跳到主要內容

Ubuntu22.04使用PPA安裝 Let's Encrypt的 SSL 憑證

如果Ubuntu的Apach是用PPA套件安裝的,建議SSL憑證也用PPA套件安裝,因為這樣不但省事,還能使用Certbot的自動更新功能,不用再另外寫定時器及更新腳本,一樣能做到A+,設定方法如下說明:

※透過PPA下載安裝 Certbot 的SSL套件

1. 更新系統套件
sudo apt update
sudo apt upgrade -y
(upgrade -y可能會跑10分鐘正常狀態)

2. 加入 Certbot 官方 PPA
sudo apt install software-properties-common
sudo add-apt-repository ppa:certbot/certbot  (輸入網址不包含https://)

3. 安裝 Certbot 與 Apache 插件
sudo apt install certbot python3-certbot-apache -y

4. 申請 SSL 憑證
如果有同時使用www及沒有www的網域請使用以下指令(紅字改為您的網址)
sudo certbot --apache -d example.com -d www.example.com
如果只有單一網域要申請憑證
sudo certbot --apache -d www.example.com

送出後會有申請詢問
->請輸入E-Mail:輸入有效電子郵件以接收到期通知。
->同意條款:輸入 A 同意。
->是否將 HTTP 強制轉向 HTTPS:選擇 2(自動設定轉向)。

※如果返回
Deploying certificate
Successfully deployed certificate for moral.jjes.tyc.edu.tw to /etc/apache2/sites-available/000-default-le-ssl.conf
Congratulations! You have successfully enabled HTTPS on https:/www.example.com

表示Certbot已經吧憑證設定寫入到 /etc/apache2/sites-available/000-default-le-ssl.conf 裡面,以下步驟可省略,但需要再000-default-le-ssl.conf 補上 SSLCertificateChainFile,放在最後面即可
SSLCertificateChainFile /etc/letsencrypt/live/www.example.com/chain.pem
如果做到A+等級請參考本文的優化 SSL/TLS 加密協定說明

※若未返回自動建立憑證設定,請繼續以流程
如果按太快忘記設定HHTTP轉HTTPS,可以輸入以指令重新設定
可以直接使用 Certbot 內建的指令來修改設定,不會影響現有憑證:
sudo certbot --apache --redirect
->是否將 HTTP 強制轉向 HTTPS:選擇 2(自動設定轉向)。

這會直接在 Apache 的設定檔中加入 HTTP → HTTPS 的轉向規則。
設定完成後,重新載入 Apache:
sudo systemctl reload apache2

確認轉向是否生效:
curl -I http://example.com

應該看到:
HTTP/1.1 301 Moved Permanently
Location: https://example.com/
這樣就完成 HTTP 強制轉向 HTTPS 的設定了!

5. 憑證路徑
申請完成後,憑證會儲存在:/etc/letsencrypt/live/example.com/


6. 測試 Apache 設定並重新啟動-確保 Apache 設定正確無誤
sudo apachectl configtest

出現 Syntax OK 後,重新啟動 Apache:
sudo systemctl reload apache2

 7. 確認自動更新(Cron Job 已預設啟用)
sudo certbot renew --dry-run
如無錯誤訊息,表示自動續期已設定成功。


※設定SSL路徑及優化SSL,使即可達到A+的強度

1、設定虛擬主機檔 default-ssl.conf,路徑在 /etc/apache2/sites-available/default-ssl.conf,用筆記本打開編輯(紅字改為您的網址)

搜尋 SSLCertificateFile,修改為:
SSLCertificateFile /etc/letsencrypt/live/www.example.com/cert.pem

搜尋 SSLCertificateKeyFile,修改為:
SSLCertificateKeyFile /etc/letsencrypt/live/www.example.com/privkey.pem

搜尋 SSLCertificateChainFile(若被註解,移除 # 並修改):
SSLCertificateChainFile /etc/letsencrypt/live/www.example.com/chain.pem

2:優化 SSL/TLS 加密協定
編輯 SSL 模組設定檔:/etc/apache2/mods-available/ssl.conf ,用筆記本打開編輯

搜尋 SSLProtocol,確保設定如下(停用舊版協定):
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
這將僅允許 TLS 1.2 和 1.3。


搜尋 SSLCipherSuite,修改為更安全的加密套件:
SSLCipherSuite ALL:+HIGH:!ADH:!EXP:!SSLv2:!SSLv3:!MEDIUM:!LOW:!NULL:!aNULL

搜尋 SSLHonorCipherOrder,確保設定如下(移除 #):
SSLHonorCipherOrder on


3:啟用 SSL 模組與虛擬主機
啟用 ssl 模組與 default-ssl 虛擬主機:
sudo a2enmod ssl
sudo a2enmod headers
sudo a2ensite default-ssl.conf

確保 ssl 與 headers 模組已啟用,檢查語法:
sudo apachectl configtest
若顯示 Syntax OK,重新啟動 Apache:


重新啟動 Apache:
sudo systemctl reload apache2

4:確認 SSL 憑證與強制 HTTPS
測試 HTTPS 是否正常運作:
curl -I https://www.example.com

應該會看到:HTTP/2 200 表示HTTPS 有正常運作


※最後設定.htaccess,再.htaccess加上HSTS,希望瀏覽器在未來自動強制使用 HTTPS 連線

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
</IfModule>

max-age=63072000 → 設定 HSTS 為 2 年。
includeSubDomains → 套用到所有子域名。
preload → 若要將網站加入到瀏覽器的 HSTS 預載清單(需額外申請:HSTS Preload List)。

重新啟動 Apache
sudo systemctl reload apache2

到這裡Ubuntu22.04使用PPA安裝 Let's Encrypt的 SSL 憑證工作就全部完成了,您可以用以下網址檢測憑證是否有效

https://www.ssllabs.com/ssltest/analyze.html?d=example.com

如都設定正常,最少也會有A+


以上工作心得分享,有需要的朋友可以參考看看。

工作心得撰寫:徐嘉裕 Neil hsu
標籤:

留言

張貼留言

這個網誌中的熱門文章

好用的windows備份檔案dos指令XCOPY-教學撰寫:徐嘉裕Neil hsu

要快速的備份某個硬碟全部資料到備份硬碟中,雖然是可以用windows內建的備份與還原,但如果重灌windows可會有key不同而無法還原的問題,還要改一堆設定煩死了,直接用dos指令XCOPY來做檔案的複製就很快了,資料也不會丟失,好朋友可以參考看看!! 首先開啟windows所有程式->附屬應用程式->開啟命令提示字元! 然後輸入以下指令 XCOPY C:\xxx   F:\xxx /s 藍字的 C:\xxx  為複製檔案來源位置例如要複製整個C槽就輸入 C:\ 綠色的   F:\xxx 為複製目的位置,例如要放到F槽的備份資料夾,就輸入  F:\ 備份 紅字的 S 為複製類型參數,可以自行修改為以下的參數設定: ================================================================= /A    只複製設定成保存屬性的檔案,不要改變屬性的設定。 /M    只複製設定成保存屬性的檔案,並清除保存屬性。 /D:m-d-y  複製指定日期當天或之後變更的檔案。如果沒給日期,只複製那些來源檔案日期比目的檔案日期為新的檔案。 /EXCLUDE:file1[+file2][+file3]...         指定檔案清單字串。每個字串應在不同行。如果有字串對應到要進行複製的檔案絕         對路徑的任何部分,這個檔案會被排除複製。例如,指定字串         \obj\ 或 .obj 的話,會排除所有在 obj 目錄下副檔名是.obj 的檔案複製。 /P    在建立每個目的檔案時顯示提示。 /S    複製每個目錄及其包含的子目錄,不複製空目錄。 /E    複製每個目錄及其包含的子目錄,也複製空目錄。/S 與 /E相同,能夠用來修改 /T。 /V   ...
3 則留言
閱讀完整內容

XAMPP自行下載PHP官方PHP8.3升級方法

目前這方法只適用於Windows安裝的Xampp,可以下PHP官網的PHP8.3包進行升級,如果是LINUX安裝的LAMPP此方法不適用,可直接跳過! 因為本地端的開發環境需要更高的PHP版本來測試模組,而XAMPP官網釋出的PHP版本只有到PHP8.2,無法滿足需求,只好自己動手DIY升級了,其實方法也很簡單,說明如下: 1、先關閉Xampp Panel的Apache跟Mysql 2、前往PHP官網,下載PHP8.3包(VS16 x64 Thread Safe) 下載連結: https://windows.php.net/download#php-8.3-ts-vs16-x64 3、吧下載回來的php包放解壓縮放到php資料夾裡面(建立一個php資料夾),然後吧Xampp根目錄中的php檔案更名,例如改為php_8.1,再吧剛剛下載建立的php資料夾放到Xampp根目錄中c:\xampp\php 4、進入php根目錄,找到php.ini-development,複製一份後改為php.ini,用文字編輯器打開進入 5、先搜尋;extension_dir,在下面加上extension_dir = "\xampp\php\ext" 6、再搜尋;extension=curl,會有下面這一排啟用套件設定 將以下套件的;註解拿掉 extension=curl extension=fileinfo extension=gd extension=gettext extension=mbstring extension=exif      extension=mysqli extension=openssl extension=pdo_mysql extension=pdo_sqlite extension=zip 7、最後需要吧 C:\xampp\php裡面的 libssh2.dll 複製後貼到C:\xampp\apache\bin 覆蓋舊檔 再到資料夾C:\xampp\php中輸入搜尋 libcrypto-*.dll 和 libssl-*.dll 找到兩支檔,複製後貼到C:\xampp\apache\bin 覆蓋舊檔 找到php.ini中的curl.cainfo,吧註解拿掉改為 curl.cainfo = "C:\xampp\php\ext...
張貼留言
閱讀完整內容

jQuery取得下拉選單selected中數值與內容的方法

假設選單狀態為: <select id='selectname '> <option value='v1' data-id="d1">選單A</option> <option value='v2' data-id="d2">選單B</option> <option value='v3' data-id="d3">選單C</option> </select> 以jQuery取得選單數值與內容方法如下: 1、取得下拉選單 value 數值的方法 $selectname=$('#selectname').val(); alert($selectname); //顯示選單中 selected 狀態的value數值v1 or  v2  or  v3。 2、取得下拉選單中 data-id 數值的方法 $data-id= $(this).find(':selected').attr('data-id'); alert($data-id); //顯示選單中 selected 狀態的data-id數值d1 or  d2 or  d3。 3、取得下拉選單中 文字 的方法 $selecttext=$(this).find(':selected').text(); alert($selecttext); //顯示選單中 selected 狀態的文字內容,如選單A or  選單B or 選單C。 教學撰寫:徐嘉裕 Neil hsu
張貼留言
閱讀完整內容