Paano mag-apply para sa Let's Encrypt? Let's Encrypt SSL Free Certificate Principle & Installation Tutorial

Paano mag-apply para sa Let's Encrypt?

I-encrypt Natin ang Prinsipyo ng SSL Certificate at Tutorial sa Pag-install

Ano ang SSL?Chen WeiliangSa nakaraang artikulo "Ano ang pagkakaiba ng http vs https? Detalyadong paliwanag ng proseso ng SSL encryption” nabanggit sa.

Bukod saE-commerceDapat bumili ang website ng advanced na naka-encrypt na SSL certificate at gamitin ang website bilang WeChatPag-promote ng pampublikong accountNgbagong mediaMga tao, kung gusto mong mag-install ng SSL certificate, maaari ka talagang mag-install ng naka-encrypt na SSL certificate nang libre.SEONakatutulong, maaaring mapabuti ang ranggo ng mga keyword ng website sa mga search engine.

Ang Let's Encrypt mismo ay nagsulat ng isang hanay ng mga proseso (https://certbot.eff.org/), gamitinLinuxmga kaibigan, maaari mong sundin ang tutorial na ito habang tinutukoy ang proseso.

I-download muna ang certbot-auto tool, pagkatapos ay patakbuhin ang mga dependency sa pag-install ng tool.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Bumuo ng SSL certificate

Susunod, kasamaChen WeiliangKunin ang pangalan ng domain ng blog bilang isang halimbawa, mangyaring baguhin ito ayon sa iyong sariling mga pangangailangan. Pinapatakbo ng SSH ang mga sumusunod na command.

Tiyaking baguhin ang utos sa:

1. Mailbox
2. landas ng server
3. Pangalan ng domain ng website

Iisang domain na iisang direktoryo, bumuo ng certificate:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Multi-domain na solong direktoryo, bumuo ng certificate: (ibig sabihin, maramihang mga domain name, iisang direktoryo, gumamit ng parehong certificate)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Ang nabuong SSL certificate ay ise-save sa:/etc/letsencrypt/live/www.chenweiliang.com/ Sa ilalim ng mga nilalaman.

Maramihang mga pangalan ng domain at maramihang mga direktoryo, bumuo ng isang sertipiko: (iyon ay, maraming mga pangalan ng domain, maraming mga direktoryo, gumamit ng parehong sertipiko)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Pagkatapos na matagumpay na mai-install ang Let's Encrypt certificate, lalabas ang sumusunod na prompt message sa SSH:

IMPORTANTENG NOTA:
– Binabati kita! Ang iyong sertipiko at chain ay na-save sa:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Ang iyong key file ay nai-save sa:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Mag-e-expire ang iyong cert sa 2018-02-26. Para makakuha ng bago o na-tweake
bersyon ng certificate na ito sa hinaharap, patakbuhin lang ang certbot-auto
muli. Upang hindi interactive na i-renew ang *lahat* ng iyong mga certificate, tumakbo
"certbot-auto renew"
- Kung gusto mo ang Certbot, mangyaring isaalang-alang ang pagsuporta sa aming gawain sa pamamagitan ng:
Pag-donate sa ISRG / Let's Encrypt: https://letsencrypt.org/donate
Pagbibigay sa EFF: https://eff.org/donate-le

Pag-renew ng SSL Certificate

Ang pag-renew ng sertipiko ay napaka-maginhawa, gamitcrontabAuto-renew.Ang ilang Debian ay walang crontab na naka-install, maaari mo muna itong i-install nang manu-mano.

apt-get install cron

Ang mga sumusunod na utos ay nasa nginx at apache ayon sa pagkakabanggit / etc / crontab Ang utos na ipinasok sa file ay nangangahulugan na ito ay nire-renew tuwing 10 araw, at sapat na ang 90-araw na panahon ng bisa.

Nginx crontab file, mangyaring idagdag:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab file, mangyaring idagdag:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL certificate Apache configuration

Ngayon, kailangan nating gumawa ng mga pagbabago sa configuration ng Apache.

Mga Tip:

• kung gagamitin moCWP Control Panel, sa check Add domain name Awtomatikong bumuo ng SSL certificate, awtomatiko nitong iko-configure ang SSL certificate para sa Apache.
• Kung gagawin mo ang higit pa sa mga sumusunod na hakbang, maaaring magkaroon ng error pagkatapos i-restart ang Apache.
• Kung may error, tanggalin ang configuration na idinagdag mo nang manu-mano.

I-edit ang httpd.conf file ▼

/usr/local/apache/conf/httpd.conf

Hanapin ang ▼

Listen 443

• (alisin ang naunang numero ng komento #)

o magdagdag ng listening port 443 ▼

Listen 443

SSH check Apache listening port ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Hanapin ang ▼

mod_ssl

• (alisin ang naunang numero ng komento #)

o magdagdag ng ▼

LoadModule ssl_module modules/mod_ssl.so

Hanapin ang ▼

httpd-ssl

• (alisin ang naunang numero ng komento #)

Pagkatapos, isagawa ng SSH ang sumusunod na utos (tandaan upang baguhin ang landas sa iyong sarili):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Susunod, sa dulo ng configuration ng Apache para sa website na iyong ginawasa ilalim.

Idagdag ang configuration file ng SSL na seksyon (tandaan upang alisin ang komento, at baguhin ang landas sa iyong sarili):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Sa wakas, i-restart ang Apache dito:

service httpd restart

Pinipilit ng Apache ang pag-redirect ng HTTP sa HTTPS

• Maraming mga kahilingan sa web ay maaari lamang tumakbo sa SSL.
• Kailangan nating tiyakin na sa tuwing gagamit tayo ng SSL, dapat ma-access ang website sa pamamagitan ng SSL.
• Kung sinubukan ng sinumang user na i-access ang website gamit ang isang non-SSL URL, dapat siyang i-redirect sa SSL website.
• Mag-redirect sa SSL URL gamit ang Apache mod_rewrite module.
• Gaya ng paggamit ng LAMP one-click installation package, built-in na awtomatikong pag-install ng SSL certificate at sapilitang pag-redirect sa HTTPS, pag-redirect sa HTTPSSa puwersa, hindi mo kailangang magdagdag ng HTTPS redirect.

Magdagdag ng panuntunan sa pag-redirect

• Sa configuration file ng Apache, i-edit ang virtual host ng website at idagdag ang mga sumusunod na setting.
• Maaari mo ring idagdag ang parehong mga setting sa root ng dokumento sa iyong website sa iyong .htaccess file.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Kung gusto mo lang tukuyin ang isang partikular na URL na ire-redirect sa HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Kung may sumubok na mag-access mensahe , lalabas ang page sa https, at maa-access lang ng user ang URL gamit ang SSL.

I-restart ang Apache para magkabisa ang .htaccess file:

service httpd restart

注意 事项

• Mangyaring baguhin ang email address sa itaas sa iyong email address.
• Pakitandaang palitan ang domain name ng website sa itaas ng domain name ng iyong website.

Problema sa lokasyon ng panuntunan sa pag-redirect

Sa ilalim ng mga pseudo-static na panuntunan, kapag naglalagay ng mga panuntunan sa pagtalon sa pag-redirect, karaniwan mong nakakaharap Hindi ma-redirect ang http sa https Ang problema.

Sa una ay kinopya namin ang redirect code sa .htaccess at lalabas ito sa mga sumusunod na kaso ▼

• Isinasaad ng [L] na ang kasalukuyang panuntunan ay ang huling panuntunan, itigil ang pagsusuri sa mga sumusunod na panuntunan sa muling pagsulat.
• Kaya kapag ina-access ang pahina ng na-redirect na artikulo, ihihinto ng [L] ang mga sumusunod na panuntunan, upang hindi gumana ang mga panuntunan sa pag-redirect.

Kapag binisita ang http homepage, gusto naming mag-trigger ng pag-redirect ng URL, laktawan ang pseudo-static na panuntunan upang isagawa ang redirection jump rule, upang ito ay makamitPag-redirect ng http sa buong site sa https .

Huwag ilagay ang mga panuntunan sa pag-redirect ng https [L] Below the rules, ilagay [L] sa itaas ng mga patakaran ▼

Pinalawak na pagbabasa:

• Ano ang pagkakaiba ng http vs https? Detalyadong paliwanag ng proseso ng SSL encryption
• Ano ang dapat kong gawin kung makakuha ako ng error 500 pagkatapos i-install ang Let's Encrypt SSL certificate sa CWP control panel?
• Awtomatikong tumalon sa pangalawang antas na domain name nang walang www top-level na domain name: ang root domain name na 301 ay nagre-redirect sa www