X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

Открыть тему
Тема закрыта
> Как получить HTTPS бесплатно (NGINX)
Какой у вас сервер
Какой у вас сервер
NGINX [ 1 ] ** [100,00%]
Apache [ 0 ] ** [0,00%]
Связка из обоих [ 0 ] ** [0,00%]
Всего голосов: 1
  
k0ttee
k0ttee
Topic Starter сообщение 1.11.2016, 13:49; Ответить: k0ttee
Сообщение #1


Как получить HTTPS бесплатно (для NGINX). Мануал подойдет для самого получения сертификата, а подключить и к Apache можно.

Насколько все сложно


Чтобы не возникало вопросов "как мне вернуть как было", вот инструкция как пользоваться этой инструкцией:
0.) придется на время останавливать NGINX
1.) перед началом - сделать бэкап
2.) сначала прочитать - на втором чтении делать
3.) если страшно - взять для первой попытки пустой сайт
Это не бред сумасшедшего, который написал иструкцию для инструкции, а способ не просрать работающие сайты - я вас предупредил.

Подготовка


0.) если не установлен клиент ГитХаба - установить
sudo apt-get update
sudo apt-get install git

1.) клонировать себе репозиторий letsencrypt и перейти в его директорию
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt

2.) запустить враппер letsencrypt-auto
./letsencrypt-auto --help

Если возникнет ошибка (версия ядра может не поддерживаться) - нажмите Enter.
Прикрепленный файл  версия ядра может не поддерживаться.png ( 21,69 килобайт ) Кол-во скачиваний: 997


Создание сертификата


Рекомендуется заталкивать поддомены в один сертификат. Разбивка по файлам для разных доменов это хорошо (чтобы поломка общего файла не сломала все сайты). Но поддомены удобнее заталкивать в сертификат их домена.

Вот пример для домена site.ru и вместе с ним blog.site.ru
./letsencrypt-auto certonly --standalone -d site.ru -d blog.site.ru

Одинокий site.ru делается так
./letsencrypt-auto certonly --standalone -d site.ru


Нужно будет ввести почту, согласиться с правилами.
Прикрепленный файл  мыло.png ( 13,45 килобайт ) Кол-во скачиваний: 997

Прикрепленный файл  правила.png ( 22,55 килобайт ) Кол-во скачиваний: 997

Если занят 443 или 80 порт, придется временно выключить NGINX.
Прикрепленный файл  порт занят.png ( 18,55 килобайт ) Кол-во скачиваний: 997


Отключается он командой
nginx -s stop


Продолжаем и получаем... Важное примечание.
Прикрепленный файл  важно об аккаунте.png ( 13,29 килобайт ) Кол-во скачиваний: 997

Еще раз запускаем процедуру (сейчас NGINX остановлен и ничего не мешает)
Нажмите вверх, чтобы появилась прошлая команда и повторно выполните ее.

Когда будет готово - увидим сообщение о том где сгенерированный сертификат и ключ.
Прикрепленный файл  поздравляем.png ( 16,71 килобайт ) Кол-во скачиваний: 997


Скорее всего файл находится там (подставить имя вашего домена)
/etc/letsencrypt/live/site.ru/fullchain.pem

Еще тут написано когда истекает срок годности (год-месяц-день)
2017-01-30

Эту дату стоит добавить себе в напоминания календаря.

Теперь запустим остановленный NGINX, чтобы сервер не лежал
nginx


Дальше нужно внести информацию о сертификате в конфиг (имя домена вписываем свое).
nano /etc/nginx/sites-enabled/site.ru


Пример конструкции (site.ru переписать на свой домен)
server {
  listen 443 ssl http2;
  server_name site.ru;

  ssl on;
  ssl_certificate     /etc/letsencrypt/live/site.ru/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/site.ru/privkey.pem;

  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_ciphers ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM;
}

Внимательные читатели заметили, что я сразу добавил http2 (а чего мелочиться, если поддерживается).

Тестим конфиги
nginx -t

Если тест пройден, перечитываем конфиги
nginx


Проверяем, чтобы в браузере все открывалось...
И, кому-то придется морочиться со склейкой (у меня склеено так):
http://site.ru => https://site.ru
http://www.site.ru => https://site.ru
https://www.site.ru => https://site.ru


P.S:
Не забываем скопировать важную директорию, о которой было important note.

Готово. Теперь можно три месяца думать о единорогах. О продлении (и ее автоматизации) будет отдельная статья.


--------------------
Задонь кибер-коту на крипто-вискас
btc: 3Hq7X9CosVftRFPqWis1Dkk5MdtM1u6jj9
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
msd777
msd777
сообщение 1.11.2016, 14:35; Ответить: msd777
Сообщение #2


k0ttee, серьёзно занялся вопросом SSL сертификата. Кстати переход сайта на https в Яндекс и Гугл имеет отличия. Обоим сразу не угодишь.
Яндекс рекомендует сразу не делать редиректы с http на https, а подождать пока робот проиндексирует оба варианта, а только потом редиректить для склейки. Иначе часть страниц в процессе перехода выпадет на время из индекса. Вообще в Яндекс будет просадка на пару-тройку недель минимум.
А вот для Гугл редирект с http на https желательно делать сразу и тут будет плавная замена, но скорее всего медленная. У меня две последние страницы как то встали и никак не склеются у Гугла.

А на вопрос о сервере такой ответ:
Веб-сервер LiteSpeed
На 67% быстрее nginx и на 533% быстрее
Apache 2.4. Используется только
на хостинге Fozzy


--------------------
My Name is the brand! <!-- s:bomb: --><img src="{SMILIES_PATH}/bomb.gif" alt=":bomb:" title="bomb" /><!-- s:bomb: -->
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
k0ttee
k0ttee
Topic Starter сообщение 1.11.2016, 17:13; Ответить: k0ttee
Сообщение #3


переход сайта на https в Яндекс и Гугл имеет отличия

Я делал для нового домена, который почти год висел в индексе одной единственной страницей.

Добавлено спустя 1 час 49 минут 9 секунд:
Для проверки по какой версии протокола идет соединение, можно добавить
&lt;?php echo $_SERVER['SERVER_PROTOCOL']; ?&gt;
&lt;br&gt;
&lt;?php echo $_SERVER['HTTPS']; ?&gt;

Если на выхлопе увидите HTTP/2.0 вместе с on значит вы красавчик.


--------------------
Задонь кибер-коту на крипто-вискас
btc: 3Hq7X9CosVftRFPqWis1Dkk5MdtM1u6jj9
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
k0ttee
k0ttee
Topic Starter сообщение 5.11.2016, 3:58; Ответить: k0ttee
Сообщение #4


Возможные трудности:

Их ресурс может быть недоступен

При этом создание/обновление сертификата подумает-подумает, да и выплюнет
смотри логи в папочке /var/log/letsencrypt&quot; или сходи на https://letsencrypt.status.io

Решается терпением и количеством попыток. Или временным выключением NGINX / Apache (чтобы освободить 80-й порт для установки соединения).

Добавить поддомены в сертификат

Допустим надо добавить в него поддомен с www. Не проблема! Создаем, на что получим выбор &quot;добавить в существующий&quot; или &quot;отменить&quot;.
Прикрепленный файл  expand.png ( 37,17 килобайт ) Кол-во скачиваний: 938

При пересоздании сертификат продляется (но не ленитесь проверять срок действия).

Много сайтов на одном IP

NGINX последних версий (на момент написания статьи - версия 1.10.0) поддерживает технологию SNI (Server Name Indication), которая позволяет делать сертификаты для нескольких доменов на одном IP.
Для тестов многосайтовости я быстренько завел бесплатный домен sslcat.tk
При попытке открыть IP-сервера - не открывается ничего, прикрутить HTTPS к голому адресу сервера - нельзя.

Тестирование

Для тестов я испльзовал такой файлик
&lt;p&gt;&lt;b&gt;domain is:&lt;/b&gt; &lt;?php echo $_SERVER['HTTP_HOST']; ?&gt;
&lt;p&gt;&lt;b&gt;protocol is:&lt;/b&gt; &lt;?php echo $_SERVER['SERVER_PROTOCOL']; ?&gt;
&lt;p&gt;&lt;b&gt;https is:&lt;/b&gt; &lt;?php echo $_SERVER['HTTPS']; ?&gt;


На выхлопе видим:

domain is: sslcat.tk
protocol is: HTTP/2.0
https is: on

Удаление

Для удаления ненужных сертификатов - удалять соответствующие pem-файлы.


--------------------
Задонь кибер-коту на крипто-вискас
btc: 3Hq7X9CosVftRFPqWis1Dkk5MdtM1u6jj9
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
k0ttee
k0ttee
Topic Starter сообщение 7.11.2016, 12:22; Ответить: k0ttee
Сообщение #5


Пока не забыл, вот топик с инструкцией о продлении - Как продлить Lets Encrypt (в нем будет ссылка на то, как автоматизировать продление).

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.


--------------------
Задонь кибер-коту на крипто-вискас
btc: 3Hq7X9CosVftRFPqWis1Dkk5MdtM1u6jj9
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Большие ставки для кликов в Я.Директ. Как удешевить?
2 rownong27 1126 26.3.2024, 14:13
автор: knezevolk
Открытая тема (нет новых ответов) Англоязычный SEO-копирайтинг от $3/100 слов от NeedmyLink | Первая статья бесплатно
2 Needmylink1 976 25.3.2024, 21:22
автор: Needmylink1
Открытая тема (нет новых ответов) Как вы бросили работу и перешли на заработок с сайтов?
12 uahomka 2300 25.3.2024, 6:52
автор: Skyworker
Открытая тема (нет новых ответов) Как отозвать банковский платеж фрилансеру?
28 metvekot 3922 25.3.2024, 6:34
автор: Skyworker
Открытая тема (нет новых ответов) Как вывести деньги в Украине с заблокированного Юмани ?
23 freeax 3653 24.3.2024, 20:55
автор: Liudmila


 



RSS Текстовая версия Сейчас: 29.3.2024, 19:26
Дизайн