Alibaba cloudアカウント!! 阿里雲サーバで無料のSSL証明書 (Let's Encrypt) を構成してHTTPSを実現するにはどうすればよいですか?

今のインターネットの世界で、もしあなたのサイトがまだ古い時代のhtを使っているなら

Tp: //

(平文転送) は、ブラウザのアドレスバーに無慈悲なランドマークに赤い「安全でない」警告を記録されるだけでなく、Googleや百度などの検索エンジンにランキングに激しく制限される。さらに悪いことに、黒産は簡単に転送中にあなたのページを乗っ取って、吐き気のある乾癬広告を詰め込むことができる。

この問題を解決する唯一の方法は、にアップグレードすることです

HTTPS

。HTTPSをアップグレードするには、コアが1枚必要です

SSLセキュリティ証明書

。

多くの新客と創業者はSSL証明書を聞くと、第一の反応は「これは大手工場で買って、年に数百ドルから数千ドル、高すぎる」ということだ。

Alibaba cloudアカウント!

今日のこの文章は、私は純粋な口語の真人の道案内スタイルを使って、手であなたを阿里雲サーバーに連れて行って、世界で最も良心的な無料証明書発行機関を利用します

Let's Encrypt

、自動化神器と協力する

Certbot

「ワンクリック申請、自動更新、生涯無料」を実現するHTTPS究極の実技。

コア原理: なぜLet's EncryptとCertbotを選んだのか?

Let's Encrypt: これは世界の大手インターネット大手 (Mozilla、シスコ、グーグルなど) が共同で協賛している公益組織で、正規ですべてのブラウザに信頼されているSSL証明書を無料で発行している。

生涯無料の代償: 唯一の「小さな欠点」は、毎回申請する証明書の有効期間が90日しかないことである。

自動神器Certbot: 私たちが3ヶ月ごとに手動で振り回さないように、Certbotコマンドラインツールを公式に発表した。証明書を申請するだけでなく、バックグラウンドで有効期限を見つめ、証明書の有効期限が近づいたときに自動的に更新することもできます。サーバーが倒れない限り、証明書はいつまでも無料で、期限が切れません。

準備作業: 出かける前の安全検査

命令を叩く前に、必ず次の3つのことがうまくいっていることを確認してください。そうしないと、後ろの100% が「鬼打壁」になります

ドメイン名はあなたの阿里雲サーバIPに解析されました。ブラウザでドメイン名 (www.yourname.comなど) を打っても、あなたのサーバのデフォルトページにアクセスできない場合は、まずドメイン名解析を行ってください。

阿里雲セキュリティグループの443ポート: HTTPSは443ポート (普通HTTPは80ポート)。実際の操作: 阿里雲コンソールにログイン-> ECSインスタンスを見つけ-> [セキュリティグループ] -> [構成ルール] -> 入力方向に443ポートを置く。釈放されなければ、証明書はもっとよくインストールされ、エクストラネットも安全に接続できない。

サーバーにはすでにWebサービスがインストールされています (Nginxを例にして): そして、あなたのNginxは基本的なドメイン名アクセスを構成しています。

アリババクラウド

アカウント!

次に、私たちは正式に実技命令の段階に入ります。現在国内で最も主流の

ウブントゥ

そして

CentOS/Alibaba Cloud Linux

二つのシステムを例にとると。

ステップ1: サーバーにCertbotツールをインストールする

私たちはまずこの「自動家令」をサーバーに入れなければならない。

あなたのサーバーシステムがUbuntuの場合:

Ubuntuに付属しているパッケージマネージャは便利で、次のコマンドを直接実行します

バッシュ

# ソフトウェアソースの更新

Sudo apt update

# Certbotとnginx用の専用プラグインをインストールする

Sudo apt install certbot python3-certbot-nginx -y

サーバシステムがCentOS/Alibaba Cloud Linuxの場合:

CentOSは、Certbotを見つける前にEPEL拡張ソースを開く必要があります。

バッシュ

# EPEL拡張ソースのインストール

Sudo yum install epel-release -y

# Certbotとnginxプラグインをインストールする

Sudo yum install certbot python3-certbot-nginx -y

ステップ2: 1行のコマンドで、SSL証明書を自動的に申請して構成します

Certbotの最も牛なところは、「バカ式」の自動スキャンモードがあることです。それは自動的にあなたのサーバーのNginxの設定ファイルを読んで、あなたがどのドメイン名を縛っているかを探し出して、自動的にLet's Encryptに証明書を申請します。

端末に次の無敵のコマンドを入力してください

バッシュ

Sudo certbot -- nginx

実行後、端末はインタラクティブなヒントを出して、慌てないで、私の実写のヒントに付いて一歩一歩入力します

メールアドレスを入力します。このメールボックスは非常に重要で、いつ自動更新スクリプトが誤ってハングアップしたか、Let's Encryptは証明書の有効期限が切れる20日前にメールで消火を警告します。

サービス条項 (Terms of Service) に同意します。

スポンサーメールを受け取るかどうか: 毎日スパムを受信しないように、N(No) と入力します。

HTTPSを開通するドメイン名を選択します。この時、CertbotはあなたのNginxに配置されているすべてのドメイン名を不思議にリストアップします。例えば、1: yourname.com、2: www

.Yourname _。どのように選択するか: この2つのドメイン名にHTTPSを追加したい場合は、直接enterキーを押すか (デフォルトではすべて選択) 、対応する数字をコンマで区切って入力します。

Enterキーを押すと、画面は狂ったように多くのコードを点滅させます (これはCertbotがLet's Encryptのサーバーと「マンマシン握手検証」を行っています)。

5 ~ 10秒待って、画面の最後に大きなものを見ると

Congratu0.6%! あなたは...

証明書が正常に発行されました。

さらに、Certbotは

Nginx構成ファイルが自動的に変更されました

、面倒な鍵パス、443ポート傍受、SSL暗号化アルゴリズムをすべて自動的に入力した。

ステップ3: 究極の検証

この時、黒いコマンドラインを閉じて、コンピュータのブラウザを開くことができます。

アドレスバーにhttpsなしのドメイン名を入力します (例:

エイチティー

Tp: // www.yourname.com) 、システムは自動的にセキュリティロック付きhtにジャンプするのに役立ちます

Tps: // www.yourname.com

。

ドメイン名の左側にある美しい小さな鍵をクリックして、証明書の詳細を見ると、発行機関が明確に書いているのが見えます

レット・イズ・エンクリプト

。これで、あなたの阿里雲サーバーはHTTPSの防弾チョッキを完璧に着ています!

ステップ4: 高枕安心 -- 自動継続時間タスクの設定

先に述べたように、この証明書は90日の有効期間しかない。Certbotはインストール時に通常、システムに定時タスクを追加しますが、万全を確保するためには、この「継続的なデッドサイクル」が正常に機能しているかどうかを手動で検証し、テストする必要があります。

1.模擬継続テスト (実際の演習ではなく、プロセスのみ)

次のコマンドを入力して、Certbotに証明書の有効期限が切れた後の継続操作をシミュレートさせます

バッシュ

Sudo certbot renew-drc-run

画面が最後に表示されたら

あなたの認定を受けています

あるいは、エラー・ヒントがないことは、自動更新されたカーネルが完全に健康であることを示している。

2.強行保険: Linux Cron定時タスクの追加

システム環境の変動によるデフォルトの自動更新を防ぐために、業界の古い運転手は通常、自分でLinuxの定時タスク (Crontab) にダブル保険を加えている。

Alibaba Cloudアカウント！

次のコマンドを入力して、システムタイミングタスクエディタを開きます

バッシュ

Sudo crontab-

e

ファイルの一番下に別の行を開き、次の行のコマンドを貼り付けます

プレーンテキスト

0 3 * * * certbot renew --post-hook "systemctl reload nginx"

このコードの意味は、サーバが毎日午前3時に、自動的にバックグラウンドでcertbot renewコマンドを静かに実行することです。Certbotは非常に賢いです。証明書の有効期限が切れていない (残り時間が30日を超える) ことを発見すると、何もできません証明書の有効期限が30日未満であることが発見されると新しい証明書を自動的にバックグラウンドで申請し、 -- post-hookついでにNginxに再ロード (Reload) して配置し、新しい証明書をシームレスに適用します。

保存して終了します。この命令があれば、「SSL証明書の有効期限」を脳の記憶領域から完全に削除することができます。

結語とピット回避のまとめ

全プロセスを見て、アリ雲で無料のHTTPSを処理しても5分もたたないことを発見したのか?

最後に、2人の初心者が最も踏みやすい暗い穴をまとめます

二次ドメイン名を見逃してはいけません。yourname.comを安全にしたいなら、api.yourname.comを安全にしたいなら、証明書を申請する前に、これらの二次ドメイン名のNginx server_nameが適切に配置されていることを確認してくださいまた、アリババクラウド解析も追加されました。

宝塔パネルのあるサーバにこのコマンドを混在させることは禁止されています。阿里雲サーバに「宝塔パネル」などの可視化ツールを搭載していればパネルのグラフィカルインターフェイスで「Let's Encrypt証明書を申請する」をクリックしてください。コマンドラインでCertbotを走らないでください。可視化パネルには独自のNginx構成ルールがあるので、ネイティブコマンドでパネルの構成ファイルを直接変更します。

今、あなたのウェブサイトは安全にハイジャックを防ぐだけではなく、各検索エンジンの目にはもっと高い重みを得ることができます。

Alibaba Cloudアカウント！