Як подати заявку на Let's Encrypt? Принцип безкоштовного сертифіката Let's Encrypt SSL і посібник із встановлення

Як подати заявку на Let's Encrypt?

Давайте зашифруємо принцип сертифіката SSL і підручник із встановлення

Що таке SSL?Чень ВейлянУ попередній статті "Яка різниця між http і https? Детальне пояснення процесу шифрування SSL«Про це йдеться в.

окремо відЕлектронна комерціяВеб-сайт повинен придбати розширений зашифрований сертифікат SSL і використовувати веб-сайт як WeChatРозкрутка публічного облікового записуЗнові ЗМІЛюди, якщо ви хочете встановити сертифікат SSL, ви можете встановити зашифрований сертифікат SSL безкоштовно.SEOКорисно, може покращити рейтинг ключових слів веб-сайту в пошукових системах.

Let's Encrypt сама написала набір процесів (https://certbot.eff.org/), використовуйтеLinuxДрузі, ви можете дотримуватися цього підручника, звертаючись до процесу.

Спочатку завантажте інструмент certbot-auto, а потім запустіть інсталяційні компоненти інструменту.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

Створіть сертифікат SSL

Далі, сЧень ВейлянВізьмемо доменне ім’я блогу як приклад, змініть його відповідно до власних потреб. SSH виконує наступні команди.

Обов’язково змініть команду в:

1. Поштової скриньки
2. шлях до сервера
3. доменне ім'я веб-сайту

Однодоменний єдиний каталог, згенерувати сертифікат:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Багатодоменний один каталог, генерувати сертифікат: (тобто кілька доменних імен, один каталог, використовувати той самий сертифікат)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Створений сертифікат SSL буде збережено в:/etc/letsencrypt/live/www.chenweiliang.com/ Під змістом.

Кілька доменних імен і кілька каталогів, створити сертифікат: (тобто кілька доменних імен, кілька каталогів, використовувати той самий сертифікат)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Після успішного встановлення сертифіката Let's Encrypt у SSH з’явиться наступне повідомлення:

ВАЖЛИВІ ПРИМІТКИ:
– Вітаємо!Ваш атестат і голain були збережені в:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Ваш ключовий файл збережено за адресою:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Термін дії вашого сертифіката закінчується 2018. Щоб отримати новий або налаштований
версії цього сертифіката в майбутньому, просто запустіть certbot-auto
Щоб неінтерактивно оновити *всі* ваші сертифікати, запустіть
"certbot-auto renew"
- Якщо вам подобається Сертбот, будь ласка, подумайте про підтримку нашої роботи:
Пожертвування ISRG / Let's Encrypt: https://letsencrypt.org/donate
Пожертвування EFF: https://eff.org/donate-le

Оновлення сертифіката SSL

Відновлення сертифіката також дуже зручно, користуючиськронтабАвтоматичне поновлення.У деяких Debian не встановлено crontab, ви можете спочатку встановити його вручну.

apt-get install cron

Наступні команди є в nginx і apache відповідно / etc / crontab Команда, введена у файл, означає, що він оновлюється кожні 10 днів, і достатньо 90-денного терміну дії.

Файл crontab Nginx, будь ласка, додайте:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Файл Apache crontab, будь ласка, додайте:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

Сертифікат SSL Конфігурація Apache

Тепер нам потрібно внести зміни в конфігурацію Apache.

Поради:

• якщо ви використовуєтеПанель керування CWP, у полі Додати ім’я домену поставте прапорець Автоматично генерувати сертифікат SSL, він автоматично налаштує сертифікат SSL для Apache.
• Якщо ви виконаєте більше з наступних дій, після перезапуску Apache може виникнути помилка.
• Якщо є помилка, видаліть конфігурацію, яку ви додали вручну.

Відредагуйте файл httpd.conf ▼

/usr/local/apache/conf/httpd.conf

Знайдіть ▼

Listen 443

• (видалити номер попереднього коментаря #)

або додайте порт прослуховування 443 ▼

Listen 443

SSH перевірити порт прослуховування Apache ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

Знайдіть ▼

mod_ssl

• (видалити номер попереднього коментаря #)

або додайте ▼

LoadModule ssl_module modules/mod_ssl.so

Знайдіть ▼

httpd-ssl

• (видалити номер попереднього коментаря #)

Потім SSH виконайте таку команду (зверніть увагу, щоб змінити шлях на власний):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Далі в кінці налаштування Apache для веб-сайту, який ви створилипід.

Додайте файл конфігурації розділу SSL (зверніть увагу, щоб видалити коментар і змінити шлях на свій):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Нарешті перезапустіть на ньому Apache:

service httpd restart

Apache примусово перенаправляє HTTP на HTTPS

• Багато веб-запитів завжди можуть працювати лише з SSL.
• Нам потрібно переконатися, що кожного разу, коли ми використовуємо SSL, доступ до веб-сайту має здійснюватися через SSL.
• Якщо будь-який користувач намагається отримати доступ до веб-сайту за допомогою URL-адреси, яка не підтримує SSL, він повинен бути перенаправлений на веб-сайт SSL.
• Перенаправлення на URL-адресу SSL за допомогою модуля Apache mod_rewrite.
• Наприклад, використання пакета встановлення одним клацанням LAMP, вбудована автоматична інсталяція сертифіката SSL і примусове перенаправлення на HTTPS, перенаправлення на HTTPSВ силі, вам не потрібно додавати переспрямування HTTPS.

Додайте правило перенаправлення

• У файлі конфігурації Apache відредагуйте віртуальний хост веб-сайту та додайте наступні параметри.
• Ви також можете додати ті самі налаштування до кореня документа на своєму веб-сайті у файлі .htaccess.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Якщо ви просто хочете вказати певну URL-адресу для переспрямування на HTTPS:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Якщо хтось намагається отримати доступ повідомлення , сторінка перейде на https, і користувач зможе отримати доступ до URL-адреси лише за допомогою SSL.

Перезапустіть Apache, щоб файл .htaccess набув чинності:

service httpd restart

注意 事项

• Змініть наведену вище електронну адресу на свою електронну адресу.
• Будь ласка, не забудьте змінити наведене вище доменне ім’я веб-сайту на доменне ім’я вашого веб-сайту.

Проблема розташування правила перенаправлення

Під псевдостатичними правилами під час розміщення правил переходу перенаправлення ви зазвичай стикаєтеся http не може перенаправляти на https Проблема.

Спочатку ми скопіювали код перенаправлення в .htaccess, і він з’явиться в таких випадках ▼

• [L] вказує, що поточне правило є останнім правилом, припинити аналіз наступних правил перезапису.
• Таким чином, під час доступу до сторінки зі статтею, яка перенаправляється, [L] зупиняє наступне правило, тому правило перенаправлення не працює.

Під час відвідування домашньої сторінки http ми хочемо запустити переспрямування URL-адреси, пропустіть псевдостатичне правило, щоб виконати правило переходу переспрямування, щоб це можна було досягтиПеренаправлення http на https для всього сайту .

Не встановлюйте правила переспрямування https [L] Нижче правил, поставити [L] вище правил ▼

Розширене читання:

• Яка різниця між http і https? Детальне пояснення процесу шифрування SSL
• Що робити, якщо я отримав помилку 500 після встановлення сертифіката Let's Encrypt SSL на панелі керування CWP?
• Автоматичний перехід до імені домену другого рівня без імені домену верхнього рівня www: ім’я кореневого домену 301 переспрямовує www