10, na muda wa uhalali wa siku 90 ni wa kutosha.

Nginx crontab faili, tafadhali ongeza:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab faili, tafadhali ongeza:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

Cheti cha SSL Usanidi wa Apache

Sasa, tunahitaji kufanya mabadiliko kwenye usanidi wa Apache.

Vidokezo:

• ukitumiaJopo la Kudhibiti la CWP, katika Ongeza jina la kikoa angalia Tengeneza cheti cha SSL kiotomatiki, itasanidi kiotomatiki cheti cha SSL cha Apache.
• Ikiwa utafanya zaidi ya hatua zifuatazo, hitilafu inaweza kutokea baada ya kuanzisha upya Apache.
• Ikiwa kuna hitilafu, futa usanidi ulioongeza wewe mwenyewe.

Hariri faili ya httpd.conf ▼

/usr/local/apache/conf/httpd.conf

Tafuta ▼

Listen 443

• (ondoa nambari ya maoni iliyotangulia #)

au ongeza mlango wa kusikiliza 443 ▼

Listen 443

SSH angalia mlango wa kusikiliza wa Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Tafuta ▼

mod_ssl

• (ondoa nambari ya maoni iliyotangulia #)

au ongeza ▼

LoadModule ssl_module modules/mod_ssl.so

Tafuta ▼

httpd-ssl

• (ondoa nambari ya maoni iliyotangulia #)

Kisha, SSH toa amri ifuatayo (kumbuka kubadilisha njia kuwa yako mwenyewe):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Ifuatayo, mwishoni mwa usanidi wa Apache wa tovuti uliyoundachini.

Ongeza faili ya usanidi ya sehemu ya SSL (kumbuka ili kuondoa maoni, na ubadilishe njia iwe yako):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Mwishowe anza tena Apache juu yake:

service httpd restart

Apache hulazimisha HTTP kuelekeza upya kwa HTTPS

• Maombi mengi ya wavuti yanaweza kuendeshwa na SSL kila wakati.
• Tunahitaji kuhakikisha kwamba kila wakati tunapotumia SSL, tovuti lazima ifikiwe kupitia SSL.
• Mtumiaji yeyote akijaribu kufikia tovuti kwa kutumia URL isiyo ya SSL, lazima aelekezwe kwenye tovuti ya SSL.
• Elekeza upya kwa URL ya SSL kwa kutumia moduli ya Apache mod_rewrite.
• Kama vile kutumia kifurushi cha usakinishaji cha LAMP kwa kubofya mara moja, usakinishaji kiotomatiki uliojengewa ndani wa cheti cha SSL na kulazimishwa kuelekeza upya kwa HTTPS, kuelekeza upya kwa HTTPS.Kwa nguvu, huhitaji kuongeza uelekezaji kwingine wa HTTPS.

Ongeza sheria ya kuelekeza kwingine

• Katika faili ya usanidi ya Apache, hariri mwenyeji pepe wa tovuti na uongeze mipangilio ifuatayo.
• Unaweza pia kuongeza mipangilio sawa kwenye mzizi wa hati kwenye tovuti yako katika faili yako ya .htaccess.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ikiwa unataka tu kutaja URL fulani ya kuelekeza kwa HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Ikiwa mtu anajaribu kufikia ujumbe , ukurasa utaruka kwa https, na mtumiaji anaweza kufikia URL kwa SSL pekee.

Anzisha tena Apache ili faili ya .htaccess ianze kutumika:

service httpd restart

注意 事项

• Tafadhali badilisha barua pepe iliyo hapo juu iwe barua pepe yako.
• Tafadhali kumbuka kubadilisha jina la kikoa cha tovuti hapo juu hadi jina la kikoa cha tovuti yako.

Elekeza upya tatizo la eneo la kanuni

Chini ya sheria za pseudo-static, wakati wa kuweka sheria za kuruka kuelekeza, kwa kawaida utakutana http haiwezi kuelekeza kwa https Tatizo.

Hapo awali tulinakili msimbo wa kuelekeza kwingine kwenye .htaccess na itaonekana katika hali zifuatazo ▼

• [L] inaonyesha kuwa sheria ya sasa ndio kanuni ya mwisho, acha kuchanganua sheria zifuatazo za kuandika upya.
• Kwa hivyo wakati wa kufikia ukurasa wa makala ulioelekezwa kwingine, [L] husimamisha sheria zifuatazo, kwa hivyo sheria za uelekezaji kwingine hazifanyi kazi.

Wakati wa kutembelea ukurasa wa nyumbani wa http, tunataka kuanzisha uelekezaji upya wa URL, ruka sheria bandia-tuli kutekeleza sheria ya kuruka uelekeo kwingine, ili iweze kufanikiwa.Tovuti nzima inaelekeza kwenye https .

Usiweke sheria za kuelekeza kwingine za https [L] Chini ya sheria, kuweka [L] juu ya sheria ▼

Kusoma kwa muda mrefu:

• Kuna tofauti gani kati ya http na https? Maelezo ya kina ya mchakato wa usimbaji fiche wa SSL
• Je! nifanye nini nikipata hitilafu 500 baada ya kusakinisha cheti cha Let's Encrypt SSL kwenye paneli dhibiti ya CWP?
• Rukia kiotomatiki kwa jina la kikoa cha kiwango cha pili bila www jina la kikoa cha kiwango cha juu: jina la kikoa cha mizizi 301 inaelekeza www.