Каталог статей
Як подати заявку на Let's Encrypt?
Давайте зашифруємо принцип сертифіката SSL і підручник із встановлення
Що таке SSL?Чень ВейлянУ попередній статті "Яка різниця між http і https? Детальне пояснення процесу шифрування SSL«Про це йдеться в.
окремо відЕлектронна комерціяВеб-сайт повинен придбати розширений зашифрований сертифікат SSL і використовувати веб-сайт як WeChatРозкрутка публічного облікового записуЗнові ЗМІЛюди, якщо ви хочете встановити сертифікат SSL, ви можете встановити зашифрований сертифікат SSL безкоштовно.SEOКорисно, може покращити рейтинг ключових слів веб-сайту в пошукових системах.
Let's Encrypt сама написала набір процесів (https://certbot.eff.org/), використовуйтеLinuxДрузі, ви можете дотримуватися цього підручника, звертаючись до процесу.
Спочатку завантажте інструмент certbot-auto, а потім запустіть інсталяційні компоненти інструменту.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
Створіть сертифікат SSL
Далі, сЧень ВейлянВізьмемо доменне ім’я блогу як приклад, змініть його відповідно до власних потреб. SSH виконує наступні команди.
Обов’язково змініть команду в:
- Поштової скриньки
- шлях до сервера
- доменне ім'я веб-сайту
Однодоменний єдиний каталог, згенерувати сертифікат:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Багатодоменний один каталог, генерувати сертифікат: (тобто кілька доменних імен, один каталог, використовувати той самий сертифікат)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Створений сертифікат SSL буде збережено в:/etc/letsencrypt/live/www.chenweiliang.com/
Під змістом.
Кілька доменних імен і кілька каталогів, створити сертифікат: (тобто кілька доменних імен, кілька каталогів, використовувати той самий сертифікат)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Після успішного встановлення сертифіката Let's Encrypt у SSH з’явиться наступне повідомлення:
ВАЖЛИВІ ПРИМІТКИ:
– Вітаємо!Ваш атестат і голain були збережені в:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Ваш ключовий файл збережено за адресою:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Термін дії вашого сертифіката закінчується 2018. Щоб отримати новий або налаштований
версії цього сертифіката в майбутньому, просто запустіть certbot-auto
Щоб неінтерактивно оновити *всі* ваші сертифікати, запустіть
"certbot-auto renew"
- Якщо вам подобається Сертбот, будь ласка, подумайте про підтримку нашої роботи:
Пожертвування ISRG / Let's Encrypt: https://letsencrypt.org/donate
Пожертвування EFF: https://eff.org/donate-le
Оновлення сертифіката SSL
Відновлення сертифіката також дуже зручно, користуючиськронтабАвтоматичне поновлення.У деяких Debian не встановлено crontab, ви можете спочатку встановити його вручну.
apt-get install cron
Наступні команди є в nginx і apache відповідно / etc / crontab Команда, введена у файл, означає, що він оновлюється кожні 10 днів, і достатньо 90-денного терміну дії.
Файл crontab Nginx, будь ласка, додайте:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Файл Apache crontab, будь ласка, додайте:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
Сертифікат SSL Конфігурація Apache
Тепер нам потрібно внести зміни в конфігурацію Apache.
Поради:
- якщо ви використовуєтеПанель керування CWP, у полі Додати ім’я домену поставте прапорець Автоматично генерувати сертифікат SSL, він автоматично налаштує сертифікат SSL для Apache.
- Якщо ви виконаєте більше з наступних дій, після перезапуску Apache може виникнути помилка.
- Якщо є помилка, видаліть конфігурацію, яку ви додали вручну.
Відредагуйте файл httpd.conf ▼
/usr/local/apache/conf/httpd.conf
Знайдіть ▼
Listen 443
- (видалити номер попереднього коментаря #)
або додайте порт прослуховування 443 ▼
Listen 443
SSH перевірити порт прослуховування Apache ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
Знайдіть ▼
mod_ssl
- (видалити номер попереднього коментаря #)
або додайте ▼
LoadModule ssl_module modules/mod_ssl.so
Знайдіть ▼
httpd-ssl
- (видалити номер попереднього коментаря #)
Потім SSH виконайте таку команду (зверніть увагу, щоб змінити шлях на власний):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Далі в кінці налаштування Apache для веб-сайту, який ви створилипід.
Додайте файл конфігурації розділу SSL (зверніть увагу, щоб видалити коментар і змінити шлях на свій):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Нарешті перезапустіть на ньому Apache:
service httpd restart
Apache примусово перенаправляє HTTP на HTTPS
- Багато веб-запитів завжди можуть працювати лише з SSL.
- Нам потрібно переконатися, що кожного разу, коли ми використовуємо SSL, доступ до веб-сайту має здійснюватися через SSL.
- Якщо будь-який користувач намагається отримати доступ до веб-сайту за допомогою URL-адреси, яка не підтримує SSL, він повинен бути перенаправлений на веб-сайт SSL.
- Перенаправлення на URL-адресу SSL за допомогою модуля Apache mod_rewrite.
- Наприклад, використання пакета встановлення одним клацанням LAMP, вбудована автоматична інсталяція сертифіката SSL і примусове перенаправлення на HTTPS, перенаправлення на HTTPSВ силі, вам не потрібно додавати переспрямування HTTPS.
Додайте правило перенаправлення
- У файлі конфігурації Apache відредагуйте віртуальний хост веб-сайту та додайте наступні параметри.
- Ви також можете додати ті самі налаштування до кореня документа на своєму веб-сайті у файлі .htaccess.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Якщо ви просто хочете вказати певну URL-адресу для переспрямування на HTTPS:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Якщо хтось намагається отримати доступ повідомлення , сторінка перейде на https, і користувач зможе отримати доступ до URL-адреси лише за допомогою SSL.
Перезапустіть Apache, щоб файл .htaccess набув чинності:
service httpd restart
注意 事项
- Змініть наведену вище електронну адресу на свою електронну адресу.
- Будь ласка, не забудьте змінити наведене вище доменне ім’я веб-сайту на доменне ім’я вашого веб-сайту.
Проблема розташування правила перенаправлення
Під псевдостатичними правилами під час розміщення правил переходу перенаправлення ви зазвичай стикаєтеся http не може перенаправляти на https Проблема.
Спочатку ми скопіювали код перенаправлення в .htaccess, і він з’явиться в таких випадках ▼
- [L] вказує, що поточне правило є останнім правилом, припинити аналіз наступних правил перезапису.
- Таким чином, під час доступу до сторінки зі статтею, яка перенаправляється, [L] зупиняє наступне правило, тому правило перенаправлення не працює.
Під час відвідування домашньої сторінки http ми хочемо запустити переспрямування URL-адреси, пропустіть псевдостатичне правило, щоб виконати правило переходу переспрямування, щоб це можна було досягтиПеренаправлення http на https для всього сайту .
Не встановлюйте правила переспрямування https [L] Нижче правил, поставити [L] вище правил ▼
Розширене читання:
- Яка різниця між http і https? Детальне пояснення процесу шифрування SSL
- Що робити, якщо я отримав помилку 500 після встановлення сертифіката Let's Encrypt SSL на панелі керування CWP?
- Автоматичний перехід до імені домену другого рівня без імені домену верхнього рівня www: ім’я кореневого домену 301 переспрямовує www
Блог Hope Chen Weiliang ( https://www.chenweiliang.com/ ) поділився «Як подати заявку на Let's Encrypt? Let's Encrypt SSL Free Certificate Principle and Installation Tutorial», який був корисним для вас.
Ласкаво просимо поділитися посиланням на цю статтю:https://www.chenweiliang.com/cwl-512.html
Ласкаво просимо до каналу Telegram у блозі Чень Вейляна, щоб отримувати останні оновлення!
📚 Цей посібник має величезну цінність. 🌟Це рідкісна можливість, не пропустіть її! ⏰⌛💨
Поділіться та вподобайте, якщо вам подобається!
Ваші публікації та лайки є нашою постійною мотивацією!