跳到主要內容

Ubuntu22.04使用PPA安裝 Let's Encrypt的 SSL 憑證

如果Ubuntu的Apach是用PPA套件安裝的,建議SSL憑證也用PPA套件安裝,因為這樣不但省事,還能使用Certbot的自動更新功能,不用再另外寫定時器及更新腳本,一樣能做到A+,設定方法如下說明:

※透過PPA下載安裝 Certbot 的SSL套件

1. 更新系統套件
sudo apt update
sudo apt upgrade -y
(upgrade -y可能會跑10分鐘正常狀態)

2. 加入 Certbot 官方 PPA
sudo apt install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt update

3. 安裝 Certbot 與 Apache 插件
sudo apt install certbot python3-certbot-apache -y

4. 申請 SSL 憑證
如果有同時使用www及沒有www的網域請使用以下指令(紅字改為您的網址)
sudo certbot --apache -d example.com -d www.example.com
如果只有單一網域要申請憑證
sudo certbot --apache -d www.example.com

送出後會有申請詢問
->請輸入E-Mail:輸入有效電子郵件以接收到期通知。
->同意條款:輸入 A 同意。
->是否將 HTTP 強制轉向 HTTPS:選擇 2(自動設定轉向)。

如果按太快忘記設定HHTTP轉HTTPS,可以輸入以指令重新設定
可以直接使用 Certbot 內建的指令來修改設定,不會影響現有憑證:
sudo certbot --apache --redirect

這會直接在 Apache 的設定檔中加入 HTTP → HTTPS 的轉向規則。
設定完成後,重新載入 Apache:
sudo systemctl reload apache2

確認轉向是否生效:
curl -I http://example.com

應該看到:
HTTP/1.1 301 Moved Permanently
Location: https://example.com/
這樣就完成 HTTP 強制轉向 HTTPS 的設定了!

5. 憑證路徑
申請完成後,憑證會儲存在:/etc/letsencrypt/live/example.com/


6. 測試 Apache 設定並重新啟動-確保 Apache 設定正確無誤
sudo apachectl configtest

出現 Syntax OK 後,重新啟動 Apache:
sudo systemctl reload apache2

 7. 確認自動更新(Cron Job 已預設啟用)
sudo certbot renew --dry-run
如無錯誤訊息,表示自動續期已設定成功。


※設定SSL路徑及優化SSL,使即可達到A+的強度

1、設定虛擬主機檔 default-ssl.conf,路徑在 /etc/apache2/sites-available/default-ssl.conf,用筆記本打開編輯(紅字改為您的網址)

搜尋 SSLCertificateFile,修改為:
SSLCertificateFile /etc/letsencrypt/live/www.example.com/cert.pem

搜尋 SSLCertificateKeyFile,修改為:
SSLCertificateKeyFile /etc/letsencrypt/live/www.example.com/privkey.pem

搜尋 SSLCertificateChainFile(若被註解,移除 # 並修改):
SSLCertificateChainFile /etc/letsencrypt/live/www.example.com/chain.pem

2:優化 SSL/TLS 加密協定
編輯 SSL 模組設定檔:/etc/apache2/mods-available/ssl.conf ,用筆記本打開編輯

搜尋 SSLProtocol,確保設定如下(停用舊版協定):
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
這將僅允許 TLS 1.2 和 1.3。


搜尋 SSLCipherSuite,修改為更安全的加密套件:
SSLCipherSuite ALL:+HIGH:!ADH:!EXP:!SSLv2:!SSLv3:!MEDIUM:!LOW:!NULL:!aNULL

搜尋 SSLHonorCipherOrder,確保設定如下(移除 #):
SSLHonorCipherOrder on


3:啟用 SSL 模組與虛擬主機
啟用 ssl 模組與 default-ssl 虛擬主機:
sudo a2enmod ssl
sudo a2enmod headers
sudo a2ensite default-ssl.conf

確保 ssl 與 headers 模組已啟用,檢查語法:
sudo apachectl configtest
若顯示 Syntax OK,重新啟動 Apache:


重新啟動 Apache:
sudo systemctl reload apache2

4:確認 SSL 憑證與強制 HTTPS
測試 HTTPS 是否正常運作:
curl -I https://www.example.com

應該會看到:HTTP/2 200 表示HTTPS 有正常運作


※最後設定.htaccess,再.htaccess加上HSTS,希望瀏覽器在未來自動強制使用 HTTPS 連線

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
</IfModule>

max-age=63072000 → 設定 HSTS 為 2 年。
includeSubDomains → 套用到所有子域名。
preload → 若要將網站加入到瀏覽器的 HSTS 預載清單(需額外申請:HSTS Preload List)。

重新啟動 Apache
sudo systemctl reload apache2

到這裡Ubuntu22.04使用PPA安裝 Let's Encrypt的 SSL 憑證工作就全部完成了,您可以用以下網址檢測憑證是否有效

https://www.ssllabs.com/ssltest/analyze.html?d=example.com

如都設定正常,最少也會有A+


以上工作心得分享,有需要的朋友可以參考看看。

工作心得撰寫:徐嘉裕 Neil hsu
標籤:

留言

張貼留言

這個網誌中的熱門文章

好用的windows備份檔案dos指令XCOPY-教學撰寫:徐嘉裕Neil hsu

要快速的備份某個硬碟全部資料到備份硬碟中,雖然是可以用windows內建的備份與還原,但如果重灌windows可會有key不同而無法還原的問題,還要改一堆設定煩死了,直接用dos指令XCOPY來做檔案的複製就很快了,資料也不會丟失,好朋友可以參考看看!! 首先開啟windows所有程式->附屬應用程式->開啟命令提示字元! 然後輸入以下指令 XCOPY C:\xxx   F:\xxx /s 藍字的 C:\xxx  為複製檔案來源位置例如要複製整個C槽就輸入 C:\ 綠色的   F:\xxx 為複製目的位置,例如要放到F槽的備份資料夾,就輸入  F:\ 備份 紅字的 S 為複製類型參數,可以自行修改為以下的參數設定: ================================================================= /A    只複製設定成保存屬性的檔案,不要改變屬性的設定。 /M    只複製設定成保存屬性的檔案,並清除保存屬性。 /D:m-d-y  複製指定日期當天或之後變更的檔案。如果沒給日期,只複製那些來源檔案日期比目的檔案日期為新的檔案。 /EXCLUDE:file1[+file2][+file3]...         指定檔案清單字串。每個字串應在不同行。如果有字串對應到要進行複製的檔案絕         對路徑的任何部分,這個檔案會被排除複製。例如,指定字串         \obj\ 或 .obj 的話,會排除所有在 obj 目錄下副檔名是.obj 的檔案複製。 /P    在建立每個目的檔案時顯示提示。 /S    複製每個目錄及其包含的子目錄,不複製空目錄。 /E    複製每個目錄及其包含的子目錄,也複製空目錄。/S 與 /E相同,能夠用來修改 /T。 /V   ...
3 則留言
閱讀完整內容

jQuery取得下拉選單selected中數值與內容的方法

假設選單狀態為: <select id='selectname '> <option value='v1' data-id="d1">選單A</option> <option value='v2' data-id="d2">選單B</option> <option value='v3' data-id="d3">選單C</option> </select> 以jQuery取得選單數值與內容方法如下: 1、取得下拉選單 value 數值的方法 $selectname=$('#selectname').val(); alert($selectname); //顯示選單中 selected 狀態的value數值v1 or  v2  or  v3。 2、取得下拉選單中 data-id 數值的方法 $data-id= $(this).find(':selected').attr('data-id'); alert($data-id); //顯示選單中 selected 狀態的data-id數值d1 or  d2 or  d3。 3、取得下拉選單中 文字 的方法 $selecttext=$(this).find(':selected').text(); alert($selecttext); //顯示選單中 selected 狀態的文字內容,如選單A or  選單B or 選單C。 教學撰寫:徐嘉裕 Neil hsu
張貼留言
閱讀完整內容

CentOS7啟用ssh的設定方法-教學撰寫:徐嘉裕Neil hsu

安裝好CentOS7後可以在圖形化介面中點選右鍵->開啟服務器修改設定後啟用SSH設定,方法如下: 1、先安裝openssh套件 sudo yum install openssh* 2、用 gedit 開啟sshd_config編輯 (不要用vi很難編輯的) sudo gedit /etc/ssh/sshd_config 3、增加可連線SSH帳號 AllowUsers admin (此欄位需要自行新增) 4、修改PORT吧 # 註解拿掉 (可以改成8022PORT或其他PORT都可以) Port 22 搜尋PermitRootLogin吧 # 註解拿掉 PermitRootLogin no 再來把這兩行的 # 註解拿掉 PermitEmptyPasswords no PasswordAuthentication yes 搜尋Protocol設定使用SSHv2連線 Protocol 2 sudo systemctl restart sshd.service    重新啟動service sudo systemctl enable sshd.service    設定開機啟動SSH sudo semanage port -a -t ssh_port_t -p tcp 22      防火牆允許22 PORT 或 sudo firewall-cmd --permanent --zone=public --add-port=22/tcp 重新載入防火牆設定 sudo firewall-cmd --reload sudo  netstat -ant | grep :22 查看 22PORT 查詢現在SELinux設定清單中的SSH服務有哪些Port sudo semanage port -l | grep ssh ssh_port_t tcp 8022, 22 怎麼測試? 格式:登入帳號@IP或主機名稱 指令:-p SSH服務Port號 sudo ssh -p 22 admin@192.168.1.100 如設定的Port在清單中 ,那就表示SSH設定完成防火牆也開啟列外了,之後再用遠端的PuTTY輸入 ...
張貼留言
閱讀完整內容