ไดเรกทอรีบทความ
วิธีการสมัคร Let's Encrypt?
มาเข้ารหัสหลักการของใบรับรอง SSL และบทช่วยสอนการติดตั้งกันเถอะ
SSL คืออะไร?เฉิน เว่ยเหลียงในบทความที่แล้ว "http กับ https ต่างกันอย่างไร? คำอธิบายโดยละเอียดของกระบวนการเข้ารหัส SSL“มันถูกกล่าวถึงใน
นอกเหนือจากอีคอมเมิร์ซเว็บไซต์ต้องซื้อใบรับรอง SSL ที่เข้ารหัสขั้นสูงและใช้เว็บไซต์เป็น WeChatโปรโมชั่นบัญชีสาธารณะ的สื่อใหม่ผู้คน หากคุณต้องการติดตั้งใบรับรอง SSL คุณสามารถติดตั้งใบรับรอง SSL ที่เข้ารหัสได้ฟรีSEOมีประโยชน์สามารถปรับปรุงการจัดอันดับคำหลักของเว็บไซต์ในเครื่องมือค้นหา
Let's Encrypt เองได้เขียนชุดของกระบวนการ (https://certbot.eff.org/) , 使用ลินุกซ์เพื่อน ๆ คุณสามารถทำตามบทช่วยสอนนี้ในขณะที่อ้างอิงถึงกระบวนการ
ดาวน์โหลดเครื่องมือ certbot-auto ก่อน จากนั้นเรียกใช้การขึ้นต่อกันของการติดตั้งเครื่องมือ
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
สร้างใบรับรอง SSL
ต่อไปด้วยเฉิน เว่ยเหลียงยกตัวอย่างชื่อโดเมนบล็อก โปรดแก้ไขตามความต้องการของคุณเอง SSH รันคำสั่งต่อไปนี้
อย่าลืมแก้ไขคำสั่งใน:
- ตู้จดหมาย
- เส้นทางเซิร์ฟเวอร์
- ชื่อโดเมนเว็บไซต์
ไดเร็กทอรีโดเมนเดียว สร้างใบรับรอง:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
ไดเรกทอรีเดียวแบบหลายโดเมน สร้างใบรับรอง: (เช่น ชื่อโดเมนหลายชื่อ ไดเรกทอรีเดียว ใช้ใบรับรองเดียวกัน)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
ใบรับรอง SSL ที่สร้างขึ้นจะถูกบันทึกไว้ใน:/etc/letsencrypt/live/www.chenweiliang.com/
ภายใต้เนื้อหา
ชื่อโดเมนหลายชื่อและหลายไดเรกทอรี สร้างใบรับรอง: (นั่นคือ หลายชื่อโดเมน หลายไดเรกทอรี ใช้ใบรับรองเดียวกัน)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
หลังจากติดตั้งใบรับรอง Let's Encrypt เรียบร้อยแล้ว ข้อความพร้อมท์ต่อไปนี้จะปรากฏใน SSH:
หมายเหตุสำคัญ:
– ยินดีด้วย ใบรับรองและชain ได้รับการบันทึกที่:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
ไฟล์คีย์ของคุณได้รับการบันทึกที่:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
ใบรับรองของคุณจะหมดอายุในวันที่ 2018-02-26 หากต้องการรับใหม่หรือปรับแต่ง
เวอร์ชันของใบรับรองนี้ในอนาคต เพียงเรียกใช้ certbot-auto
อีกครั้ง หากต้องการต่ออายุใบรับรอง *ทั้งหมด* แบบไม่โต้ตอบ ให้เรียกใช้
"certbot-ต่ออายุอัตโนมัติ"
- ถ้าคุณชอบ Certbot โปรดพิจารณาสนับสนุนงานของเราโดย:
บริจาคให้กับ ISRG / Let's Encrypt: https://letsencrypt.org/donate
การบริจาคให้ EFF: https://eff.org/donate-le
การต่ออายุใบรับรอง SSL
การต่ออายุใบรับรองยังสะดวกมากโดยใช้crontabต่ออายุอัตโนมัติDebian บางตัวไม่ได้ติดตั้ง crontab คุณสามารถติดตั้งได้ด้วยตนเองก่อน
apt-get install cron
คำสั่งต่อไปนี้อยู่ใน nginx และ apache ตามลำดับ / etc / crontab คำสั่งที่ป้อนในไฟล์หมายความว่ามีการต่ออายุทุกๆ 10 วัน และระยะเวลาที่ใช้ได้ 90 วันก็เพียงพอแล้ว
ไฟล์ Nginx crontab โปรดเพิ่ม:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
ไฟล์ Apache crontab โปรดเพิ่ม:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
ใบรับรอง SSL การกำหนดค่า Apache
ตอนนี้ เราต้องทำการเปลี่ยนแปลงการกำหนดค่า Apache
เคล็ดลับ:
- ถ้าคุณใช้แผงควบคุม CWPในการตรวจสอบเพิ่มชื่อโดเมน สร้างใบรับรอง SSL โดยอัตโนมัติ ระบบจะกำหนดค่าใบรับรอง SSL สำหรับ Apache โดยอัตโนมัติ
- หากคุณทำตามขั้นตอนต่อไปนี้เพิ่มเติม อาจเกิดข้อผิดพลาดหลังจากรีสตาร์ท Apache
- หากมีข้อผิดพลาด ให้ลบการกำหนดค่าที่คุณเพิ่มด้วยตนเอง
แก้ไขไฟล์ httpd.conf ▼
/usr/local/apache/conf/httpd.conf
ค้นหา ▼
Listen 443
- (ลบหมายเลขความคิดเห็นก่อนหน้า #)
หรือเพิ่มพอร์ตการฟัง 443 ▼
Listen 443
SSH ตรวจสอบพอร์ตการฟัง Apache ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
ค้นหา ▼
mod_ssl
- (ลบหมายเลขความคิดเห็นก่อนหน้า #)
หรือเพิ่ม ▼
LoadModule ssl_module modules/mod_ssl.so
ค้นหา ▼
httpd-ssl
- (ลบหมายเลขความคิดเห็นก่อนหน้า #)
จากนั้น SSH รันคำสั่งต่อไปนี้ (หมายเหตุเพื่อเปลี่ยนเส้นทางเป็นของคุณเอง):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
ถัดไป เมื่อสิ้นสุดการกำหนดค่า Apache สำหรับเว็บไซต์ที่คุณสร้างขึ้นต่อไปนี้
เพิ่มไฟล์การกำหนดค่าของส่วน SSL (หมายเหตุเพื่อลบความคิดเห็นและเปลี่ยนเส้นทางเป็นของคุณเอง):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
ในที่สุดรีสตาร์ท Apache บนมัน:
service httpd restart
Apache บังคับให้เปลี่ยนเส้นทาง HTTP ไปยัง HTTPS
- คำขอเว็บจำนวนมากสามารถเรียกใช้ได้เฉพาะกับ SSL เท่านั้น
- เราจำเป็นต้องตรวจสอบให้แน่ใจว่าทุกครั้งที่เราใช้ SSL เว็บไซต์จะต้องเข้าถึงผ่าน SSL
- หากผู้ใช้พยายามเข้าถึงเว็บไซต์ด้วย URL ที่ไม่ใช่ SSL เขาต้องถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ SSL
- เปลี่ยนเส้นทางไปยัง SSL URL โดยใช้โมดูล Apache mod_rewrite
- เช่น การใช้แพ็คเกจการติดตั้ง LAMP แบบคลิกเดียว การติดตั้งใบรับรอง SSL อัตโนมัติในตัว และบังคับให้เปลี่ยนเส้นทางไปยัง HTTPS การเปลี่ยนเส้นทางไปยัง HTTPSมีผลบังคับใช้คุณไม่จำเป็นต้องเพิ่มการเปลี่ยนเส้นทาง HTTPS
เพิ่มกฎการเปลี่ยนเส้นทาง
- ในไฟล์การกำหนดค่าของ Apache ให้แก้ไขโฮสต์เสมือนของเว็บไซต์และเพิ่มการตั้งค่าต่อไปนี้
- คุณยังสามารถเพิ่มการตั้งค่าเดียวกันนี้ให้กับรูทเอกสารบนเว็บไซต์ของคุณในไฟล์ .htaccess
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
หากคุณต้องการระบุ URL ที่ต้องการเพื่อเปลี่ยนเส้นทางไปยัง HTTPS:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- หากมีคนพยายามเข้าถึง ข่าวสาร หน้าจะข้ามไปที่ https และผู้ใช้สามารถเข้าถึง URL ที่มี SSL เท่านั้น
รีสตาร์ท Apache เพื่อให้ไฟล์ .htaccess มีผล:
service httpd restart
注意事项
- โปรดเปลี่ยนที่อยู่อีเมลข้างต้นเป็นที่อยู่อีเมลของคุณ
- โปรดอย่าลืมเปลี่ยนชื่อโดเมนเว็บไซต์ด้านบนเป็นชื่อโดเมนเว็บไซต์ของคุณ
ปัญหาตำแหน่งกฎการเปลี่ยนเส้นทาง
ภายใต้กฎสถิตหลอก เมื่อวางกฎการเปลี่ยนเส้นทาง คุณมักจะพบ http ไม่สามารถเปลี่ยนเส้นทางไปที่ https ปัญหา.
เริ่มแรกเราได้คัดลอกโค้ดเปลี่ยนเส้นทางไปยัง .htaccess และจะปรากฏในกรณีต่อไปนี้ ▼
- [L] ระบุว่ากฎปัจจุบันเป็นกฎสุดท้าย หยุดวิเคราะห์กฎการเขียนซ้ำต่อไปนี้
- ดังนั้นเมื่อเข้าถึงหน้าบทความที่เปลี่ยนเส้นทาง [L] จะหยุดกฎต่อไปนี้ ดังนั้นกฎการเปลี่ยนเส้นทางจะไม่ทำงาน
เมื่อไปที่โฮมเพจ http เราต้องการทริกเกอร์การเปลี่ยนเส้นทาง URL ข้ามกฎหลอกแบบสแตติกเพื่อดำเนินการกฎการข้ามการเปลี่ยนเส้นทางเพื่อให้สามารถทำได้http ทั่วทั้งไซต์เปลี่ยนเส้นทางไปที่ https .
อย่าใส่กฎการเปลี่ยนเส้นทาง https ใน [ล] ใต้กฎ ใส่ [ล] เหนือกฎ ▼
การอ่านเพิ่มเติม:
- http กับ https ต่างกันอย่างไร? คำอธิบายโดยละเอียดของกระบวนการเข้ารหัส SSL
- ฉันควรทำอย่างไรหากได้รับข้อผิดพลาด 500 หลังจากติดตั้งใบรับรอง Let's Encrypt SSL ในแผงควบคุม CWP
- ข้ามไปที่ชื่อโดเมนระดับที่สองโดยอัตโนมัติโดยไม่มี www ชื่อโดเมนระดับบนสุด: ชื่อโดเมนรูท 301 เปลี่ยนเส้นทาง www
หวัง Chen Weiliang บล็อก ( https://www.chenweiliang.com/ ) แชร์ "วิธีการสมัคร Let's Encrypt กันเถอะ Let's Encrypt SSL Free Certificate Principle & Installation Tutorial" ซึ่งเป็นประโยชน์กับคุณ
ยินดีต้อนรับสู่การแบ่งปันลิงค์ของบทความนี้:https://www.chenweiliang.com/cwl-512.html
ยินดีต้อนรับสู่ช่อง Telegram ของบล็อกของ Chen Weiliang เพื่อรับข่าวสารล่าสุด!
📚 คู่มือนี้มีคุณค่ามหาศาล 🌟 นี่เป็นโอกาสที่หายาก อย่าพลาด! ⏰⌛💨
แชร์และชอบถ้าคุณชอบ!
การแบ่งปันและไลค์ของคุณเป็นแรงจูงใจอย่างต่อเนื่องของเรา!