จะสมัคร Let's Encrypt ได้อย่างไร มาเข้ารหัส SSL ฟรี หลักการและการสอนการติดตั้ง

วิธีการสมัคร Let's Encrypt?

มาเข้ารหัสหลักการของใบรับรอง SSL และบทช่วยสอนการติดตั้งกันเถอะ

SSL คืออะไร?เฉิน เว่ยเหลียงในบทความที่แล้ว "http กับ https ต่างกันอย่างไร? คำอธิบายโดยละเอียดของกระบวนการเข้ารหัส SSL“มันถูกกล่าวถึงใน

นอกเหนือจากอีคอมเมิร์ซเว็บไซต์ต้องซื้อใบรับรอง SSL ที่เข้ารหัสขั้นสูงและใช้เว็บไซต์เป็น WeChatโปรโมชั่นบัญชีสาธารณะ的สื่อใหม่ผู้คน หากคุณต้องการติดตั้งใบรับรอง SSL คุณสามารถติดตั้งใบรับรอง SSL ที่เข้ารหัสได้ฟรีSEOมีประโยชน์สามารถปรับปรุงการจัดอันดับคำหลักของเว็บไซต์ในเครื่องมือค้นหา

Let's Encrypt เองได้เขียนชุดของกระบวนการ (https://certbot.eff.org/） ， 使用ลินุกซ์เพื่อน ๆ คุณสามารถทำตามบทช่วยสอนนี้ในขณะที่อ้างอิงถึงกระบวนการ

ดาวน์โหลดเครื่องมือ certbot-auto ก่อน จากนั้นเรียกใช้การขึ้นต่อกันของการติดตั้งเครื่องมือ

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

สร้างใบรับรอง SSL

ต่อไปด้วยเฉิน เว่ยเหลียงยกตัวอย่างชื่อโดเมนบล็อก โปรดแก้ไขตามความต้องการของคุณเอง SSH รันคำสั่งต่อไปนี้

อย่าลืมแก้ไขคำสั่งใน:

1. ตู้จดหมาย
2. เส้นทางเซิร์ฟเวอร์
3. ชื่อโดเมนเว็บไซต์

ไดเร็กทอรีโดเมนเดียว สร้างใบรับรอง:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

ไดเรกทอรีเดียวแบบหลายโดเมน สร้างใบรับรอง: (เช่น ชื่อโดเมนหลายชื่อ ไดเรกทอรีเดียว ใช้ใบรับรองเดียวกัน)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

ใบรับรอง SSL ที่สร้างขึ้นจะถูกบันทึกไว้ใน:/etc/letsencrypt/live/www.chenweiliang.com/ ภายใต้เนื้อหา

ชื่อโดเมนหลายชื่อและหลายไดเรกทอรี สร้างใบรับรอง: (นั่นคือ หลายชื่อโดเมน หลายไดเรกทอรี ใช้ใบรับรองเดียวกัน)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

หลังจากติดตั้งใบรับรอง Let's Encrypt เรียบร้อยแล้ว ข้อความพร้อมท์ต่อไปนี้จะปรากฏใน SSH:

หมายเหตุสำคัญ:
– ยินดีด้วย ใบรับรองและชain ได้รับการบันทึกที่:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
ไฟล์คีย์ของคุณได้รับการบันทึกที่:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
ใบรับรองของคุณจะหมดอายุในวันที่ 2018-02-26 หากต้องการรับใหม่หรือปรับแต่ง
เวอร์ชันของใบรับรองนี้ในอนาคต เพียงเรียกใช้ certbot-auto
อีกครั้ง หากต้องการต่ออายุใบรับรอง *ทั้งหมด* แบบไม่โต้ตอบ ให้เรียกใช้
"certbot-ต่ออายุอัตโนมัติ"
- ถ้าคุณชอบ Certbot โปรดพิจารณาสนับสนุนงานของเราโดย:
บริจาคให้กับ ISRG / Let's Encrypt: https://letsencrypt.org/donate
การบริจาคให้ EFF: https://eff.org/donate-le

การต่ออายุใบรับรอง SSL

การต่ออายุใบรับรองยังสะดวกมากโดยใช้crontabต่ออายุอัตโนมัติDebian บางตัวไม่ได้ติดตั้ง crontab คุณสามารถติดตั้งได้ด้วยตนเองก่อน

apt-get install cron

คำสั่งต่อไปนี้อยู่ใน nginx และ apache ตามลำดับ / etc / crontab คำสั่งที่ป้อนในไฟล์หมายความว่ามีการต่ออายุทุกๆ 10 วัน และระยะเวลาที่ใช้ได้ 90 วันก็เพียงพอแล้ว

ไฟล์ Nginx crontab โปรดเพิ่ม:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

ไฟล์ Apache crontab โปรดเพิ่ม:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

ใบรับรอง SSL การกำหนดค่า Apache

ตอนนี้ เราต้องทำการเปลี่ยนแปลงการกำหนดค่า Apache

เคล็ดลับ:

• ถ้าคุณใช้แผงควบคุม CWPในการตรวจสอบเพิ่มชื่อโดเมน สร้างใบรับรอง SSL โดยอัตโนมัติ ระบบจะกำหนดค่าใบรับรอง SSL สำหรับ Apache โดยอัตโนมัติ
• หากคุณทำตามขั้นตอนต่อไปนี้เพิ่มเติม อาจเกิดข้อผิดพลาดหลังจากรีสตาร์ท Apache
• หากมีข้อผิดพลาด ให้ลบการกำหนดค่าที่คุณเพิ่มด้วยตนเอง

แก้ไขไฟล์ httpd.conf ▼

/usr/local/apache/conf/httpd.conf

ค้นหา ▼

Listen 443

• (ลบหมายเลขความคิดเห็นก่อนหน้า #)

หรือเพิ่มพอร์ตการฟัง 443 ▼

Listen 443

SSH ตรวจสอบพอร์ตการฟัง Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

ค้นหา ▼

mod_ssl

• (ลบหมายเลขความคิดเห็นก่อนหน้า #)

หรือเพิ่ม ▼

LoadModule ssl_module modules/mod_ssl.so

ค้นหา ▼

httpd-ssl

• (ลบหมายเลขความคิดเห็นก่อนหน้า #)

จากนั้น SSH รันคำสั่งต่อไปนี้ (หมายเหตุเพื่อเปลี่ยนเส้นทางเป็นของคุณเอง):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

ถัดไป เมื่อสิ้นสุดการกำหนดค่า Apache สำหรับเว็บไซต์ที่คุณสร้างขึ้นต่อไปนี้

เพิ่มไฟล์การกำหนดค่าของส่วน SSL (หมายเหตุเพื่อลบความคิดเห็นและเปลี่ยนเส้นทางเป็นของคุณเอง):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

ในที่สุดรีสตาร์ท Apache บนมัน:

service httpd restart

Apache บังคับให้เปลี่ยนเส้นทาง HTTP ไปยัง HTTPS

• คำขอเว็บจำนวนมากสามารถเรียกใช้ได้เฉพาะกับ SSL เท่านั้น
• เราจำเป็นต้องตรวจสอบให้แน่ใจว่าทุกครั้งที่เราใช้ SSL เว็บไซต์จะต้องเข้าถึงผ่าน SSL
• หากผู้ใช้พยายามเข้าถึงเว็บไซต์ด้วย URL ที่ไม่ใช่ SSL เขาต้องถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ SSL
• เปลี่ยนเส้นทางไปยัง SSL URL โดยใช้โมดูล Apache mod_rewrite
• เช่น การใช้แพ็คเกจการติดตั้ง LAMP แบบคลิกเดียว การติดตั้งใบรับรอง SSL อัตโนมัติในตัว และบังคับให้เปลี่ยนเส้นทางไปยัง HTTPS การเปลี่ยนเส้นทางไปยัง HTTPSมีผลบังคับใช้คุณไม่จำเป็นต้องเพิ่มการเปลี่ยนเส้นทาง HTTPS

เพิ่มกฎการเปลี่ยนเส้นทาง

• ในไฟล์การกำหนดค่าของ Apache ให้แก้ไขโฮสต์เสมือนของเว็บไซต์และเพิ่มการตั้งค่าต่อไปนี้
• คุณยังสามารถเพิ่มการตั้งค่าเดียวกันนี้ให้กับรูทเอกสารบนเว็บไซต์ของคุณในไฟล์ .htaccess

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

หากคุณต้องการระบุ URL ที่ต้องการเพื่อเปลี่ยนเส้นทางไปยัง HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• หากมีคนพยายามเข้าถึง ข่าวสาร หน้าจะข้ามไปที่ https และผู้ใช้สามารถเข้าถึง URL ที่มี SSL เท่านั้น

รีสตาร์ท Apache เพื่อให้ไฟล์ .htaccess มีผล:

service httpd restart

注意事项

• โปรดเปลี่ยนที่อยู่อีเมลข้างต้นเป็นที่อยู่อีเมลของคุณ
• โปรดอย่าลืมเปลี่ยนชื่อโดเมนเว็บไซต์ด้านบนเป็นชื่อโดเมนเว็บไซต์ของคุณ

ปัญหาตำแหน่งกฎการเปลี่ยนเส้นทาง

ภายใต้กฎสถิตหลอก เมื่อวางกฎการเปลี่ยนเส้นทาง คุณมักจะพบ http ไม่สามารถเปลี่ยนเส้นทางไปที่ https ปัญหา.

เริ่มแรกเราได้คัดลอกโค้ดเปลี่ยนเส้นทางไปยัง .htaccess และจะปรากฏในกรณีต่อไปนี้ ▼

• [L] ระบุว่ากฎปัจจุบันเป็นกฎสุดท้าย หยุดวิเคราะห์กฎการเขียนซ้ำต่อไปนี้
• ดังนั้นเมื่อเข้าถึงหน้าบทความที่เปลี่ยนเส้นทาง [L] จะหยุดกฎต่อไปนี้ ดังนั้นกฎการเปลี่ยนเส้นทางจะไม่ทำงาน

เมื่อไปที่โฮมเพจ http เราต้องการทริกเกอร์การเปลี่ยนเส้นทาง URL ข้ามกฎหลอกแบบสแตติกเพื่อดำเนินการกฎการข้ามการเปลี่ยนเส้นทางเพื่อให้สามารถทำได้http ทั่วทั้งไซต์เปลี่ยนเส้นทางไปที่ https .

อย่าใส่กฎการเปลี่ยนเส้นทาง https ใน [ล] ใต้กฎ ใส่ [ล] เหนือกฎ ▼

การอ่านเพิ่มเติม:

• http กับ https ต่างกันอย่างไร? คำอธิบายโดยละเอียดของกระบวนการเข้ารหัส SSL
• ฉันควรทำอย่างไรหากได้รับข้อผิดพลาด 500 หลังจากติดตั้งใบรับรอง Let's Encrypt SSL ในแผงควบคุม CWP
• ข้ามไปที่ชื่อโดเมนระดับที่สองโดยอัตโนมัติโดยไม่มี www ชื่อโดเมนระดับบนสุด: ชื่อโดเมนรูท 301 เปลี่ยนเส้นทาง www