บัญชี Alibaba Cloud!! วิธีการกำหนดค่าใบรับรอง SSL ฟรี (Let's Encrypt) บนเซิร์ฟเวอร์ Alibaba Cloud เพื่อให้บรรลุ HTTPS?
ในโลกอินเทอร์เน็ตปัจจุบันหากเว็บไซต์ของคุณยังคงใช้ ht แบบเก่า
Tp: //
(การส่งข้อความธรรมดา) ไม่เพียงแต่คำเตือน "ไม่ปลอดภัย" สีแดงจะถูกบันทึกไว้ในแถบที่อยู่ของเบราว์เซอร์โดยจุดสังเกตที่ไร้ความปรานีเท่านั้นแต่ยังถูกจำกัดอย่างรุนแรงโดยเครื่องมือค้นหาเช่น Google และ Baidu ในการจัดอันดับสิ่งที่แย่กว่านั้นคือการผลิตสีดำสามารถจี้หน้าเว็บของคุณได้อย่างง่ายดายในระหว่างการส่งและเติมโฆษณาโรคสะเก็ดเงินที่น่าขยะแขยง
ในการแก้ปัญหานี้วิธีเดียวคืออัปเกรดเป็น
HTTPS
。และในการอัพเกรด HTTPS แกนหลักคือหนึ่ง
ใบรับรองความปลอดภัย SSL
。
เมื่อลูกค้าใหม่และเจ้าของธุรกิจหลายคนได้ยินใบรับรอง SSL ปฏิกิริยาแรกของพวกเขาคือ "สิ่งนี้ซื้อจากโรงงานขนาดใหญ่ราคาหลายร้อยหรือหลายพันหยวนต่อปีซึ่งแพงเกินไป"
บัญชี Alibaba Cloud!
ในบทความของวันนี้ฉันจะใช้รูปแบบคนจริงในภาษาพื้นถิ่นเพื่อนำทางพาคุณไปที่เซิร์ฟเวอร์ Alibaba Cloud โดยใช้ผู้ออกใบรับรองฟรีที่สมเหตุสมผลที่สุดในโลก
Let's Encrypt
ด้วยสิ่งประดิษฐ์อัตโนมัติ
Certbot
เพื่อให้บรรลุการปฏิบัติจริงขั้นสูงสุดของ HTTPS ของ "แอปพลิเคชันคลิกเดียวการต่ออายุอัตโนมัติและฟรีตลอดชีพ"
หลักการหลัก: ทำไมต้องเลือก Let's Encrypt และ Certbot?
Let's Encrypt: นี่คือองค์กรไม่แสวงหาผลกำไรที่ได้รับการสนับสนุนร่วมกันโดยบริษัทอินเทอร์เน็ตยักษ์ใหญ่ระดับโลก (Mozilla, Cisco, Google ฯลฯ) ซึ่งเชี่ยวชาญในการออกใบรับรอง SSL อย่างเป็นทางการและเชื่อถือได้โดยเบราว์เซอร์ทั้งหมด
ราคาฟรีตลอดชีพ: "ข้อเสียเล็กๆน้อยๆ" เพียงอย่างเดียวคือใบรับรองที่ใช้ในแต่ละครั้งมีอายุเพียง90วัน
สิ่งประดิษฐ์อัตโนมัติ Certbot: เพื่อป้องกันไม่ให้เราโยนด้วยตนเองทุกๆสามเดือนจึงมีการเปิดตัวเครื่องมือบรรทัดคำสั่ง Certbot อย่างเป็นทางการไม่เพียงแต่ช่วยเราสมัครใบรับรองได้ด้วยคลิกเดียวแต่ยังสามารถจับตาดูเวลาหมดอายุในพื้นหลังและต่ออายุใบรับรองโดยอัตโนมัติเมื่อใบรับรองกำลังจะหมดอายุตราบใดที่เซิร์ฟเวอร์ไม่ตกใบรับรองจะฟรีและไม่มีวันหมดอายุ
การเตรียมการ: การตรวจสอบความปลอดภัยก่อนออกไปข้างนอก
ก่อนที่จะพิมพ์คำสั่งโปรดตรวจสอบให้แน่ใจว่าสามสิ่งต่อไปนี้เสร็จสิ้นแล้วมิฉะนั้นคุณจะ "ตีกำแพง" 100% ในภายหลัง:
ชื่อโดเมนได้รับการแก้ไขเรียบร้อยแล้วกับ IP เซิร์ฟเวอร์ Alibaba Cloud ของคุณ: หากคุณไม่สามารถเข้าถึงหน้าเว็บเริ่มต้นของเซิร์ฟเวอร์ของคุณได้หลังจากพิมพ์ชื่อโดเมนของคุณ (เช่น www.yourname.com) ในเบราว์เซอร์โปรดแก้ไขชื่อโดเมนก่อน
ปล่อยพอร์ต443ของ Alibaba Cloud Security Group: HTTPS ใช้พอร์ต443 (HTTP ธรรมดาใช้พอร์ต80) การปฏิบัติ: ลงชื่อเข้าใช้ Alibaba Cloud Console-> ค้นหาตัวอย่าง ECS ของคุณ-> คลิก [กลุ่มความปลอดภัย] -> [กฎการกำหนดค่า] -> ปล่อยพอร์ต443ในทิศทางขาเข้าหากไม่ได้รับการเผยแพร่ไม่ว่าใบรับรองจะติดตั้งดีแค่ไหนเครือข่ายภายนอกก็ไม่สามารถเชื่อมต่อได้อย่างปลอดภัย
บริการเว็บได้รับการติดตั้งบนเซิร์ฟเวอร์ (ยกตัวอย่าง Nginx): และ Nginx ของคุณได้รับการกำหนดค่าสำหรับการเข้าถึงชื่อโดเมนพื้นฐาน
อาลีคลาวด์
บัญชี!
ด้านล่างนี้เราเข้าสู่ขั้นตอนของคำสั่งการปฏิบัติอย่างเป็นทางการเราใช้กระแสหลักในประเทศ
อูบุนตู
และ
CentOS/Alibaba Cloud Linux
ยกตัวอย่างสองระบบ
ขั้นตอนที่1: ติดตั้งเครื่องมือ Certbot บนเซิร์ฟเวอร์
เราจำเป็นต้องนำ "บัตเลอร์อัตโนมัติ" นี้เข้าสู่เซิร์ฟเวอร์ก่อน
หากระบบเซิร์ฟเวอร์ของคุณคือ Ubuntu:
Ubuntu มาพร้อมกับการจัดการแพคเกจที่สะดวกมากที่จะเรียกใช้คำสั่งต่อไปนี้โดยตรง:
แบช
# ปรับปรุงซอฟแวร์แหล่งที่มา
Update sudo apt
# ติดตั้ง certbot และปลั๊กอินเฉพาะสำหรับ nginx
Sudo apt install certbot python3-certbot-nginx -y
หากระบบเซิร์ฟเวอร์ของคุณเป็น CentOS / Alibaba Cloud Linux:
CentOS จำเป็นต้องเปิดแหล่งขยาย EPEL ก่อนจึงจะสามารถค้นหา Certbot ได้
แบช
# ติดตั้งแหล่งขยาย EPEL
Sudo yum install epel-release -y
# ติดตั้ง certbot และ nginx ปลั๊กอิน
Sudo yum install certbot python3-certbot-nginx -y
ขั้นตอนที่2: บรรทัดคำสั่งสมัครและกำหนดค่าใบรับรอง SSL โดยอัตโนมัติ
ส่วนที่ดีที่สุดของ Certbot คือมีโหมดสแกนอัตโนมัติแบบ "หลอก" มันจะอ่านไฟล์คอนฟิกูเรชัน Nginx ในเซิร์ฟเวอร์ของคุณโดยอัตโนมัติค้นหาว่าคุณผูกชื่อโดเมนใดจากนั้นช่วยให้คุณยื่นขอใบรับรองกับ Let's Encrypt โดยอัตโนมัติ
โปรดป้อนคำสั่งอยู่ยงคงกระพันต่อไปนี้ในเทอร์มินัล:
แบช
Sudo certbot -- nginx
หลังจากดำเนินการแล้วเทอร์มินัลจะปรากฏข้อความแจ้งแบบโต้ตอบอย่าตกใจทำตามข้อความแจ้งจริงของฉันทีละขั้นตอนเพื่อป้อน:
ใส่กล่องจดหมาย (Enter email address): ป้อนกล่องจดหมายที่คุณใช้บ่อยกล่องจดหมายนี้มีความสำคัญมากหากวันหนึ่งสคริปต์การต่ออายุอัตโนมัติถูกวางสายโดยไม่ได้ตั้งใจ Let's Encrypt จะส่งอีเมลเพื่อเตือนให้คุณต่อสู้กับไฟ20วันก่อนที่ใบรับรองจะหมดอายุ
ยอมรับเงื่อนไขการให้บริการ (Terms of Service): ป้อน A(Agree) โดยตรงเพื่อกด Enter
ไม่ว่าจะยอมรับอีเมลผู้สนับสนุน (Would you be willing to share your email...): ป้อน N (ไม่) และกด Enter เพื่อหลีกเลี่ยงการรับสแปมทุกวัน
เลือกชื่อโดเมนที่จะเปิด HTTPS: ในขณะนี้ Certbot จะแสดงชื่อโดเมนทั้งหมดที่กำหนดค่าไว้ใน Nginx ของคุณอย่างน่าอัศจรรย์ (เช่น1: yourname.com, 2: www
.Yourname.com). วิธีการเลือก: หากคุณต้องการเพิ่ม HTTPS ในชื่อโดเมนทั้งสองนี้ให้กด Enter (เลือกทั้งหมดตามค่าเริ่มต้น) หรือป้อนหมายเลขที่เกี่ยวข้องและคั่นด้วยเครื่องหมายจุลภาค
หลังจากเคาะและกด Enter รหัสจำนวนมากจะกะพริบอย่างบ้าคลั่งบนหน้าจอ (นี่คือ "การตรวจสอบการจับมือระหว่างมนุษย์กับเครื่องจักร" ของ Certbot กับเซิร์ฟเวอร์ของ Let's Encrypt)
รอประมาณ5ถึง10วินาทีเมื่อคุณเห็นใหญ่ในตอนท้ายของหน้าจอ
Congratulations! You have successfully enabled HTTPS...
แสดงว่าออกใบรับรองเรียบร้อยแล้ว!
ยิ่งไปกว่านั้น Certbot มี
แก้ไขโปรไฟล์ Nginx ของคุณโดยอัตโนมัติ
กรอกเส้นทางคีย์ที่ยุ่งยากการตรวจสอบพอร์ต443และอัลกอริธึมการเข้ารหัส SSL โดยอัตโนมัติ
ขั้นตอนที่3: การตรวจสอบขั้นสูงสุด
ในขณะนี้คุณสามารถปิดบรรทัดคำสั่งสีดำและเปิดเบราว์เซอร์คอมพิวเตอร์ของคุณ
ป้อนชื่อโดเมนที่คุณไม่มี https ในแถบที่อยู่ (ตัวอย่างเช่น:
เอชที
Tp: // www.yourname.com) คุณจะพบว่าระบบจะช่วยให้คุณข้ามไปที่ ht โดยอัตโนมัติด้วยการล็อคความปลอดภัย
Tps: // www.yourname.com
。
คลิกแม่กุญแจขนาดเล็กที่สวยงามทางด้านซ้ายของชื่อโดเมนเพื่อดูรายละเอียดใบรับรองคุณจะเห็นว่าหน่วยงานที่ออกเขียนไว้อย่างชัดเจน:
เล็ทส์เอ็นคริปต์
。จนถึงตอนนี้เซิร์ฟเวอร์ Alibaba Cloud ของคุณได้สวมชุดเกราะ HTTPS อย่างสมบูรณ์แบบแล้ว!
ขั้นตอนที่4: นั่งพักผ่อน-กำหนดค่าการต่ออายุงานตามกำหนดเวลาอัตโนมัติ
ดังที่ได้กล่าวไว้ก่อนหน้านี้ใบรับรองนี้มีอายุการใช้งานเพียง90วันแม้ว่าโดยปกติแล้ว Certbot จะเพิ่มงานตามกำหนดเวลาในระบบโดยค่าเริ่มต้นระหว่างการติดตั้งเพื่อให้แน่ใจว่าไม่มีอะไรผิดพลาดเราต้องตรวจสอบและทดสอบด้วยตนเองว่า "การวนซ้ำแบบไม่สิ้นสุดการต่ออายุ" นี้ทำงานได้อย่างถูกต้องหรือไม่
1.การทดสอบการต่ออายุจำลอง (ไม่ได้เจาะจริงเพียงทำตามกระบวนการ)
ป้อนคำสั่งต่อไปนี้เพื่อให้ Certbot จำลองการดำเนินการต่ออายุหลังจากใบรับรองหมดอายุ:
แบช
Sudo certbot renew -- dry-run
หากหน้าจอแสดงในตอนท้าย
Your certificates are not due for renewal yet, but simulated successfully
หรือไม่มีข้อความแจ้งข้อผิดพลาด (ข้อผิดพลาด) หมายความว่าเคอร์เนลที่ต่ออายุโดยอัตโนมัติมีสุขภาพสมบูรณ์
2.การประกันภัยบังคับ: เพิ่มลินุกซ์ Cron กำหนดเวลางาน
เพื่อป้องกันการต่ออายุอัตโนมัติเริ่มต้นจากการวางสายเนื่องจากการเปลี่ยนแปลงในสภาพแวดล้อมของระบบไดรเวอร์เก่าในอุตสาหกรรมมักจะเพิ่มการประกันสองเท่าให้กับงานตามกำหนดเวลาของ Linux (Crontab)
บัญชีอาลีคลาวด์!
ป้อนคำสั่งต่อไปนี้เพื่อเปิดตัวแก้ไขงานเวลาระบบ:
แบช
Sudo crontab-
อี
ที่ด้านล่างของไฟล์ให้เริ่มบรรทัดอื่นและวางบรรทัดคำสั่งต่อไปนี้:
ข้อความธรรมดา
0 3 *** certbot renew -- post-hook "systemctl reload nginx"
รหัสนี้หมายถึง: ให้เซิร์ฟเวอร์เรียกใช้คำสั่ง certbot new โดยอัตโนมัติในพื้นหลังเวลา03:00น. ของทุกวัน Certbot ฉลาดมากหากพบว่าใบรับรองยังไม่หมดอายุ (เวลาที่เหลือมากกว่า30วัน) จะไม่ทำอะไรเลยเมื่อพบว่าใบรับรองอยู่ห่างจากการหมดอายุน้อยกว่า30วันระบบจะยื่นขอใบรับรองใหม่ในพื้นหลังโดยอัตโนมัติและผ่านไป-โพสต์-ดูโดยให้ Nginx โหลดซ้ำ (Reload) คลิกที่การกำหนดค่าและใช้ใบรับรองใหม่อย่างราบรื่น
บันทึกและออกจากด้วยคำสั่งนี้คุณสามารถลบ "ใบรับรอง SSL หมดอายุ" ออกจากหน่วยความจำสมองของคุณได้อย่างสมบูรณ์
สรุปและสรุปการหลีกเลี่ยงหลุม
หลังจากอ่านกระบวนการทั้งหมดแล้วคุณพบว่าใช้เวลาไม่ถึง5นาทีในการรับ HTTPS ฟรีบน Alibaba Cloud หรือไม่?
สุดท้ายสรุปหลุมมืดสองหลุมที่มือใหม่เหยียบง่ายที่สุด:
อย่าพลาดชื่อโดเมนระดับที่สอง: หากคุณต้องการทำให้ yourname.com ปลอดภัยและ api.yourname.com ปลอดภัยก่อนสมัครใบรับรองตรวจสอบให้แน่ใจว่าชื่อ Nginx server_name ของชื่อโดเมนระดับที่สองเหล่านี้ได้รับการกำหนดค่าอย่างเหมาะสมและเพิ่มความละเอียดของ Alibaba Cloud
ห้ามมิให้ผสมคำสั่งนี้กับเซิร์ฟเวอร์ที่มีแผง Pagoda: หากคุณติดตั้ง "Pagoda Panel" และเครื่องมือแสดงภาพอื่นๆบนเซิร์ฟเวอร์ Alibaba Cloud โปรดคลิก "สมัครใบรับรอง Let's Encrypt" โดยตรงในอินเทอร์เฟซแบบกราฟิกของแผงควบคุมอย่าไปที่บรรทัดคำสั่งเพื่อเรียกใช้ใบรับรองเนื่องจากแผงการแสดงภาพมีชุดกฎการกำหนดค่า Nginx ของตัวเองการใช้คำสั่งเนทีฟเพื่อแก้ไขจะทำให้ไฟล์คอนฟิกูเรชันของแผงนั้นยุบโดยตรง
ตอนนี้เว็บไซต์ของคุณไม่เพียงแต่ปลอดภัยและป้องกันการหักหลังเท่านั้นแต่ยังได้รับคะแนนน้ำหนักที่สูงขึ้นในสายตาของเครื่องมือค้นหาหลักๆรีบวางสายกุญแจขนาดเล็กฟรีของคุณ!
บัญชีอาลีคลาวด์!
