凤凰平台注册开户_凤凰彩票app下载安装_凤凰彩票投注网

热门关键词: 凤凰平台注册开户,凤凰彩票app下载安装,凤凰彩票投注网

无偿生成https证书以致铺排,布置协理

作者: 凤凰彩票app下载安装  发布:2019-11-10

通过 Certbot 为 nginx 开启https支持。

http进级到https供给在nginx的配置中参加证书消息,查询资料后分明生成证书两种方案

干什么须要 https ?

一定, 为了 SEO , 为了安全, 为了装X

环境

  • CentOS 7.1
  • python2.x(那东西系统里原来就有)

 

考虑干活

安装Nginx

sudo yum install nginx -y

随手运营:

sudo systemctl start nginx

随手设置开机运行:

sudo systemctl enable nginx

嗯,就完了了。 至于配置文件,会在前面设置。

首先种:自签订证书,然后张开 CloudFlare 的 CDN 服务

 

//分明是或不是安装openssl

which openssl

//若无安装,通过apt-get恐怕yum等方法安装就可以

sudo apt-get install openssl

//生成三个名叫“ssl.key”的 哈弗SA key文件:推行结果:生成ssl.pass.key 和 ssl.key

openssl genrsa -des3 -passout pass:x -out ssl.pass.key 2048

openssl rsa -passin pass:x -in ssl.pass.key -out ssl.key

//删除中间文件

rm ssl.pass.key

跟着,利用已经变化的 ssl.key 文件,进一层生成 ssl.csr 文件:

openssl req -new -key ssl.key -out ssl.csr

实施此行命令会提示输入密码,按回车就能够,因为前边我们在生成 ssl.key 时选择了密码留空。

最后大家使用前不熟稔成的 ssl.key 和 ssl.csr 文件来生成 ssl.crt 文件,也便是自签约的 SSL 证书文件:

openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt

这一步之后,大家拿到二个自签订的 SSL 证书文件 ssl.crt,保质期为 365 天。那个时候,ssl.csr 文件也已经不再被亟需,能够去除掉了:

rm ssl.csr

 

参照地址:

 

域名 vps(服务器) * 1

那边以本人的几元钱买的 lzres.win 为例(恐怕会乱入别的域名, 实操时换到团结的就可以~ ).
域名是在Ali云的万网注册的, 这里的 DNS剖判 什么的本身就不赘述了, 相信明白https 的足足不是白纸相符的小白了.

那边 DNS 深入分析还会有三个坑, 以前在 Google寻觅 开启 https 方法的时候, 见到某篇博文说 Let's Encrypt 需求外国的 DNS 解析,为此作者花了广大时间独家给多少个域名换来国外的 DNS, 然后发掘实际是无须切换的, 万网自带的 DNS 深入剖析是足以开启 Let's Encrypt 的 https 的.

配置https

此地大家接纳 Let's Encrypt 提供的证件。且为了便于设置,使用 Certbot 配置工具。

第二种:借助于Let's Encrypt

 

Let's Encrypt 简介

比方要启用HTTPS,我们就须求从证书授权部门(以下简单的称呼CA) 处获取二个证书,Let's Encrypt 正是二个 CA。我们得以从 Let's Encrypt 拿到网址域名的无需付费的证件。

Certbot 简介

Certbot 是Let's Encrypt官方推荐的拿到证书的客商端,能够帮大家得到无需付费的Let's Encrypt 证书。

 

1. 下载 certbot

最棒是凭仗官网来拍卖:

 

图片 1图片 2

2. 生成无需付费证书

官方文档有比较详细的印证,依据本人的景况来挑选

 

只顾:官方限定了每一周的提请次数,固然您进行支付测量试验,生成证书的时候添加--staging参数,那样就不用太担忧数量的范围了

 

下面介绍两种艺术

无论是哪意气风发种办法,实质都是认证你是否统筹那一个域名,只可是完毕的门径分化

 

1>webroot方法,此方法会在你布署的服务器站点目录下创办 .well-known 文件夹,那几个文件夹里面饱含了一些认证文件,certbot 会通过拜望 来验证你的域名是还是不是绑定的这么些服务器

 

即使您谐和从未有过开创相应的站点也能够协调加盟二个比较通用的布局

location ^~ /.well-known/acme-challenge/ { default_type "text/plain"; root /usr/share/nginx/html; } location = /.well-known/acme-challenge/ { return 404; }

 

certbot certonly --webroot -w 网址根目录 -d example.com -w 网址根目录 -d www.example.com

 

2>standalone方法,如果你不想利用你自个儿的服务器,那一个艺术是个选择,不过要求小心要关张相应的端口大概是80要么443(以你协和筛选的不二等秘书籍决定)

使用80端口: certbot certonly --standalone --preferred-challenges http -d example.com

使用443端口: certbot certonly --standalone --preferred-challenges tls-sni -d example.com

 

3>manual方法,如若你想在放肆的linux主机下生成证书,那么这种措施或然是多个选项,可是要留意的是表明进度中会生成叁个字符串,供给您将以此自由的字符串增添到你dns服务器才足以变成验证操作.

certbot certonly --manual --preferred-challenges dns -d archerwong.cn

 

3.刨除证书,假如您转移的时候增加了 --stagin参数,上边的一声令下也要充分

certbot revoke --cert-path /etc/letsencrypt/live/example.com/cert.pem

certbot delete --cert-name example.com

 

4.证书更新

sudo certbot renew --dry-run

 

5.加多的参数选取

如上的各样指令其实都以足以投入过多参数,最棒是探寻下官方文书档案

 

本来官方提供了许两种生成证书的点子,你能够依据你和谐的骨子里境况张开采纳

 

证件生成达成后,我们得以在 /etc/letsencrypt/live/ 目录下看见对应域名的文本夹,里面贮存了指向证书的局地火速情势。

 

变迁证书后,配置 Nginx

 

开荒 nginx server 配置文件参预如下设置:

server {

  listen 443 ssl on;

  ssl_certificate /etc/letsencrypt/live/网址域名/fullchain.pem;

  ssl_certificate_key /etc/letsencrypt/live/网址域名/privkey.pem;

  ## 其余布置

}

 

强制跳转 https

https 暗许是监听 443 端口的,没打开 https 访谈的话日常暗中认可是 80 端口。如果您显明网址 80 端口上的站点都援助 https 的话参预下边的装配零件能够活动重定向到 https

server {

  listen 80;

  server_name your.domain.com;

  return 301 ;

}

 

参照地址:

 

 

 

 

 

 

 

 

 

VPS服务器

VPS 接收不管买风度翩翩台就能够, 什么腾讯云.Ali云.vultr .linode的等等的. 系统为 linux 的就能够.(在 DNS 深入深入分析中深入分析到 vps 的 ip)

服务器的系统筛选

亲测 CentOS6.5(32bit) 与 Let's Encrypt 存在宽容性难题(在这里费用了作者半天时间, 气死), 笔者的建设方案是将服务器换为 Debian 8.0 成功消除.

工具得到

证件机构: Let's Encrypt - https://letsencrypt.org
铺排工具: Certbot - https://certbot.eff.org/

实则,你一向用不到上边八个链接,笔者把它们写在此只是为了有扶助明白任何细节,顺便表示尊重。

事实上大家能够直接通过包微电脑获取 Certbot 工具。

先是须要安装 EPEL 源:

sudo yum install epel-release -y

下一场安装 Certbot :

sudo yum install python2-certbot-nginx -y

工具安装完结。

开班安装 LNMP1.4

在 lmnp.org 查看详细教程, 注意早晚要设置 lnmp1.4 版本(及以上), 近些日子(2017.3.31) 1.4 版本仍是测量试验版

使用 Certbot

Certbot 使用命令行中的人机联作式配置,咱们运转它,然后随着提示一步一步成功就能够。

新建站点

通过持久的等候安装达成后就足以新建站点了

输入指令

# lnmp vhost add
然后会唤起输入域名
输入 lzres.win (因为笔者风华正茂度创办过了,图上用 lzres1.win 代表)
下一场合作回车(如有要求活动选拔),
第后生可畏的一步来了

图片 3

开启ssl

一、 启动 Certbot

通过命令:

sudo certbot --nginx

配置 ssl

看到 Add SSL Certificate (y/n)
这里时, 输入 y

图片 4

Let's Encrypt.png

输入 2 选用第二项, 自动创立
接着输入邮件地址,能够随意填

图片 5

email.png

下一场就无冕长时间的等待了
到此刻就临近成功了, 意志等待吧

图片 6

successing.png

到那边就成功了~(图上域名有变化.)

图片 7

succeed.png

我们前不久到网址目录丢进去个 index.html 文件测量检验一下

图片 8

当然今后的 http://bg9gxm.win 也是足以访谈的就需求 301 重定向了

二、 填写邮箱

在下述提示后,填写您的邮箱地址。

Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): xxxx@xxxx.com

输入你的邮箱地址,回车明确。

设置 301 重定向

https 站点布局完结后, http 初始的域名还是能访问的, 那就供给将 http 跳转到 https 中.

编纂站点布局文件(假使对 vim 不通晓能够将 vim 改变为nano)
# vim /usr/local/nginx/conf/vhost/lzres.win.conf
或者用 nano
# nano /usr/local/nginx/conf/vhost/lzres.win.conf
布置文件如下:

server
    {   
        listen 80;
        #listen [::]:80;
        server_name lzres.win ;
        index index.html index.htm index.php default.html           default.htm default.php;
        root  /home/wwwroot/lzres.win;
        # 在这儿把下面三行代码添加到文件中, 其他不用管
        if ($server_port = 80 ) {
        return 301 https://$host$request_uri;
        }

加上实现后, 重启 nginx 服务器
# /etc/init.d/nginx restart

不出意外, 以往输入 http://lzres.win 会自动跳转到 https://lzres.win

为主站开启 https 后, 小编想要访谈的域名是 https://lzres.win 不过也亟需使 www.lzres.win 跳转到不带www的域名中, 就须求安装 301 重定向

输入指令新建二个站点

# lnmp vhost add
创办三个 www.lzres.win 的站点, 进度中数据库和 下边包车型地铁已经张开过的 ssl 就不必要再张开了.

站点创制成功后对站点布局文件进行编辑:
用 vim 张开配置文件
vim /usr/local/nginx/conf/vhost/www.lzres.win.conf
剔除别的代码, 只留下下边几行就能够了

server{
       listen 80;
        #listen [::]:80;
        server_name www.lzres.win;
        return 301 https://lzres.win;
}

铺排落成后, 再次重启 nginx
# /etc/init.d/nginx restart
就马到功成啦
近期在浏览器中不管道输送入 lzres.win 还是 www.lzres.win 都会跳转到有小绿锁的 https://lzres.win

在网址目录丢进去个 index.html 文件, 访谈试试吧~

图片 9

下一场即可开快乐心的撸网址啦

三、 同意客商协议

下述提醒提示你读书并允许客商协商之类的。

Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf.
You must agree in order to register with the ACME server at https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: A

输入字母 A 回车分明。

别的主题素材

四、 央浼分享你的信箱

野趣是她们会没事给您发发广告邮件。同意就是了 ╮(╯▽╰)╭

Would you be willing to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about our work encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

输入字母 Y 回车明确。

服务器中展开了 https 后, 别的服务(举个例子 shadowsocks) 仍是可以够健康使用啊?

亲测能够

五、 钦定域名

由于大家在设置nginx后未有配置站点,所以那边须求大家提供域名,配置工具会帮大家填写nginx的配备文件。

No names were found in your configuration files. Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c' to cancel): www.xxxx.com xxx.xxxx.com

输入你和谐的域名(多个域名中间用空格隔断卡塔尔回车分明。

六、 重定向

会领会你是或不是要把富有http须求重定向到https。当然要了~

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for new sites, or if you're confident your site works on HTTPS. 
You can undo this change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2

输入数字 2 回车鲜明。

七、 完成

这时候安排已经达成。你能够在接下去的输出中找到如下段落:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations! You have successfully enabled https://www.xxxx.com and https://xxx.xxxx.com

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=www.xxxx.com
https://www.ssllabs.com/ssltest/analyze.html?d=xxx.xxxx.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

情趣就是你早就成功安插了 www.xxxx.com xxx.xxxx.com 四个域名(正是在 步骤五 输入的那三个,当然,你输入了有一点个这里就能显得多少个卡塔 尔(阿拉伯语:قطر‎。
而且你能够在 这一个网址上测量试验域名的情况。

八、 证书过期

是因为 Let's Encrypt 的无偿证书保藏期是90天,所以你需求每80几天再度申请二遍。

Certbot 能够通过轻易的吩咐完结那几个专业:

certbot renew

就算你依旧感觉麻烦,能够把那几个操作设为依期职分,每80几天运转二遍,就能够优游卒岁了。

其他

支持https的nginx已经完全配置实现。接下来把您的站点位于nginx的目录下就能够,平时是 /usr/share/nginx/html 要是还是不是此处,你能够在nginx的布署文件里找到,配置文件位于 /etc/nginx/nginx.conf

在浏览器中开拓站点,就能看出地点栏上的小绿锁了~


初藳发表于

本文由凤凰平台注册开户发布于凤凰彩票app下载安装,转载请注明出处:无偿生成https证书以致铺排,布置协理

关键词:

上一篇:sudo用法记录,设置su和sudo为不必要密码
下一篇:没有了