Akaun Awan Alibaba!! Bagaimana cara mengkonfigurasi sijil SSL percuma (Let's Encrypt) pada pelayan Alibaba Cloud untuk melaksanakan HTTPS?
Dalam dunia Internet hari ini, jika laman web anda masih menggunakan ht zaman dahulu
Tp: //
(Penghantaran teks biasa), tidak hanya akan ditandai dengan amaran "tidak selamat" merah di bar alamat penyemak imbas, tetapi juga akan dibatasi oleh mesin pencari seperti Google dan Baidu. Untuk memburukkan lagi keadaan, produk hitam dapat dengan mudah merampas laman web anda semasa penghantaran, diisi dengan iklan psoriasis yang menjijikkan.
Untuk menyelesaikan masalah ini, satu-satunya cara adalah dengan menaik taraf ke
HTTPS
。 Untuk menaik taraf HTTPS, intinya adalah memerlukan satu
Sijil Keselamatan SSL
。
Ketika banyak pelanggan baru dan bos keusahawanan mendengar sijil SSL, reaksi pertama mereka adalah: "Perkara ini dibeli di kilang besar, yang harganya beratus-ratus atau bahkan ribuan dolar setahun, yang terlalu mahal."
Akaun Awan Alibaba!
Dalam artikel ini hari ini, saya akan menggunakan gaya hidup vernakular yang murni untuk memimpin jalan, membawa anda di pelayan Alibaba Cloud, dan menggunakan penerbit sijil percuma yang paling teliti di dunia
Let's Encrypt
, Dengan artifak automasi
Certbot
, Untuk mencapai operasi praktikal utama HTTPS "aplikasi satu klik, pembaharuan automatik, dan percuma seumur hidup".
Prinsip Teras: Mengapa Pilih Let's Encrypt dan Certbot?
Let's Encrypt: Ini adalah organisasi amal yang ditaja bersama oleh syarikat gergasi Internet utama dunia (Mozilla, Cisco, Google, dll.), Yang mengkhususkan diri dalam mengeluarkan sijil SSL rasmi yang dipercayai oleh semua penyemak imbas secara percuma.
Harga percuma seumur hidup: Satu-satunya "kelemahan kecil" adalah bahawa sijil yang digunakan untuk setiap permohonan hanya sah selama 90 hari.
Artefak automasi Certbot: Untuk mengelakkan kita melemparkan secara manual setiap tiga bulan, alat baris perintah Certbot dilancarkan secara rasmi. Ia bukan sahaja dapat membantu kami memohon sijil dengan satu klik, tetapi juga mengawasi waktu tamat di latar belakang, dan memperbaharui sijil secara automatik apabila sijil hampir habis. Selagi pelayan tidak jatuh, sijil akan sentiasa percuma dan tidak akan luput.
Persediaan: Pemeriksaan keselamatan sebelum keluar
Sebelum memberi pesanan, pastikan bahawa tiga perkara berikut telah selesai, jika tidak, 100% seterusnya akan "hantu memukul dinding":
Nama domain berjaya diselesaikan ke IP pelayan Cloud Alibaba anda: Sekiranya anda menaip nama domain anda (seperti www.yourname.com) di penyemak imbas dan tidak dapat mengakses laman web lalai pelayan anda, sila selesaikan resolusi nama domain terlebih dahulu.
Lepaskan port 443 dari Alibaba Cloud Security Group: HTTPS menggunakan port 443 (HTTP biasa menggunakan port 80). Operasi praktikal: Log masuk ke Konsol Awan Alibaba-> Cari contoh ECS anda-> Klik [Kumpulan Keselamatan] -> [Peraturan Konfigurasi] -> Lepaskan port 443 ke arah masuk. Sekiranya tidak dilepaskan, tidak kira seberapa baik sijil dipasang, rangkaian luaran tidak dapat disambungkan dengan selamat.
Perkhidmatan web telah dipasang di pelayan (ambil Nginx sebagai contoh): dan Nginx anda telah dilengkapi dengan akses nama domain asas.
Alibaba Cloud
Akaun!
Di bawah ini, kita secara rasmi memasuki tahap perintah praktikal. Kami kini menggunakan arus perdana di China
Ubuntu
Dan
CentOS/Alibaba Cloud Linux
Ambil dua sistem sebagai contoh.
Langkah Pertama: Memasang Alat Certbot pada Pelayan
Kita perlu memasukkan "pengurus automasi" ini ke pelayan terlebih dahulu.
Jika sistem pelayan anda adalah Ubuntu:
Pengurus pakej yang disertakan dengan Ubuntu sangat mudah, jalankan arahan berikut secara langsung:
Bash
# Kemas kini sumber perisian
Sudo apt kemas kini
# Pasang certbot dan pemalam khusus untuk nginx
Sudo apt install certbot python3-certbot-nginx -y
Jika sistem pelayan anda adalah CentOS / Alibaba Cloud Linux:
CentOS perlu menghidupkan sumber pengembangan EPEL untuk mencari Certbot.
Bash
# Pasang sumber pengembangan EPEL
Sudo yum install epel-release -y
# Pasang certbot dan nginx plugin
Sudo yum install certbot python3-certbot-nginx -y
Langkah 2: Perintah satu baris, secara automatik memohon dan mengkonfigurasi sijil SSL
Perkara terbaik mengenai Certbot ialah ia mempunyai mod pengimbasan automatik "bodoh". Ia secara automatik akan membaca fail konfigurasi Nginx di pelayan anda, mengetahui nama domain apa yang anda ikat, dan kemudian secara automatik akan membantu anda memohon sijil dari Let's Encrypt.
Sila masukkan baris perintah tak terkalahkan berikut di terminal:
Bash
Sudo certbot-nginx
Selepas pelaksanaan, arahan interaktif akan muncul di terminal, jangan panik, ikuti arahan sebenar saya dan masukkan langkah demi langkah:
Masukkan alamat e-mel: Masukkan alamat e-mel biasa anda. Peti mel ini sangat penting. Sekiranya skrip pembaharuan automatik digantung secara tidak sengaja pada suatu hari, Let's Encrypt akan menghantar e-mel untuk mengingatkan anda untuk memadamkan kebakaran 20 hari sebelum sijil tamat.
Setuju dengan Syarat Perkhidmatan: Masukkan A(Agree) secara langsung dan tekan Enter.
Sama ada untuk menerima e-mel penaja (Adakah anda ingin berkongsi e-mel anda...): Masukkan N (Tidak) dan tekan Enter untuk mengelakkan menerima spam setiap hari.
Pilih nama domain untuk mengaktifkan HTTPS: Pada masa ini, Certbot secara ajaib akan menyenaraikan semua nama domain yang dikonfigurasi di Nginx anda (seperti 1: yourname.com, 2: www
. Yourname.com). Cara memilih: Sekiranya anda ingin menambahkan HTTPS ke kedua-dua nama domain ini, cukup tekan Enter (pilih semua secara lalai), atau masukkan nombor yang sesuai untuk dipisahkan dengan koma.
Setelah mengetuk Encycle, skrin akan berkelip dengan panik (ini adalah "pengesahan jabat tangan manusia-mesin" Certbot dengan pelayan Let's Encrypt).
Tunggu selama 5 hingga 10 saat, apabila anda melihat yang besar di akhir skrin
Congratulations! Anda mempunyai successfully enabled HTTPS...
Pada masa itu, ini bermaksud bahawa sijil telah berjaya dikeluarkan!
Lebih-lebih lagi, Certbot sudah
Mengubah suai fail konfigurasi Nginx anda secara automatik
, Isi jalan kunci yang rumit, pemantauan port 443, dan algoritma penyulitan SSL secara automatik.
Langkah 3: Pengesahan Muktamad
Pada masa ini, anda boleh menutup baris arahan hitam dan membuka penyemak imbas komputer anda.
Masukkan nama domain anda tanpa https di bar alamat (contohnya:
ht
Tp: // www.yourname.com), anda akan mendapati bahawa sistem akan secara automatik membantu anda melompat ke ht dengan kunci keselamatan
Tps: // www.yourname.com
。
Klik pada gembok kecil yang indah di sebelah kiri nama domain untuk melihat perincian sijil, dan anda akan melihat pihak berkuasa dengan jelas mengatakan:
Mari Sijil Kunci
。 Pada ketika ini, pelayan Alibaba Cloud anda telah memakai perisai badan HTTPS dengan sempurna!
Langkah 4: Duduk dan berehat-konfigurasikan tugas masa pembaharuan automatik
Seperti yang telah disebutkan sebelumnya, sijil ini hanya sah selama 90 hari. Walaupun Certbot biasanya menambahkan tugas yang dijadualkan ke sistem secara lalai semasa pemasangan, untuk memastikan ia tidak tahan, kita mesti mengesahkan dan menguji secara manual sama ada "kitaran tanpa had" ini berfungsi dengan baik.
1. Ujian pembaharuan simulasi (bukan latihan sebenar, hanya proses)
Masukkan arahan berikut untuk membolehkan Certbot mensimulasikan operasi pembaharuan setelah sijil tamat:
Bash
Sudo certbot renew-dry-run
Sekiranya skrin akhirnya dipaparkan
Your certificates adalah bukan untuk renewal yet, tetapi simulated successfully
Atau jika tidak ada permintaan ralat (Success), ini bermaksud bahawa kernel pembaharuan automatik benar-benar sihat.
2. Insurans paksa: Menambah tugas masa Linux Cron
Untuk mengelakkan pembaharuan automatik lalai ditangguhkan kerana perubahan dalam persekitaran sistem, pemandu lama di industri biasanya menambahkan insurans berganda ke tugas masa Linux (Crontab).
Akaun Awan Alibaba!
Masukkan arahan berikut untuk membuka editor tugas masa sistem:
Bash
Sudo crontab-
E
Di bahagian bawah fail, mulakan baris lain dan tampal baris perintah berikut:
Teks biasa
0 3 * * * certbot renew-post-hook "systemctl reload nginx"
Kod ini bermaksud: biarkan pelayan secara automatik melaksanakan perintah renew certbot di latar belakang pada pukul 3:00 pagi setiap hari. Certbot sangat pintar. Sekiranya didapati bahawa sijil belum tamat (baki masa lebih besar daripada 30 hari), ia tidak akan melakukan apa-apa; setelah didapati bahawa sijil kurang dari 30 hari selepas tamat tempoh, ia secara automatik akan memohon sijil baru di latar belakang dan lulus -- Post-hook dengan cara membiarkan Nginx memuat semula (Reload) konfigurasi seterusnya, gunakan sijil baru dengan lancar.
Simpan dan keluar. Dengan perintah ini, anda dapat menghapus sepenuhnya "sijil SSL yang sudah habis masa berlakunya" dari kawasan memori otak anda.
Ringkasan kesimpulan dan penghindaran lubang
Setelah membaca keseluruhan proses, adakah anda mendapati bahawa tidak sampai 5 minit untuk mendapatkan HTTPS percuma di Alibaba Cloud?
Akhirnya, ringkaskan dua lubang gelap yang paling mudah untuk dilangkah oleh pemula:
Jangan ketinggalan nama domain tahap kedua: Sekiranya anda ingin menjadikan yourname.com anda selamat dan api.yourname.com anda selamat, sebelum memohon sijil, pastikan bahawa Nginx server_name dari nama domain tahap kedua ini dikonfigurasi dengan betul, dan penyelesaian Alibaba Cloud juga telah ditambahkan.
Dilarang mencampurkan perintah ini pada pelayan dengan panel pagoda: Sekiranya anda memasang alat visualisasi seperti "Panel Pagoda" pada pelayan Cloud Alibaba, sila klik "Terapkan Sijil Encrypt Terapkan" secara langsung di antara muka grafik panel, dan jangan pergi ke baris perintah untuk menjalankan Certbot. Oleh kerana panel visualisasi mempunyai set peraturan konfigurasi Nginx sendiri, menggunakan perintah asli untuk mengubahnya secara langsung akan mengubah fail konfigurasi panel.
Sekarang, laman web anda bukan sahaja selamat dan anti-rampasan, tetapi juga mendapat titik berat yang lebih tinggi di mata mesin pencari utama. Cepat dan gantung gembok kecil percuma anda!
Akaun Awan Alibaba!