Let's Encrypt dasturiga qanday murojaat qilish kerak? SSL bepul sertifikatini shifrlaymiz va o‘rnatish bo‘yicha qo‘llanma

Let's Encrypt dasturiga qanday murojaat qilish kerak?

Keling, SSL sertifikati printsipi va o'rnatish bo'yicha qo'llanmani shifrlaymiz

SSL nima?Chen VeyliangOldingi maqolada "Http va https o'rtasidagi farq nima? SSL shifrlash jarayonining batafsil tushuntirishi"Bu haqda eslatib o'tilgan.

dan tashqariElektron tijoratVeb-sayt rivojlangan shifrlangan SSL sertifikatini sotib olishi va veb-saytni WeChat sifatida ishlatishi kerakJamoat hisobini reklama qilish的yangi ommaviy axborot vositalariOdamlar, agar siz SSL sertifikatini o'rnatmoqchi bo'lsangiz, shifrlangan SSL sertifikatini bepul o'rnatishingiz mumkin.SEOFoydali, qidiruv tizimlarida veb-sayt kalit so'zlari reytingini yaxshilash mumkin.

Let's Encrypt o'zi jarayonlar to'plamini yozgan (https://certbot.eff.org/), foydalaningLinuxdo'stlar, jarayonga murojaat qilgan holda ushbu qo'llanmaga amal qilishingiz mumkin.

Avval certbot-auto vositasini yuklab oling, so'ngra asbobning o'rnatish bog'liqliklarini ishga tushiring.

wget https://dl.eff.org/certbot-auto --no-check-certificate
chmod +x ./certbot-auto
./certbot-auto -n

SSL sertifikatini yarating

Keyingi, bilanChen VeyliangMisol sifatida blog domen nomini oling, iltimos, uni o'zingizning ehtiyojlaringizga qarab o'zgartiring.SSH quyidagi buyruqlarni bajaradi.

Buyruqni o'zgartirishga ishonch hosil qiling:

1. Pochta qutisi
2. server yo'li
3. veb-sayt domen nomi

Yagona domenli yagona katalog, sertifikat yarating:

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com

Ko'p domenli yagona katalog, sertifikat yaratish: (ya'ni, bir nechta domen nomlari, bitta katalog, bir xil sertifikatdan foydalaning)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com

Yaratilgan SSL sertifikati quyidagilarda saqlanadi:/etc/letsencrypt/live/www.chenweiliang.com/ Tarkib ostida.

Bir nechta domen nomlari va bir nechta kataloglar, sertifikat yaratish: (ya'ni, bir nechta domen nomlari, bir nechta kataloglar, bir xil sertifikatdan foydalaning)

./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org

Let's Encrypt sertifikati muvaffaqiyatli o'rnatilgandan so'ng, SSH da quyidagi so'rov xabari paydo bo'ladi:

Muhim eslatma:
– Tabriklaymiz, sertifikat va chain quyidagi manzilda saqlangan:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Kalit faylingiz quyidagi manzilda saqlangan:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Sertifikatingiz 2018 da tugaydi. Yangi yoki oʻzgartirilgan sertifikat olish uchun
Kelajakda ushbu sertifikatning versiyasi uchun certbot-auto-ni ishga tushiring
Sertifikatlaringizni *barcha*sini interaktivsiz yangilash uchun ishga tushiring
"certbot-avtomatik yangilash"
- Agar sizga Certbot yoqsa, iltimos, bizning ishimizni qo'llab-quvvatlashni ko'rib chiqing:
ISRG ga xayriya qilish / Shifrlaymiz: https://letsencrypt.org/donate
EFFga topshirish: https://eff.org/donate-le

SSL sertifikatini yangilash

Sertifikatni yangilash ham juda qulay, foydalanishcrontabAvtomatik yangilash.Ba'zi Debian'da crontab o'rnatilmagan, avval uni qo'lda o'rnatishingiz mumkin.

apt-get install cron

Quyidagi buyruqlar mos ravishda nginx va apache da / etc / crontab Faylga kiritilgan buyruq har 10 kunda yangilanishini bildiradi va 90 kunlik amal qilish muddati etarli.

Nginx crontab fayliga qo'shing:

0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"

Apache crontab fayliga qo'shing:

0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"

SSL sertifikati Apache konfiguratsiyasi

Endi biz Apache konfiguratsiyasiga o'zgartirish kiritishimiz kerak.

Maslahatlar:

• foydalansangizCWP boshqaruv paneli, Domen nomini qo'shishni tekshirishda SSL sertifikatini avtomatik ravishda yaratish, u Apache uchun SSL sertifikatini avtomatik ravishda sozlaydi.
• Agar siz quyidagi amallardan ko'proq narsani qilsangiz, Apache-ni qayta ishga tushirgandan so'ng xatolik yuz berishi mumkin.
• Agar xato bo'lsa, qo'lda qo'shgan konfiguratsiyani o'chiring.

httpd.conf faylini tahrirlang ▼

/usr/local/apache/conf/httpd.conf

▼ toping

Listen 443

• (oldingi izoh raqamini # olib tashlang)

yoki 443 ▼ tinglash portini qo'shing

Listen 443

SSH Apache tinglash portini tekshiring ▼

grep ^Listen /usr/local/apache/conf/httpd.conf

▼ toping

mod_ssl

• (oldingi izoh raqamini # olib tashlang)

yoki ▼ qo'shing

LoadModule ssl_module modules/mod_ssl.so

▼ toping

httpd-ssl

• (oldingi izoh raqamini # olib tashlang)

Keyin, SSH quyidagi buyruqni bajaring (yo'lni o'zingizga o'zgartirish uchun e'tibor bering):

at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF
Listen 443
AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLHonorCipherOrder on
SSLProtocol all -SSLv2 -SSLv3
SSLProxyProtocol all -SSLv2 -SSLv3
SSLPassPhraseDialog builtin
SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)"
SSLSessionCacheTimeout 300
SSLMutex "file:/usr/local/apache/logs/ssl_mutex"
EOF

Keyinchalik, siz yaratgan veb-sayt uchun Apache konfiguratsiyasi oxiridaostida.

SSL bo'limining konfiguratsiya faylini qo'shing (sharhni o'chirishni unutmang va yo'lni o'zingizga o'zgartiring):

<VirtualHost *:443>
DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录
ServerName www.chenweiliang.com:443 //域名
ServerAdmin [email protected] //邮箱
ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志
CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书
SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥
<Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录
SetOutputFilter DEFLATE
Options FollowSymLinks
AllowOverride All
suPHP_UserGroup eloha eloha //用户组（有些服务器配置需要，有些可能不需要，出错请删除此行）
Order allow,deny
Allow from all
DirectoryIndex index.html index.phps
</Directory>
</VirtualHost>

Nihoyat, Apache-ni qayta ishga tushiring:

service httpd restart

Apache HTTP-ni HTTPS-ga qayta yo'naltirishni majbur qiladi

• Ko'pgina veb-so'rovlar har doim faqat SSL bilan ishlashi mumkin.
• Biz har safar SSL-dan foydalanganda veb-saytga SSL orqali kirishimiz kerakligiga ishonch hosil qilishimiz kerak.
• Agar biron bir foydalanuvchi SSL bo'lmagan URL bilan veb-saytga kirishga harakat qilsa, u SSL veb-saytiga yo'naltirilishi kerak.
• Apache mod_rewrite moduli yordamida SSL URL manziliga yo'naltirish.
• LAMP bir marta bosish bilan o'rnatish paketidan foydalanish, SSL sertifikatining o'rnatilgan avtomatik o'rnatilishi va HTTPS-ga majburiy qayta yo'naltirish, HTTPS-ga qayta yo'naltirishKuchda, siz HTTPS yo'naltirishni qo'shishingiz shart emas.

Qayta yo'naltirish qoidasini qo'shing

• Apache konfiguratsiya faylida veb-saytning virtual xostini tahrirlang va quyidagi sozlamalarni qo'shing.
• Xuddi shu sozlamalarni .htaccess faylingizdagi veb-saytingizdagi hujjat ildiziga ham qo'shishingiz mumkin.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Agar siz HTTPS-ga qayta yo'naltirish uchun ma'lum bir URL manzilini ko'rsatmoqchi bo'lsangiz:

RewriteEngine On
RewriteRule ^message$ https://www.etufo.org/message [R=301,L]

• Agar kimdir kirishga harakat qilsa Xabar , sahifa https-ga o'tadi va foydalanuvchi URL-ga faqat SSL bilan kira oladi.

.htaccess fayli kuchga kirishi uchun Apache-ni qayta ishga tushiring:

service httpd restart

注意 事项

• Iltimos, yuqoridagi elektron pochta manzilini elektron pochta manzilingizga o'zgartiring.
• Iltimos, yuqoridagi veb-sayt domen nomini veb-saytingiz domen nomiga o'zgartirishni unutmang.

Qayta yo'naltirish qoidasi joylashuvi muammosi

Pseudo-statik qoidalar ostida, qayta yo'naltirish o'tish qoidalarini joylashtirishda siz odatda duch kelasiz http-ni https-ga yo'naltirish mumkin emas Muammo.

Dastlab biz qayta yo'naltirish kodini .htaccess ga ko'chirdik va u quyidagi hollarda paydo bo'ladi ▼

• [L] joriy qoida oxirgi qoida ekanligini bildiradi, quyidagi qayta yozish qoidalarini tahlil qilishni to'xtating.
• Shunday qilib, qayta yo'naltirilgan maqola sahifasiga kirishda [L] quyidagi qoidalarni to'xtatadi, shuning uchun qayta yo'naltirish qoidalari ishlamaydi.

http bosh sahifasiga tashrif buyurganimizda, biz URL manzilini qayta yo'naltirishni ishga tushirishni xohlaymiz, unga erishish uchun qayta yo'naltirish o'tish qoidasini bajarish uchun psevdostatik qoidani o'tkazib yuboramiz.Sayt bo'ylab http-ni https-ga yo'naltirish .

https yo'naltirish qoidalarini kiritmang [L] Qoidalarning ostiga qo'ying [L] qoidalardan yuqori ▼

Kengaytirilgan o'qish:

• Http va https o'rtasidagi farq nima? SSL shifrlash jarayonining batafsil tushuntirishi
• CWP boshqaruv panelida Let's Encrypt SSL sertifikatini o'rnatgandan so'ng 500 xatosi chiqsa nima qilishim kerak?
• Avtomatik ravishda www yuqori darajali domen nomisiz ikkinchi darajali domen nomiga o'tish: ildiz domen nomi 301 www ni yo'naltiradi