Чӣ тавр бояд барои Let's Encrypt муроҷиат кунем? Биёед Принсипи сертификати ройгони SSL-ро рамзгузорӣ кунем ва дастури насбкунӣ

Чӣ тавр барои Let's Encrypt муроҷиат кардан мумкин аст?

Биёед Принсипи сертификати SSL ва дастури насбкуниро рамзгузорӣ кунем

SSL чист?Чен ВейлянДар мақолаи гузашта "Фарқи байни http ва https чист? Шарҳи муфассали раванди рамзгузории SSL"Дар он зикр шудааст.

ба ғайр азТиҷорати электронӣВебсайт бояд сертификати пешрафтаи рамзшудаи SSL харад ва вебсайтро ҳамчун WeChat истифода барадПешбурди ҳисоби ҷамъиятӣазВАО навОдамон, агар шумо хоҳед, ки сертификати SSL насб кунед, шумо воқеан метавонед сертификати рамзшудаи SSL-ро ройгон насб кунед.SEOМуфид, метавонад рейтинги калимаҳои вебсайтро дар системаҳои ҷустуҷӯ беҳтар кунад.

Худи Let's Encrypt як қатор равандҳоро навиштааст (https://certbot.eff.org/), истифода баредLinuxдӯстон, шумо метавонед ин дастурро ҳангоми истинод ба раванд пайгирӣ кунед.

Аввал асбоби certbot-auto-ро зеркашӣ кунед, пас вобастагии насби асбобро иҷро кунед.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Эҷоди шаҳодатномаи SSL

Баъдан, боЧен ВейлянНоми домени блогро мисол гиред, лутфан онро мувофиқи эҳтиёҷоти худ тағир диҳед.SSH фармонҳои зеринро иҷро мекунад.

Боварӣ ҳосил кунед, ки фармонро дар:

1. Қуттии почта
2. роҳи сервер
3. номи домени вебсайт

Феҳристи ягонаи домен, сертификат тавлид кунед:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Феҳристи ягонаи бисёрдоменӣ, сертификат тавлид кунед: (яъне, номҳои домейнҳои сершумор, директорияи ягона, ҳамон сертификатро истифода баред)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Шаҳодатномаи SSL-и тавлидшуда дар: захира карда мешавад:/etc/letsencrypt/live/www.chenweiliang.com/ Дар доираи мундариҷа.

Номҳои домейнҳои сершумор ва директорияҳои сершумор, сертификат тавлид мекунанд: (яъне, номҳои домейнҳои сершумор, директорияҳои сершумор, ҳамон сертификатро истифода баред)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Пас аз бомуваффақият насб кардани сертификати Let's Encrypt, дар SSH паёми фаврии зерин пайдо мешавад:

ЭЗОҲИ муҳим
— Табрик, шаходатнома ва чain дар: захира карда шуданд:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Файли калидии шумо дар: захира карда шуд:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Мӯҳлати сертификати шумо 2018-02-26 ба охир мерасад. Барои ба даст овардани шаҳодатномаи нав ё такмилдодашуда
версияи ин сертификат дар оянда, танҳо certbot-auto -ро иҷро кунед
Барои ба таври ғайри интерактивӣ нав кардани *ҳамаи* сертификатҳои худ, иҷро кунед
"certbot-навсозии худкор"
- Агар ба шумо Certbot маъқул бошад, лутфан дар бораи дастгирии кори мо фикр кунед:
Хайрия ба ISRG / Биёед рамзгузорӣ кунем: https://letsencrypt.org/donate
Хайрия ба EFF: https://eff.org/donate-le

Таҷдиди сертификати SSL

Таҷдиди сертификат низ хеле қулай аст, истифодаcrontabНавсозии худкор.Баъзе Debian crontab насб накардааст, шумо метавонед онро аввал дастӣ насб кунед.

apt-get install cron

Фармонҳои зерин мутаносибан дар nginx ва apache мебошанд / etc / crontab Фармони дар файл воридшуда маънои онро дорад, ки он ҳар 10 рӯз нав карда мешавад ва мӯҳлати эътибори 90 рӯз кофӣ аст.

Файли crontab Nginx, лутфан илова кунед:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Файли crontab Apache, лутфан илова кунед:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

Шаҳодатномаи SSL конфигуратсияи Apache

Ҳоло, мо бояд ба конфигуратсияи Apache тағирот ворид кунем.

Маслиҳатҳо:

• агар шумо истифода баредПанели идоракунии CWP, дар Санҷиши Иловаи номи домен Ба таври худкор шаҳодатномаи SSL-ро тавлид кунед, он ба таври худкор сертификати SSL-ро барои Apache танзим мекунад.
• Агар шумо бештар аз қадамҳои зеринро иҷро кунед, пас аз бозоғозкунии Apache метавонад хатогӣ рух диҳад.
• Агар хато бошад, конфигуратсияеро, ки дастӣ илова кардаед, нест кунед.

Файли httpd.conf-ро таҳрир кунед ▼

/usr/local/apache/conf/httpd.conf

▼ пайдо кунед

Listen 443

• (рақами шарҳи қаблиро хориҷ кунед #)

ё порти гӯшии 443 ▼ илова кунед

Listen 443

SSH порти гӯшии Apache-ро тафтиш кунед ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

▼ пайдо кунед

mod_ssl

• (рақами шарҳи қаблиро хориҷ кунед #)

ё илова кунед ▼

LoadModule ssl_module modules/mod_ssl.so

▼ пайдо кунед

httpd-ssl

• (рақами шарҳи қаблиро хориҷ кунед #)

Сипас, SSH фармони зеринро иҷро кунед (дар хотир доред, ки роҳро ба роҳи худ иваз кунед):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Минбаъд, дар охири конфигуратсияи Apache барои вебсайте, ки шумо сохтаеддар зери.

Файли конфигуратсияи бахши SSL-ро илова кунед (дар хотир доред, ки шарҳро хориҷ кунед ва роҳро ба худатон тағир диҳед):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Дар ниҳоят, Apache-ро аз нав оғоз кунед:

service httpd restart

Apache масири HTTP-ро ба HTTPS маҷбур мекунад

• Бисёр дархостҳои веб ҳамеша метавонанд танҳо бо SSL иҷро шаванд.
• Мо бояд боварӣ ҳосил кунем, ки ҳар дафъае, ки мо SSL-ро истифода мебарем, вебсайт бояд тавассути SSL дастрас шавад.
• Агар ягон корбар кӯшиш кунад, ки ба вебсайт бо URL-и ғайри SSL ворид шавад, вай бояд ба вебсайти SSL равона карда шавад.
• Бо истифода аз модули Apache mod_rewrite ба URL масир кунед.
• Ба монанди истифодаи бастаи насби як клики LAMP, насби автоматии сертификати SSL ва масири маҷбурӣ ба HTTPS, масир ба HTTPSАмалкунанда, ба шумо лозим нест, ки масири HTTPS-ро илова кунед.

Илова кардани қоидаи масир

• Дар файли конфигуратсияи Apache, мизбони виртуалии вебсайтро таҳрир кунед ва танзимоти зеринро илова кунед.
• Шумо инчунин метавонед ҳамон танзимотро ба решаи ҳуҷҷати вебсайти худ дар файли .htaccess илова кунед.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Агар шумо танҳо хоҳед, ки URL-и муайянеро барои масир ба HTTPS таъин кунед:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Агар касе кӯшиш кунад, ки дастрасӣ пайдо кунад хабар , саҳифа ба https мегузарад ва корбар метавонад танҳо ба URL бо SSL дастрасӣ пайдо кунад.

Apache-ро аз нав оғоз кунед, то файли .htaccess эътибор пайдо кунад:

service httpd restart

Эҳтиёткорӣ

• Лутфан суроғаи почтаи электронии дар боло зикршударо ба суроғаи почтаи электронии худ иваз кунед.
• Лутфан фаромӯш накунед, ки номи домени вебсайти дар боло зикршударо ба номи домени вебсайти худ иваз кунед.

Мушкилоти ҷойгиршавии қоидаи масир

Дар доираи қоидаҳои псевдостатикӣ, ҳангоми ҷойгир кардани қоидаҳои ҷаҳиши масир, шумо одатан дучор мешавед http наметавонад ба https равона кунад Масъала.

Дар аввал мо рамзи масирро ба .htaccess нусхабардорӣ кардем ва он дар ҳолатҳои зерин пайдо мешавад ▼

• [L] нишон медиҳад, ки қоидаи ҷорӣ охирин қоида аст, таҳлили қоидаҳои азнавнависии зеринро бас кунед.
• Ҳамин тавр, ҳангоми дастрасӣ ба саҳифаи мақолаи масир, [L] қоидаҳои зеринро қатъ мекунад, аз ин рӯ қоидаҳои масир кор намекунанд.

Ҳангоми боздид аз саҳифаи хонагии http, мо мехоҳем, ки масири URL-ро ба кор андозем, қоидаи псевдостатикиро гузаред, то қоидаи ҷаҳиши масирро иҷро кунем, то ба он ноил шавадМасири http дар саросари сайт ба https .

Қоидаҳои масиркунии https-ро ворид накунед [L] Дар зер қоидаҳо гузоред [L] болотар аз қоидаҳо ▼

Хониши васеъ:

• Фарқи байни http ва https чист? Шарҳи муфассали раванди рамзгузории SSL
• Агар пас аз насб кардани сертификати SSL-ро рамзгузорӣ кунем, дар панели идоракунии CWP хатогии 500 пайдо кунам, ман бояд чӣ кор кунам?
• Ба таври худкор ба номи домени сатҳи дуюм бе номи домени сатҳи www гузаред: номи домени решавӣ 301 www-ро масир мекунад