您好,登錄后才能下訂單哦!
0x00 前言
WordPress是世界上最受歡迎的CMS系統(tǒng),它是基于php和MySQL技術(shù)棧的,并且還有很多插件,可擴(kuò)展性非常強(qiáng)。正好最近有一臺(tái)空閑的ECS,于是來搭建一個(gè)玩玩。本教程是基于LEMP技術(shù)棧來搭建的,各個(gè)版本如下:
此外,現(xiàn)在全面https已經(jīng)是趨勢(shì)了,自然我們也不能落后,所以還會(huì)使用Let's Encrypt來生成免費(fèi)的SSL證書進(jìn)行配置
0x01 前置條件
0x02 安裝nginx
0x03安裝Mariadb
Mariadb作為MySQL的一個(gè)開源的分支,已經(jīng)成為了CentOS用來替換MySQL的默認(rèn)的數(shù)據(jù)庫,所以我這里也使用Mariadb作為數(shù)據(jù)庫。
除此之外,還要把mariadb監(jiān)聽的地址改為127.0.0.1:3306
a. vim /etc/my.cnf.d/server.cnf
打開Mariadb的配置文件
b. 在[mysqld]
下面加上bind=127.0.0.1
,如下圖所示
c. 執(zhí)行systemctl restart mariadb
重啟數(shù)據(jù)庫
d. 執(zhí)行netstat -lntp
可以看到已經(jīng)監(jiān)聽為本地回環(huán)地址了
0x04 創(chuàng)建數(shù)據(jù)庫
在安裝完mariadb數(shù)據(jù)庫,并對(duì)其進(jìn)行加固后,我們自然需要新建一個(gè)數(shù)據(jù)庫來存放數(shù)據(jù),這里首先我們用之前設(shè)置的root賬號(hào)密碼來登陸數(shù)據(jù)庫mysql -uroot -p
,并執(zhí)行以下幾條語句
CREATE DATABASE wordpress CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci; # 創(chuàng)建數(shù)據(jù)庫 GRANT ALL ON wordpress.* TO 'wordpress'@'localhost' IDENTIFIED BY '你的密碼'; # 創(chuàng)建用戶 FLUSH PRIVILEGES; # 刷新數(shù)據(jù)庫權(quán)限 EXIT;
0x05 安裝PHP
CentOS的PHP默認(rèn)版本為5.4,但是WordPress推薦的版本為7.2,所以我們這里安裝php7.2的版本
執(zhí)行下列命令安裝php和所有需要的php擴(kuò)展
sudo yum install yum-utils sudo yum install http://rpms.remirepo.net/enterprise/remi-release-7.rpm sudo yum-config-manager --enable remi-php72 sudo yum install php-cli php-fpm php-mysql php-json php-opcache php-mbstring php-xml php-gd php-curl
我們安裝PHP FPM是因?yàn)槲覀兪怯肗ginx作為web server,而Nginx并沒有自帶這個(gè)組件。此外,PHP FPM 默認(rèn)是以apache用戶運(yùn)行在9000端口,我們把這個(gè)用戶改為wordpress并且把它從TCP Socket改為Unix Socket,具體怎么修改查看下面的步驟
打開/etc/php-fpm.d/www.conf
,并修改如下地方
... user = wordpress ... group = wordpress ... listen = /run/php-fpm/www.sock ... listen.owner = wordpress listen.group = wordpress
用命令sudo chown -R root:wordpress /var/lib/php
確保目錄的所有組權(quán)限為wordpress
重啟并開機(jī)自啟動(dòng)PHP FPM
a. sudo systemctl restart php-fpm
b. sudo systemctl enable php-fpm
0x06 申請(qǐng)免費(fèi)證書
作為一個(gè)技(qiong)術(shù)(bi)宅,自然有免費(fèi)的證書就肯定用免費(fèi)的。因此我們可以申請(qǐng)免費(fèi)的Let's Encrypt證書,這個(gè)證書不但免費(fèi),而且操作非常簡單,雖然每次只有90天的有效期,但可以通過腳本配置crontab定期更新。
a. mkdir -p /etc/nginx/ssl
目錄存放證書
b. openssl genrsa 4096 > account.key
進(jìn)入這個(gè)目錄,創(chuàng)建一個(gè) RSA 私鑰用于 Let's Encrypt 識(shí)別你的身份
c. openssl genrsa 4096 > domain.key
創(chuàng)建域名RSA私鑰
d. openssl req -new -sha256 -key domain.key -out domain.csr
有了私鑰文件,就可以生成 CSR 文件了。生成CSR會(huì)要求填入一些東西信息,這里Common Name為你的域名
我們知道,CA 在簽發(fā) DV(Domain Validation)證書時(shí),需要驗(yàn)證域名所有權(quán)。傳統(tǒng) CA 的驗(yàn)證方式一般是往 admin@yoursite.com 發(fā)驗(yàn)證郵件,而 Let's Encrypt 是在你的服務(wù)器上生成一個(gè)隨機(jī)驗(yàn)證文件,再通過創(chuàng)建 CSR 時(shí)指定的域名訪問,如果可以訪問則表明你對(duì)這個(gè)域名有控制權(quán)。所以首先創(chuàng)建用于存放驗(yàn)證文件的目錄,例如:
mkdir /home/wordpress/challenges
然后配置一個(gè)HTTP服務(wù),以Nginx為例:
server { server_name www.nomansky.xyz nomansky.xyz; location ^~ /.well-known/acme-challenge/ { alias /home/wordpress/challenges/; try_files $uri =404; } location / { rewrite ^/(.*)$ https://nomansky.xyz/$1 permanent; } }
以上配置表示查找 /home/wordpress/challenges/ 目錄下的文件,如果找不到就重定向到 HTTPS 地址。這個(gè)驗(yàn)證服務(wù)以后更新證書還要用到,要一直保留。
接下來把a(bǔ)cme-tiny保存到ssl目錄wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
然后指定賬戶私鑰、CSR 以及驗(yàn)證目錄,執(zhí)行腳本python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /home/wordpress/challenges/ > ./signed.crt
,看到如下圖所示,則說明生成成功了
最后還要下載Let's Encrypt 的中間證書,配置HTTPS證書時(shí)既不要漏掉中間證書,也不要包含根證書。在 Nginx 配置中,需要把中間證書和網(wǎng)站證書合在一起:
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem cat signed.crt intermediate.pem > chained.pem
為了后續(xù)能順利啟用OCSP Stapling,我們?cè)侔迅C書和中間證書合在一起(此步也可省略)
wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem cat intermediate.pem root.pem > full_chained.pem
Let's Encrypt簽發(fā)的證書只有90天有效期,推薦使用腳本定期更新。創(chuàng)建一個(gè)renew_cert.sh
并通過chmod a+x renew_cert.sh
賦予執(zhí)行權(quán)限。文件內(nèi)容如下:
#!/bin/bash cd /etc/nginx/ssl/ python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/wordpress/challenges/ > signed.crt || exit wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem cat signed.crt intermediate.pem > chained.pem systemctl restart nginx
在crontabl中配置定時(shí)任務(wù)0 0 1 * * /etc/nginx/ssl/renew_cert.sh >/dev/null 2>&1
0x07 下載WordPress并配置Nginx
將WordPress下載到/home/wordpress/
目錄下wget https://wordpress.org/latest.tar.gz
tar zxvf latest.tar.gz
解壓WordPress文件
chown -R wordpress:wordpress wordpress
將wordpress目錄的所有者改為wordpress用戶
接著,打開vim /etc/nginx/nginx.conf
將nginx的運(yùn)行角色改為wordpress
··· user wordpress; worker_processes auto; ···
然后這里我把處于解耦合的目的,把主配置文件nginx.conf里的server配置塊注釋掉
新建sudo mkdir /etc/nginx/snippets
目錄并vim letsencrypt.conf
來將以下配置粘貼到里面
location ^~ /.well-known/acme-challenge/ { alias /home/wordpress/challenges/; try_files $uri =404; }
接下來新建vim /etc/nginx/conf.d/wordpress.conf
配置文件,修改成如下配置
# Redirect HTTP -> HTTPS server { listen 80; server_name www.nomansky.xyz nomansky.xyz; include snippets/letsencrypt.conf; return 301 https://nomansky.xyz$request_uri; } # Redirect WWW -> NON WWW server { listen 443 ssl http2; server_name www.nomansky.xyz; ssl_certificate /etc/nginx/ssl/chained.pem; ssl_certificate_key /etc/nginx/ssl/domain.key; return 301 https://nomansky.com$request_uri; } server { listen 443 ssl http2; server_name nomansky.com; root /home/wordpress/wordpress; index index.php; # SSL parameters ssl_certificate /etc/nginx/ssl/chained.pem; ssl_certificate_key /etc/nginx/ssl/domain.key; # log files access_log /home/wordpress/log/nomansky.xyz.access.log; error_log /home/wordpress/log/nomansky.xyz.error.log; location = /favicon.ico { log_not_found off; access_log off; } location = /robots.txt { allow all; log_not_found off; access_log off; } location / { try_files $uri $uri/ /index.php?$args; } location ~ \.php$ { try_files $uri =404; fastcgi_pass unix:/run/php-fpm/www.sock; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg)$ { expires max; log_not_found off; }
創(chuàng)建日志目錄mkdir -p /home/wordpress/log
,并設(shè)置權(quán)限chown -R wordpress:wordpress /home/wordpress/log
nginx -t
查看是否是否語法檢查正常,如正常則nginx -s reload
重載nginx
接下來看到WordPress頁面成功打開了,就此大功告成啦
以上就是本文的全部內(nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持億速云。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。