Maqolalar katalogi
Let's Encrypt dasturiga qanday murojaat qilish kerak?
Keling, SSL sertifikati printsipi va o'rnatish bo'yicha qo'llanmani shifrlaymiz
SSL nima?Chen VeyliangOldingi maqolada "Http va https o'rtasidagi farq nima? SSL shifrlash jarayonining batafsil tushuntirishi"Bu haqda eslatib o'tilgan.
dan tashqariElektron tijoratVeb-sayt rivojlangan shifrlangan SSL sertifikatini sotib olishi va veb-saytni WeChat sifatida ishlatishi kerakJamoat hisobini reklama qilish的yangi ommaviy axborot vositalariOdamlar, agar siz SSL sertifikatini o'rnatmoqchi bo'lsangiz, shifrlangan SSL sertifikatini bepul o'rnatishingiz mumkin.SEOFoydali, qidiruv tizimlarida veb-sayt kalit so'zlari reytingini yaxshilash mumkin.
Let's Encrypt o'zi jarayonlar to'plamini yozgan (https://certbot.eff.org/), foydalaningLinuxdo'stlar, jarayonga murojaat qilgan holda ushbu qo'llanmaga amal qilishingiz mumkin.
Avval certbot-auto vositasini yuklab oling, so'ngra asbobning o'rnatish bog'liqliklarini ishga tushiring.
wget https://dl.eff.org/certbot-auto --no-check-certificate chmod +x ./certbot-auto ./certbot-auto -n
SSL sertifikatini yarating
Keyingi, bilanChen VeyliangMisol sifatida blog domen nomini oling, iltimos, uni o'zingizning ehtiyojlaringizga qarab o'zgartiring.SSH quyidagi buyruqlarni bajaradi.
Buyruqni o'zgartirishga ishonch hosil qiling:
- Pochta qutisi
- server yo'li
- veb-sayt domen nomi
Yagona domenli yagona katalog, sertifikat yarating:
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com
Ko'p domenli yagona katalog, sertifikat yaratish: (ya'ni, bir nechta domen nomlari, bitta katalog, bir xil sertifikatdan foydalaning)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com
Yaratilgan SSL sertifikati quyidagilarda saqlanadi:/etc/letsencrypt/live/www.chenweiliang.com/
Tarkib ostida.
Bir nechta domen nomlari va bir nechta kataloglar, sertifikat yaratish: (ya'ni, bir nechta domen nomlari, bir nechta kataloglar, bir xil sertifikatdan foydalaning)
./certbot-auto certonly --email [email protected] --agree-tos --no-eff-email --webroot -w /home/admin/web/chenweiliang.com/public_html -d www.chenweiliang.com -d img.chenweiliang.com -w /home/eloha/public_html/site/etufo.org -d www.etufo.org -d img.etufo.org
Let's Encrypt sertifikati muvaffaqiyatli o'rnatilgandan so'ng, SSH da quyidagi so'rov xabari paydo bo'ladi:
Muhim eslatma:
– Tabriklaymiz, sertifikat va chain quyidagi manzilda saqlangan:
/etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem
Kalit faylingiz quyidagi manzilda saqlangan:
/etc/letsencrypt/live/www.chenweiliang.com/privkey.pem
Sertifikatingiz 2018 da tugaydi. Yangi yoki oʻzgartirilgan sertifikat olish uchun
Kelajakda ushbu sertifikatning versiyasi uchun certbot-auto-ni ishga tushiring
Sertifikatlaringizni *barcha*sini interaktivsiz yangilash uchun ishga tushiring
"certbot-avtomatik yangilash"
- Agar sizga Certbot yoqsa, iltimos, bizning ishimizni qo'llab-quvvatlashni ko'rib chiqing:
ISRG ga xayriya qilish / Shifrlaymiz: https://letsencrypt.org/donate
EFFga topshirish: https://eff.org/donate-le
SSL sertifikatini yangilash
Sertifikatni yangilash ham juda qulay, foydalanishcrontabAvtomatik yangilash.Ba'zi Debian'da crontab o'rnatilmagan, avval uni qo'lda o'rnatishingiz mumkin.
apt-get install cron
Quyidagi buyruqlar mos ravishda nginx va apache da / etc / crontab Faylga kiritilgan buyruq har 10 kunda yangilanishini bildiradi va 90 kunlik amal qilish muddati etarli.
Nginx crontab fayliga qo'shing:
0 3 */10 * * /root/certbot-auto renew --renew-hook "/etc/init.d/nginx reload"
Apache crontab fayliga qo'shing:
0 3 */10 * * /root/certbot-auto renew --renew-hook "service httpd restart"
SSL sertifikati Apache konfiguratsiyasi
Endi biz Apache konfiguratsiyasiga o'zgartirish kiritishimiz kerak.
Maslahatlar:
- foydalansangizCWP boshqaruv paneli, Domen nomini qo'shishni tekshirishda SSL sertifikatini avtomatik ravishda yaratish, u Apache uchun SSL sertifikatini avtomatik ravishda sozlaydi.
- Agar siz quyidagi amallardan ko'proq narsani qilsangiz, Apache-ni qayta ishga tushirgandan so'ng xatolik yuz berishi mumkin.
- Agar xato bo'lsa, qo'lda qo'shgan konfiguratsiyani o'chiring.
httpd.conf faylini tahrirlang ▼
/usr/local/apache/conf/httpd.conf
▼ toping
Listen 443
- (oldingi izoh raqamini # olib tashlang)
yoki 443 ▼ tinglash portini qo'shing
Listen 443
SSH Apache tinglash portini tekshiring ▼
grep ^Listen /usr/local/apache/conf/httpd.conf
▼ toping
mod_ssl
- (oldingi izoh raqamini # olib tashlang)
yoki ▼ qo'shing
LoadModule ssl_module modules/mod_ssl.so
▼ toping
httpd-ssl
- (oldingi izoh raqamini # olib tashlang)
Keyin, SSH quyidagi buyruqni bajaring (yo'lni o'zingizga o'zgartirish uchun e'tibor bering):
at >/usr/local/apache/conf/extra/httpd-ssl.conf<<EOF Listen 443 AddType application/x-x509-ca-cert .crt AddType application/x-pkcs7-crl .crl SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProxyCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLHonorCipherOrder on SSLProtocol all -SSLv2 -SSLv3 SSLProxyProtocol all -SSLv2 -SSLv3 SSLPassPhraseDialog builtin SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_scache(512000)" SSLSessionCacheTimeout 300 SSLMutex "file:/usr/local/apache/logs/ssl_mutex" EOF
Keyinchalik, siz yaratgan veb-sayt uchun Apache konfiguratsiyasi oxiridaostida.
SSL bo'limining konfiguratsiya faylini qo'shing (sharhni o'chirishni unutmang va yo'lni o'zingizga o'zgartiring):
<VirtualHost *:443> DocumentRoot /home/admin/web/chenweiliang.com/public_html //网站目录 ServerName www.chenweiliang.com:443 //域名 ServerAdmin [email protected] //邮箱 ErrorLog "/var/log/www.chenweiliang.com-error_log" //错误日志 CustomLog "/var/log/www.chenweiliang.com-access_log" common //访问日志 SSLEngine on SSLCertificateFile /etc/letsencrypt/live/www.chenweiliang.com/fullchain.pem //之前生成的证书 SSLCertificateKeyFile /etc/letsencrypt/live/www.chenweiliang.com/privkey.pem //之前生成的密钥 <Directory "/home/admin/web/chenweiliang.com/public_html"> //网站目录 SetOutputFilter DEFLATE Options FollowSymLinks AllowOverride All suPHP_UserGroup eloha eloha //用户组(有些服务器配置需要,有些可能不需要,出错请删除此行) Order allow,deny Allow from all DirectoryIndex index.html index.phps </Directory> </VirtualHost>
Nihoyat, Apache-ni qayta ishga tushiring:
service httpd restart
Apache HTTP-ni HTTPS-ga qayta yo'naltirishni majbur qiladi
- Ko'pgina veb-so'rovlar har doim faqat SSL bilan ishlashi mumkin.
- Biz har safar SSL-dan foydalanganda veb-saytga SSL orqali kirishimiz kerakligiga ishonch hosil qilishimiz kerak.
- Agar biron bir foydalanuvchi SSL bo'lmagan URL bilan veb-saytga kirishga harakat qilsa, u SSL veb-saytiga yo'naltirilishi kerak.
- Apache mod_rewrite moduli yordamida SSL URL manziliga yo'naltirish.
- LAMP bir marta bosish bilan o'rnatish paketidan foydalanish, SSL sertifikatining o'rnatilgan avtomatik o'rnatilishi va HTTPS-ga majburiy qayta yo'naltirish, HTTPS-ga qayta yo'naltirishKuchda, siz HTTPS yo'naltirishni qo'shishingiz shart emas.
Qayta yo'naltirish qoidasini qo'shing
- Apache konfiguratsiya faylida veb-saytning virtual xostini tahrirlang va quyidagi sozlamalarni qo'shing.
- Xuddi shu sozlamalarni .htaccess faylingizdagi veb-saytingizdagi hujjat ildiziga ham qo'shishingiz mumkin.
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Agar siz HTTPS-ga qayta yo'naltirish uchun ma'lum bir URL manzilini ko'rsatmoqchi bo'lsangiz:
RewriteEngine On RewriteRule ^message$ https://www.etufo.org/message [R=301,L]
- Agar kimdir kirishga harakat qilsa Xabar , sahifa https-ga o'tadi va foydalanuvchi URL-ga faqat SSL bilan kira oladi.
.htaccess fayli kuchga kirishi uchun Apache-ni qayta ishga tushiring:
service httpd restart
注意 事项
- Iltimos, yuqoridagi elektron pochta manzilini elektron pochta manzilingizga o'zgartiring.
- Iltimos, yuqoridagi veb-sayt domen nomini veb-saytingiz domen nomiga o'zgartirishni unutmang.
Qayta yo'naltirish qoidasi joylashuvi muammosi
Pseudo-statik qoidalar ostida, qayta yo'naltirish o'tish qoidalarini joylashtirishda siz odatda duch kelasiz http-ni https-ga yo'naltirish mumkin emas Muammo.
Dastlab biz qayta yo'naltirish kodini .htaccess ga ko'chirdik va u quyidagi hollarda paydo bo'ladi ▼
- [L] joriy qoida oxirgi qoida ekanligini bildiradi, quyidagi qayta yozish qoidalarini tahlil qilishni to'xtating.
- Shunday qilib, qayta yo'naltirilgan maqola sahifasiga kirishda [L] quyidagi qoidalarni to'xtatadi, shuning uchun qayta yo'naltirish qoidalari ishlamaydi.
http bosh sahifasiga tashrif buyurganimizda, biz URL manzilini qayta yo'naltirishni ishga tushirishni xohlaymiz, unga erishish uchun qayta yo'naltirish o'tish qoidasini bajarish uchun psevdostatik qoidani o'tkazib yuboramiz.Sayt bo'ylab http-ni https-ga yo'naltirish .
https yo'naltirish qoidalarini kiritmang [L] Qoidalarning ostiga qo'ying [L] qoidalardan yuqori ▼
Kengaytirilgan o'qish:
- Http va https o'rtasidagi farq nima? SSL shifrlash jarayonining batafsil tushuntirishi
- CWP boshqaruv panelida Let's Encrypt SSL sertifikatini o'rnatgandan so'ng 500 xatosi chiqsa nima qilishim kerak?
- Avtomatik ravishda www yuqori darajali domen nomisiz ikkinchi darajali domen nomiga o'tish: ildiz domen nomi 301 www ni yo'naltiradi
Umid qilamanki, Chen Veyliang blogi ( https://www.chenweiliang.com/ ) "Let's Encrypt dasturiga qanday murojaat qilish kerak? Keling, SSL bepul sertifikat tamoyili va oʻrnatish boʻyicha oʻquv qoʻllanmasini shifrlaymiz" bilan boʻlishdi, bu siz uchun foydalidir.
Ushbu maqolaning havolasini baham ko'rish uchun xush kelibsiz:https://www.chenweiliang.com/cwl-512.html
Eng so'nggi yangiliklardan xabardor bo'lish uchun Chen Veyliang blogining Telegram kanaliga xush kelibsiz!
📚 Ushbu qo'llanmada katta ahamiyatga ega, 🌟Bu kamdan-kam imkoniyat, uni qo'ldan boy bermang! ⏰⌛💨
Baham ko'ring va yoqsa like!
Sizning baham ko'rish va yoqtirishlaringiz bizning doimiy motivatsiyamizdir!