跳至主要内容

第二部分:為網站加裝 SSL 憑證

為避免網站在傳輸資料時被有心人士竊取,建議您參考以下步驟,為您的網站服務加裝 SSL 憑證,所有的資料都會在加密的狀態下進行安全傳輸。

Step 1. 申請 Domain Name

透過申請網站 Domain Name,使用者在網址列輸入好記的 Domain Name (而非生硬的 IP 位址),就可以快速開始使用您的網頁服務!

您可以依需求選擇付費或免費網站申請 Domain Name,範例採用 No-IP 做為範例網站,申請免費 Domain Name:

  1. 註冊 No-IP 帳號
  2. 登入後,左側選單 「My Services」 > 「DNS Records」 > 上方選單 「Create HostName
  3. 設定 Hostname (Domain Name):oliversslwebsite.ddns.net
  4. 設定 IP Address:輸入 負載平衡器的 VIP

  1. 點選頁面右下角「Add Hostname

  1. 設定完成

  • 可使用 NsLookup 工具確認可查詢到該主機 (負載平衡器)
     1. 輸入 Domain Name 
     2. 點選 「go
     3. 確認可查詢,下方將顯示查詢資訊;Domain Name、負載平衡器之 IP 位址

Step 2. 申請 SSL 憑證

您可以依需求選擇付費或免費網站申請 SSL 憑證,以下範例透過 Let's Encrypt 工具,申請免費 SSL 憑證:

  • 輸入以下指令在 lbssl01 個體中使用 Domain Name,透過 Let's Encrypt 申請 SSL 憑證:
sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d <Domain_Name>
信息

  1. 以下輸入 e-mail 接收緊急或安全性通知

    image image

  2. 以下內容請選 1,無需將 HTTP 連線導向 HTTPS 並刪除 HTTP 連線:

    image

Step 3. 將憑證轉檔為 Base64 格式

目前 TWSC SSL 憑證僅支援 PKCS #12 及 Base64 編碼格式,請輸入以下指令轉碼為 Base64 格式, 詳細內容可參考「轉換 SSL 憑證格式」。

sudo su
cd /etc/letsencrypt/live/<Domain_Name>/ 
openssl pkcs12 -export -out server.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem
base64 server.p12 | tr -d \\n  > twcc_ssl_base64.txt
cat  twcc_ssl_base64.txt
信息

以下內容可按 Enter 略過:

image

  • 請「複製」畫面顯示的 twcc_ssl_base64.txt 所有內容

Step 4. 將 SSL 上傳至 TWSC

  • 由服務列表點選「SSL 憑證 」頁面,點擊「+建立

  • 貼上 Step 3 複製的 base64 檔內容

  • 接著,請至負載平衡器詳細資料頁:
    1. 點選「編輯」 > 選取剛建立的 SSL 憑證。
    2. lbssl02 個體 <私有IP>:<連接埠>(80) 新增至此負載平衡器。