澳门新浦京娱乐场网站-www.146.net-新浦京娱乐场官网
做最好的网站

网站配置,陈设援救

通过 Certbot 为 nginx 开启https支持。

http进级到https要求在nginx的安顿中加入证书新闻,查询资料后鲜明生成证书二种方案

为啥要求 https ?

早晚, 为了 SEO , 为了安全, 为了吹捧

那篇博文主要总括 介绍一下什么使得个人网址经过https进行加密传输,越来越好的管教传输数据能够不被别人窃取

Let's Encrypt 是一家全新的 SSL 证书颁发机构,为用户提供免费、自由、自动化的证件颁发流程。我们得以透过 Let's Encrypt 申请 SSL 证书来为大家的 GitLab 提供 HTTPS 接入。

环境

  • CentOS 7.1
  • python二.x(这东西系统里本来就有)

 

预备职业

requirements

在开端此前,你最棒先明白一下:

  1. 什么是http和https
  2. https的专门的学业规律
  3. https的安全性是哪些保险的,有未有何单点故障

对于https的询问,大约须要领悟:

  1. TLS/SSL协议是哪些
  2. 证书和根证书
  3. 对称加密算法和非对称加密算法职业规律

这里推荐多少个网站,能够支持驾驭:
猫尾博客:HTTPS职业规律
编制程序散文:数字证书及 CA 的扫除文盲介绍
编程随想:扫除文盲 HTTPS 和 SSL/TLS 协议

安装 Let's Encrypt 客户端

先是,通过 git 下载 Let's Encrypt 的客户端:

git clone https://github.com/certbot/certbot
cd certbot
./certbot-auto --help

(注:自 2016 年 5 月起,letsencrypt 项目改名称叫 certbotletsencrypt-auto 工具改名字为 certbot-auto。不过为了保全包容性,克隆货仓时仍可选取 https://github.com/letsencrypt/letsencrypt,使用命令时也仍可用 letsencrypt-auto。)

安装Nginx

sudo yum install nginx -y

随手运转:

sudo systemctl start nginx

随手设置开机运维:

sudo systemctl enable nginx

啊,就完了了。 至于配置文件,会在背后设置。

率先种:自签定证书,然后展开 CloudFlare 的 CDN 服务

 

//鲜明是还是不是安装openssl

which openssl

//若是未有设置,通过apt-get或然yum等措施安装就可以

sudo apt-get install openssl

//生成三个名称为“ssl.key”的 汉兰达SA key文件:推行结果:生成ssl.pass.key 和 ssl.key

openssl genrsa -des3 -passout pass:x -out ssl.pass.key 2048

openssl rsa -passin pass:x -in ssl.pass.key -out ssl.key

//删除中间文件

rm ssl.pass.key

继之,利用已经转移的 ssl.key 文件,进一步生成 ssl.csr 文件:

openssl req -new -key ssl.key -out ssl.csr

实行此行命令会提示输入密码,按回车就可以,因为后面我们在生成 ssl.key 时选取了密码留空。

末尾大家采取前边生成的 ssl.key 和 ssl.csr 文件来生成 ssl.crt 文件,也便是自签定的 SSL 证书文件:

openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt

这一步之后,大家获得贰个自签订契约的 SSL 证书文件 ssl.crt,限制期限为 3六5 天。此时,ssl.csr 文件也曾经不复被亟需,能够去除掉了:

rm ssl.csr

 

参谋地址:

 

域名 vps(服务器) * 1

此处以自家的几块钱买的 lzres.win 为例(只怕会乱入其它域名, 实操时换到本人的就行~ ).
域名是在阿里云的万网注册的, 这里的 DNS分析 什么的作者就不赘述了, 相信精晓https 的起码不是白纸同样的小白了.

此间 DNS 解析还有一个坑, 以前在 谷歌(Google)寻找 开启 https 方法的时候, 看到某篇博文说 Let's Encrypt 须求国外的 DNS 剖判,为此小编花了繁多岁月独家给多少个域名换来海外的 DNS, 然后意识实际上是不用切换的, 万网自带的 DNS 分析是能够打开 Let's Encrypt 的 https 的.

收获证件

刺探了眼下的新闻之后,就足以精晓,想要个人网址使用https的主意来拜会,主要的职责就是什么样赢得有效的安全评释。在这里大家赖以 Let's Encrypt 得到无需付费证书,这里是她的官方网址:Let's Encrypt

依赖官方网站的叙说,须求下载Certbot到村办服务器上,Certbot是1个客户端,担当从Let's Encrypt获得平安证书

下载Cerbot(命令行):

> wget https://dl.eff.org/certbot-auto
> chmod a x ./certbot-auto

Certbot提供了两种配备格局,standalone和webroot,由于笔者的博客本人搭建在nginx和tomcat的功底上,所以小编选择webroot方式(if you are running a local webserver)。

基于官方网址所描述,需求为webserver配置 /.well-known/acme-challenge ,由于本身动用nginx,约等于保险Certbot的服务器能够透过nginx访问到这几个文件夹

在nginx的nginx.conf文件中写入以下配置

server {
        listen          80;
        server_name     www.lincloud.me;

        location ^~ /.well-known/acme-challenge/ {
            default_type "text/plain";
            root /usr/local/nginx/html;
        }

        location = /.well-known/acme-challenge/ {
            return 404;
        }
        rewrite ^(.*) https://$server_name$request_uri permanent;
    }

下一场直接切到Certbot的目录, 命令行下运营

> ./certbot-auto certonly --webroot -w /usr/local/nginx/html/ -d www.lincloud.me

此地说宾博下,-w 前面包车型大巴内容表示的是本人nginx的装置目录,定位到其下的html目录,大家事先定义的 /.well-known/acme-challenge/ 一时文件夹就在这一个职分。 -d 之后的源委表示的是急需提请证书的域名。

留神:在那边域名作者动用www早先的二级域名,那样能够保证拔尖域名zhuhonglin.website同样遭遇证书的掩护。(那是出于在这里,使用Certbot签发的是单域名证书)

当命令行出现 Congratulations 时表示成功赢得了证书,你申请的域名已经收获认证。

提请证书

下载完 Let's Encrypt 客户端后,大家得以借助随 GitLab 运行的 nginx 服务器来表明我们的域名,进而赢得证书。

./certbot-auto --agree-tos --email email@example.com certonly --webroot -w /opt/gitlab/embedded/service/gitlab-rails/public/ -d www.example.com

上述命令中:

--agree-tos
允许用户协议。

--email
第3回提请证书时,要求邮箱地址来创立 Let's Encrypt 的账号。然则,并不会证明此账号。

邮箱地址用于接受证书过期提示。

certonly
只报名证书。

--webroot
通过在时下运作的 web 服务器下存放验证文件来验证身份。

-w
点名当前运维的 web 服务器的根目录。

对此通过 Omnibus 安装的 GitLab 的暗中同意的 nginx 服务器的根目录位于 /opt/gitlab/embedded/service/gitlab-rails/public/

-d
点名要申请证书的域名。

证书申请成功后,会有近似如下输出:

Requesting root privileges to run certbot...
  /home/zzz.buzz/.local/share/letsencrypt/bin/letsencrypt --agree-tos --email email@example.com certonly --webroot -w /opt/gitlab/embedded/service/gitlab-rails/public/ -d www.example.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Performing the following challenges:
http-01 challenge for www.example.com
Using the webroot path /opt/gitlab/embedded/service/gitlab-rails/public for all unmatched domains.
Waiting for verification...
Cleaning up challenges
Generating key (2048 bits): /etc/letsencrypt/keys/0001_key-certbot.pem
Creating CSR: /etc/letsencrypt/csr/0001_csr-certbot.pem

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/www.example.com/fullchain.pem. Your cert
   will expire on 2017-07-22. To obtain a new or tweaked version of
   this certificate in the future, simply run certbot-auto again. To
   non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

获取的证书及私钥存放在 /etc/letsencrypt/live/www.example.com/ 目录下,其中

  • cert.pem: 网址本身的证件;
  • chain.pem: 网址证书链中的上级证书;
  • fullchain.pem: 包含了网站自个儿证书和上级证书的欧洲经济共同体证书链;
  • privkey.pem: 网址自个儿证书对应的私钥。

配置https

此间我们应用 Let's Encrypt 提供的注明。且为了便于设置,使用 Certbot 配置工具。

第二种:借助于Let's Encrypt

 

Let's Encrypt 简介

假设要启用HTTPS,我们就须要从证书授权机构(以下简称CA) 处获取3个证书,Let's Encrypt 正是贰个 CA。大家得以从 Let's Encrypt 获得网址域名的无偿的证书。

Certbot 简介

Certbot 是Let's Encrypt官方推荐的获取证书的客户端,能够帮大家获取无需付费的Let's Encrypt 证书。

 

1. 下载 certbot

最佳是根据官方网址来拍卖:

 

图片 1图片 2

二. 生成免费证书

法定文书档案有比较详细的印证,依据本身的情状来选取

 

在意:官方限制了周周的报排行数,假诺您进行开垦测试,生成证书的时候增多--staging参数,那样就不供给太忧虑数量的限制了

 

上面介绍三种格局

不论是哪壹种方法,实质都以申明你是或不是全数这么些域名,只不过达成的门径各异

 

一>webroot方法,此方法会在您布署的服务器站点目录下开创 .well-known 文件夹,那个文件夹里面富含了有个别验证文件,certbot 会通过访问 来验证你的域名是或不是绑定的那么些服务器

 

设若您自个儿从没创建相应的站点也足以协和加盟八个相比较通用的配备

location ^~ /.well-known/acme-challenge/ { default_type "text/plain"; root /usr/share/nginx/html; } location = /.well-known/acme-challenge/ { return 404; }

 

certbot certonly --webroot -w 网址根目录 -d example.com -w 网址根目录 -d www.example.com

 

二>standalone方法,假如您不想利用你协和的服务器,这一个艺术是个选项,不过急需专注要关闭相应的端口或然是80照旧4四三(以你和睦挑选的格局决定)

使用80端口: certbot certonly --standalone --preferred-challenges http -d example.com

使用443端口: certbot certonly --standalone --preferred-challenges tls-sni -d example.com

 

3>manual方法,假设您想在随机的linux主机下生成证书,那么这种办法可能是一个取舍,然则要小心的是表明进度中会生成3个字符串,须要您将那几个自由的字符串加多到您dns服务器才得以成功验证操作.

certbot certonly --manual --preferred-challenges dns -d archerwong.cn

 

三.删减证书,要是你转移的时候加多了 --stagin参数,上面的指令也要增进

certbot revoke --cert-path /etc/letsencrypt/live/example.com/cert.pem

certbot delete --cert-name example.com

 

肆.证书更新

sudo certbot renew --dry-run

 

5.丰裕的参数选择

以上的各样吩咐其实都以足以进入过多参数,最棒是寻找下官方文书档案

 

理之当然官方提供了众两种生成证书的不2秘技,你能够依赖你协和的骨子里景况张开分选

 

申明生成达成后,大家得以在 /etc/letsencrypt/live/ 目录下看到对应域名的文本夹,里面存放了指向证书的部分急忙格局。

 

更换证书后,配置 Nginx

 

开荒 nginx server 配置文件出席如下设置:

server {

  listen 443 ssl on;

  ssl_certificate /etc/letsencrypt/live/网址域名/fullchain.pem;

  ssl_certificate_key /etc/letsencrypt/live/网址域名/privkey.pem;

  ## 其余安顿

}

 

强制跳转 https

https 暗许是监听 44三 端口的,没开启 https 访问的话一般私下认可是 80 端口。如果您鲜明网址 80 端口上的站点都帮忙 https 的话加入上面包车型地铁附件能够活动重定向到 https

server {

  listen 80;

  server_name your.domain.com;

  return 301 ;

}

 

参照地址:

 

 

 

 

 

 

 

 

 

VPS服务器

VPS 采取不管买一台就行, 什么腾讯云.Ali云.vultr .linode的等等的. 系统为 linux 的就行.(在 DNS 剖判中深入分析到 vps 的 ip)

服务器的系统选取

亲测 CentOS6.5(32bit) 与 Let's Encrypt 存在包容性难题(在那开支了自己半天时间, 气死), 小编的消除方案是将服务器换为 Debian 捌.0 成功消除.

配置

要想用户能够通过https访问,还亟需对webserver进行一些配置
先是切到nginx 的 conf目录下张开安顿
鉴于自家期望用户访问

http://lincloud.me
http://www.lincloud.me
https://lincloud.me
https://www.lincloud.me

上述多个网站的时候都足以进去小编的博客地址,并且走https的渠道。
故而记下来的布署文件:

upstream backend {
   server localhost:8080; # Tomcat/Jetty 监听端口
}

server {
  listen       80;
  server_name  lincloud.me;
  rewrite ^(.*) https://www.$server_name$request_uri permanent;

}

server {
  listen          80;
  server_name     www.lincloud.me;

  location ^~ /.well-known/acme-challenge/ {
    default_type "text/plain";
    root /usr/local/nginx/html;
  }

  location = /.well-known/acme-challenge/ {
    return 404;
  }

  rewrite ^(.*) https://$server_name$request_uri permanent;
}


server {
  listen      443 ssl;
  server_name  lincloud.me;

  ssl_certificate /etc/letsencrypt/live/lincloud.me/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/lincloud.me/privkey.pem;
  ssl_trusted_certificate /etc/letsencrypt/live/lincloud.me/chain.pem;

  rewrite ^(.*) https://www.$server_name$request_uri permanent;
}

server {
  listen              443 ssl;
  server_name         www.lincloud.me;

  ssl_certificate /etc/letsencrypt/live/www.lincloud.me/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/www.lincloud.me/privkey.pem;
  ssl_trusted_certificate /etc/letsencrypt/live/www.lincloud.me/chain.pem;

  location ^~ /static/ {
    root    /usr/local/nginx/html/;
  }

  location / {
    proxy_pass http://backend$request_uri;
    proxy_set_header  Host $host:$server_port;
    proxy_set_header  X-Real-IP  $remote_addr;
    proxy_set_header X-Forwarded-Proto https;
    client_max_body_size  10m;
  }

}

对此其他的访问网址,我整个重定向到了 https://www.lincloud.me 所以未来就看最终二个server是怎么管理的,最终二个server的location 中,注明了代办的地点是 localhost:8080 ,也正是自己的tomcat的职位,这里是本人博客的的确地方。

在此处对于nginx来讲,和外网通信应用的是https,而和tomcat通信应用的是http,所以必要报告tomcat,尽管那是http的央求,但实际桃月经被https代理了,由此在tomcat的安顿文件中(server.xml)配置如下消息:

<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="443"
               proxyPort="443"
               URIEncoding="UTF-8"
               />

安顿之后的host

<Host name="localhost"  appBase="webapps"
            unpackWARs="true" autoDeploy="true">
    <Valve className="org.apache.catalina.valves.RemoteIpValve"
        remoteIpHeader="x-forwarded-for"
        remoteIpProxiesHeader="x-forwarded-by"
        protocolHeader="x-forwarded-proto"
            />
</Host>

nginx和tomcat都同时安插 x-forwarded-proto 头音信,从而告知tomcat已被https代理。

到此地基本就形成,但因为本人是利用solo搭建的博客
故而须求修改一下latke.properties的内容,技巧准确显示博客

# Browser visit protocol
serverScheme=https
# Browser visit domain name
serverHost=www.lincloud.me
# Browser visit port, 80 as usual, THIS IS NOT SERVER LISTEN PORT!
serverPort=443

ok,至此全部配置完结
重启tomcat,重启nginx。就能够通过https来拜会自个儿的主页了。

末尾提醒一下,安全证书的施用期限是90天,90天过后又要求选择Certbot更新证书
自身动用了自动更新的吩咐,近期还不明了是不是见效
以下是手动更新命令,certbot会自动帮你完结
./certbot-auto renew

履新证书

由于证书的有效期为7个月,因而大家须求定期推行以下命令来更新证书:

./certbot-auto renew

瞩目假如证件还有较长期才会晚点,那么注解并不会收获更新,并会拿走近似如下输出:

Requesting root privileges to run certbot...
  /home/zzz.buzz/.local/share/letsencrypt/bin/letsencrypt renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/gitlab.zzz.buzz.conf
-------------------------------------------------------------------------------
Cert not yet due for renewal

The following certs are not due for renewal yet:
  /etc/letsencrypt/live/gitlab.zzz.buzz/fullchain.pem (skipped)
No renewals were attempted.

而假如证件将在过期(限制时间不足 20 天,10 天和 一天时),用户却还未实践命令更新证书,那么 Let's Encrypt 会自动发邮件至申请证书时所留的邮件地址,提示更新证书。

图片 3

更新完证书后,还索要让 nginx 重新加载新证书:

sudo gitlab-ctl hup nginx

除了那么些之外手动实行外,也得以把上述命令加入 cron 任务来按期进行。

使用以下命令来编排 cron 任务:

sudo su -
crontab -e

在开采的公文中,增多以下内容:

0 3 * * 1 /home/zzz.buzz/certbot/certbot-auto renew && gitlab-ctl hup nginx

如上命令会在每一周一的 三 点尝试更新证书,即只要证件就要 15日内过期,则会被更新,不然将不会被更新;
与此同时还会发送 HUP 复信号给 nginx 进度,以使其加载新证件。

注意将 certbot-auto 的不2秘诀替换为实际的不二诀要。

工具得到

证件机构: Let's Encrypt - https://letsencrypt.org
计划工具: Certbot - https://certbot.eff.org/

事实上,你根本用不到上面多个链接,作者把它们写在那只是为了方便掌握任何细节,顺便表示尊重。

实际上我们得以一直通过包管理器获取 Certbot 工具。

先是需求安装 EPEL 源:

sudo yum install epel-release -y

接下来安装 Certbot :

sudo yum install python2-certbot-nginx -y

工具安装到位。

千帆竞发设置 LNMP壹.四

在 lmnp.org 查看详细教程, 注意早晚要设置 lnmp一.四 版本(及以上), 近日(201七.3.3一) 一.4版本仍为测试版

在 GitLab 中央银行使注脚

使用 Certbot

Certbot 使用命令行中的交互式配置,我们运转它,然后随即提醒一步一步成功就行。

新建站点

通过长时间的守候安装到位后就能够新建站点了

输入指令

# lnmp vhost add
接下来会提醒输入域名
输入 lzres.win (因为本人早已创立过了,图上用 lzres一.win 代替)
接下来一同回车(如有要求活动选择),
最主要的一步来了

图片 4

开启ssl

配置 GitLab 使用 HTTPS 协议

修改 /etc/gitlab/gitlab.rb 文件,配置 external_urlhttps 开首的地方,如:

external_url 'https://gitlab.zzz.buzz'

假使急需将由此 HTTP 的流量重定向至 HTTPS 还索要在 /etc/gitlab/gitlab.rb 文件中,实行如下配置:

nginx['redirect_http_to_https'] = true

一、 启动 Certbot

通过命令:

sudo certbot --nginx

配置 ssl

看到 Add SSL Certificate (y/n)
这里时, 输入 y

图片 5

Let's Encrypt.png

输入 二 选用第三项, 自动创设
接着输入邮件地址,能够随意填

图片 6

email.png

网站配置,陈设援救。下一场就卫冕长时间的等候了
到此时就临近成功了, 耐心等待吧

图片 7

successing.png

到这里就马到成功了~(图上域名有变化.)

图片 8

succeed.png

大家明日到网址目录丢进去个 index.html 文件测试一下

图片 9

当然现在的 http://bg9gxm.win 也是能够访问的就必要 30一 重定向了

配置证书

布局 GitLab 将在选择的证件有二种艺术,一种是将事先经过 Let's Encrypt 申请的证书放置到 GitLab 暗中同意必要的配备,如下文链接证书所示;另1种则是修改 GitLab 的安插文件,将证书的路子指向此前经过 Let's Encrypt 申请的评释,如下文修改配置所示。三种方法选1就能够。

贰、 填写邮箱

在下述提示后,填写您的邮箱地址。

Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): xxxx@xxxx.com

输入你的邮箱地址,回车分明。

设置 301 重定向

https 站点布局落成后, http 起始的域名照旧得以访问的, 那就要求将 http 跳转到 https 中.

编排站点布局文件(如若对 vim 不熟悉可以将 vim 退换为nano)
# vim /usr/local/nginx/conf/vhost/lzres.win.conf
或者用 nano
# nano /usr/local/nginx/conf/vhost/lzres.win.conf
安顿文件如下:

server
    {   
        listen 80;
        #listen [::]:80;
        server_name lzres.win ;
        index index.html index.htm index.php default.html           default.htm default.php;
        root  /home/wwwroot/lzres.win;
        # 在这儿把下面三行代码添加到文件中, 其他不用管
        if ($server_port = 80 ) {
        return 301 https://$host$request_uri;
        }

增加实现后, 重启 nginx 服务器
# /etc/init.d/nginx restart

不出意外, 未来输入 http://lzres.win 会自动跳转到 https://lzres.win

为主站开启 https 后, 笔者想要访问的域名是 https://lzres.win 然而也亟需使 www.lzres.win 跳转到不带www的域名中, 就须求安装 301 重定向

输入指令新建2个站点

# lnmp vhost add
创办1个 www.lzres.win 的站点, 进度中数据库和 下面的早已开启过的 ssl 就无需再张开了.

站点创产生功后对站点布局文件举行编写制定:
用 vim 打开配置文件
vim /usr/local/nginx/conf/vhost/www.lzres.win.conf
剔除其余代码, 只留下下面几行就能够了

server{
       listen 80;
        #listen [::]:80;
        server_name www.lzres.win;
        return 301 https://lzres.win;
}

配备实现后, 再一次重启 nginx
# /etc/init.d/nginx restart
就旗开马到啦
今昔在浏览器中不管道输送入 lzres.win 还是 www.lzres.win 都会跳转到有小绿锁的 https://lzres.win

在网址目录丢进去个 index.html 文件, 访问试试吧~

图片 10

接下来就能够开畅快心的撸网址啦

安顿格局一:链接证书

基于通过 Omnibus 安装的 GitLab 的私下认可配置,会寻觅存放在 /etc/gitlab/ssl/ 目录下的 www.example.com.keywww.example.com.crt 文件,其中的 www.example.com 应当替换为在上文中 external_url 里设置的域名。

咱俩得以通过如下命令来将事先经过 Let's Encrypt 申请的证书链接到所需的地点。

# 切换至 root 用户(如已是 root 用户,则无需此步)
sudo su -

# 使用 root 用户执行以下命令
mkdir -p /etc/gitlab/ssl
chmod 700 /etc/gitlab/ssl
cd /etc/gitlab/ssl
ln -s ../../letsencrypt/live/www.example.com/fullchain.pem www.example.com.crt
ln -s ../../letsencrypt/live/www.example.com/privkey.pem www.example.com.key

叁、 同意用户协商

下述提醒提示你读书并允许用户协商之类的。

Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf.
You must agree in order to register with the ACME server at https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: A

输入字母 A 回车明确。

其余难点

布局格局二:修改配置

修改 GitLab 的配置文件 /etc/gitlab/gitlab.rb,增多以下内容:

nginx['ssl_certificate'] = "/etc/letsencrypt/live/www.example.com/fullchain.pem"
nginx['ssl_certificate_key'] = "/etc/letsencrypt/live/www.example.com/privkey.pem"

四、 请求分享您的邮箱

趣味是她们会没事给你发发广告邮件。同意就是了 ╮(╯▽╰)╭

Would you be willing to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about our work encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

输入字母 Y 回车显著。

服务器中开启了 https 后, 其余服务(例如 shadowsocks) 仍是可以够平时使用呢?

亲测能够

启用新配置

铺排达成后,使用如下命令启用新布置:

sudo gitlab-ctl reconfigure

5、 钦点域名

鉴于大家在设置nginx后不曾配备站点,所以这里要求大家提供域名,配置工具会帮大家填写nginx的布局文件。

No names were found in your configuration files. Please enter in your domain name(s) (comma and/or space separated)  (Enter 'c' to cancel): www.xxxx.com xxx.xxxx.com

输入你和睦的域名(多个域名中间用空格隔断)回车鲜明。

参考

六、 重定向

会询问你是或不是要把富有http请求重定向到https。当然要了~

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for new sites, or if you're confident your site works on HTTPS. 
You can undo this change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2

输入数字 2 回车明确。

Let's Encrypt

  • Getting Started - Let's Encrypt - Free SSL/TLS Certificates
  • Introduction — Let's Encrypt documentation
  • certbot/certbot

七、 完成

此刻安插已经到位。你能够在接下去的输出中找到如下段落:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations! You have successfully enabled https://www.xxxx.com and https://xxx.xxxx.com

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=www.xxxx.com
https://www.ssllabs.com/ssltest/analyze.html?d=xxx.xxxx.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

意思就是你早已成功安排了 www.xxxx.com xxx.xxxx.com 八个域名(就是在 步骤5 输入的那八个,当然,你输入了多少个这里就能够显得多少个)。
还要你可以在 那么些网址上测试域名的情景。

GitLab Nginx

  • NGINX settings

本文永恒更新链接地址:http://www.linuxidc.com/Linux/2017-12/149764.htm

图片 11

八、 证书过期

由于 Let's Encrypt 的免费证书限期是90天,所以你须要每80几天再一次申请一回。

Certbot 可以经过轻巧的吩咐实现这些专门的学业:

certbot renew

假设您要么感到劳碌,能够把那个操作设为按期任务,每80几天运营二回,就足以高枕而卧了。

其他

援救https的nginx已经完全配置完结。接下来把您的站点位于nginx的目录下就行,一般是 /usr/share/nginx/html 要是否此处,你能够在nginx的铺排文件里找到,配置文件位于 /etc/nginx/nginx.conf

在浏览器中开垦站点,就能够看出地点栏上的小绿锁了~


初稿发表于

本文由澳门新浦京娱乐场网站发布于澳门新浦京娱乐场网站,转载请注明出处:网站配置,陈设援救