使用免費的 Let's Encrypt SSL 憑證和 certbot 保護您的 LightsailWordPress 執行個體

登入 Lightsail 主控台。

在左側導覽窗格中，選擇您要連線之執行個體的 SSH 快速連線圖示。

在 Lightsail瀏覽器型 SSH 工作階段連接後，輸入下列命令以更新執行個體上的套件：

sudo apt-get update

輸入下列命令以安裝軟體屬性套件。Certbot 的開發人員使用個人套件存檔 (PPA) 分發 Certbot。軟體屬性套件可讓 PPA 的使用更有效率。

sudo apt-get install software-properties-common

輸入下列命令以安裝 GPG 套件，並新增 Certbot 至本機 apt 儲存庫：

sudo apt-get install gpg -y

sudo apt-add-repository ppa:certbot/certbot -y

輸入下列命令更新 apt 以包含新的儲存庫：

sudo apt-get update -y

輸入下列命令以安裝 Certbot：

sudo apt-get install certbot -y

Certbot 現在已安裝於您的 Lightsail 執行個體。

讓瀏覽器型 SSH 終端機視窗保持開啟 - 稍後您會在此教學課程中回到此處。繼續前往本教學課程的下一節。

在與本教學課程步驟 2 使用的相同瀏覽器型 SSH 終端機視窗中，輸入下列命令為您的網域設定環境變數。您現在可以更有效率複製和貼上命令以取得憑證。請務必以註冊的網域名稱取代 domain。

DOMAIN=domain

WILDCARD=*.$DOMAIN

範例：

DOMAIN=example.com

WILDCARD=*.$DOMAIN

輸入下列命令確認變數傳回正確的值：

echo $DOMAIN && echo $WILDCARD

您應該會看到類似以下的結果：

在互動式模式中輸入下列命令啟動 Certbot。此命令會通知 Certbot 使用手動授權方法搭配 DNS 查問以驗證網域所有權。這會為您的頂層網域及其子網域請求萬用字元憑證。

sudo certbot -d $DOMAIN -d $WILDCARD --manual --preferred-challenges dns certonly

在提示時輸入您的電子郵件地址，這會用於續約和安全性注意事項。

閱讀 Let’s Encrypt 服務條款。完成時，如果您同意請按 A。如果您不同意，就無法取得 Let’s Encrypt 憑證。

根據分享您電子郵件地址的提示和關於您 IP 地址被記錄的警告做出回應。

Let’s Encrypt 現在會提示您確認您擁有所指定的網域。要這麼做，請新增 TXT 記錄至網域的 DNS 記錄。這會提供一組 TXT 記錄值，如以下範例所示：

讓 Lightsail 瀏覽器型 SSH 工作階段保持開啟 - 稍後您會在此教學課程中回到此處。繼續前往本教學課程的下一節。

在左側導覽窗格中，選擇網域和 DNS。

在頁面的 DNS zones (DNS 區域) 部分，選擇您在 Certbot 憑證請求中所指定網域的 DNS 區域。

在 DNS 區域編輯器中，選擇 DNS records (DNS 記錄)。

選擇 Add record (新增記錄)。

在 Record type (記錄類型) 下拉式選單中，選擇 TXT record (TXT 記錄)。

將 Let's Encrypt 憑證請求指定的值輸入 Record name (記錄名稱) 和 Responds with (回應內容) 欄位。

選擇儲存。

重複步驟 4 到 7 以新增第二組由 Let’s Encrypt 憑證請求指定的 TXT 記錄。

保持主 Lightsail 控台瀏覽器視窗開啟 - 稍後您會在此教學課程中返回此處。繼續前往本教學課程的下一節。

開啟新的瀏覽器視窗並前往 https://mxtoolbox.com/TXTLookup.aspx。

將以下文字輸入文字方塊。請務必以您的網域取代 domain。

_acme-challenge.domain

範例：

_acme-challenge.example.com

選擇 TXT Lookup (TXT 查詢) 以執行檢查。

這會產生以下其中一個回應：

在 Lightsail 以瀏覽器為基礎的 WordPress 執行個體 SSH 工作階段中，按 Enter (Enter) 以完成 Let's Encrypt SSL 憑證請求。如果成功，則會顯示與以下螢幕擷取畫面類似的回應：

訊息會確認您的憑證、鏈和金鑰檔案存放於 /etc/letsencrypt/live/domain/ 目錄。務必以您的網域取代 domain，例如 /etc/letsencrypt/live/example.com/。

記下訊息中指定的過期日期。您可將其用於在該日期續約憑證。

既然您擁有 Let’s Encrypt 憑證，就請繼續前往本教學課程的下一節。

在 Lightsail 以瀏覽器為基礎的 WordPress 執行個體 SSH 工作階段中，輸入下列命令以停止基礎服務：

sudo /opt/bitnami/ctlscript.sh stop

您應該會看到類似以下的回應：

輸入下列命令以設定網域的環境變數。您可以更有效率地複製和貼上命令，藉此連結至憑證檔案。請務必以註冊的網域名稱取代 domain。

DOMAIN=domain

範例：

DOMAIN=example.com

輸入下列命令確認變數傳回正確的值：

echo $DOMAIN

您應該會看到類似以下的結果：

個別輸入下列命令，以重新命名現有的憑證檔案做為備份。請參閱本教學課程開頭的重要區塊，以取得有關不同發行版本和檔案結構的資訊。

個別輸入下列命令，以在 Apache 伺服器目錄中建立至您 Let's Encrypt 憑證檔案的連結：請參閱本教學課程開頭的重要區塊，以取得有關不同發行版本和檔案結構的資訊。

輸入下列命令，啟動您先前停止的基礎服務：

sudo /opt/bitnami/ctlscript.sh start

您應該會看到類似以下的結果：

您的 WordPress 執行個體的 SSL 憑證檔案現在已位於正確的目錄。

繼續前往本教學課程的下一節。

在 WordPress 執行個體的 Lightsail 瀏覽器型 SSH 工作階段中，輸入下列命令以將 wp-config.php 和 htaccess.conf 檔案設為可寫入。Really Simple SSL 外掛程式將寫入 wp-config.php 檔案來設定您的憑證。

開啟新的瀏覽器視窗，並登入您 WordPress 執行個體的管理儀表板。

從左側導覽窗格中選擇 Plugins (外掛程式)。

從外掛程式頁面最上方選擇 Add New (新增)。

搜尋 Really Simple SSL (Really Simple SSL)。

選擇搜尋結果中 Really Simple SSL 外掛程式旁邊的 Install Now (立即安裝)。

完成安裝之後，選擇 Activate (啟用)。

在系統提示時，選擇 Go ahead, activate SSL! (上吧，啟用 SSL！) 您可能會重新引導至您 WordPress 執行個體管理儀表板的登入頁面。

您的 WordPress 執行個體現在已設定為使用 SSL 加密。另外，您的 WordPress 執行個體現在已設定為自動將連線從 HTTP 重新引導至 HTTPS。當訪客前往 http://example.com 時，系統會自動重新引導至加密的 HTTPS 連線 (也就是 https://example.com)。