Step 1：設定 mysql 資料庫

在 mysql 裡增加新的database: krita，並一組帳號給新的站台登入使用。可以參考下列的 sql command:

create database krita;
CREATE USER 'kritauser1'@'localhost' IDENTIFIED BY 'your-krita-user-password';
GRANT ALL PRIVILEGES ON krita.* TO kritauser1@localhost;
FLUSH PRIVILEGES;

Step 2：設定 WordPress

複製一份空的 wordpress source code 到 /var/www/krtia 目錄下，最後修改 wp-config.php ，修改下面的這3個欄位內容：

define('DB_NAME', 'krita');
define('DB_USER', 'kritauser1');
define('DB_PASSWORD', 'your-krita-user-password');

還有把 source code 的所有權設定給 www-data 讓更新和下載 php 的主題、佈景和外掛會方便一些。

chown -R www-data:www-data .

Step 3：修改 /etc/hosts 檔案

增加

127.0.0.1 krita.max-everyday.com

Step 4：在 Apache 增加新站台

在 /etc/apache2/sites-available 裡增加一個新的 web 站台。

這個可以使用第一個預設站台裡的內容，直接 copy 為新的檔名，例如：

cp 000-default.conf 114-krita.conf

修改 114-krita.conf 檔案內容：

• DocumentRoot /var/www/krita
• <Directory /var/www/krita
• ServerName krita.max-everyday.com

到 /etc/apache2/sites-enabled/ 目錄下，使用下面指令，增加一個 enable 的 web site:

ln -s ../sites-available/114-krita.conf 114-krita.conf

Step 5：重啟 apache

服用下列指令：

service apache2 restart

Step 6：在DNS 增加子網域

增加 A Record

proxy 狀態的欄位，先點一下，切換為「僅DNS」(DNS only)，暫時不需要對內容做快取。

Step 7：取得 SSL 憑證

服用下面的指令：

certbot --apache

執行畫面：

這時候，輸入 10 再按 Enter 就會接著問，要不要重導 http 的 URL 到 https，選1或選 2都行，我是選1。

Step 8：完成

連到 https://krita.max-everyday.com 就可以開始設定 WordPress 站台。

今天發現 LetsEncrypt ＋ Nginx 在 Android 裡的所有瀏覽器都會顯示憑證不合法。解法是不要去使用 cert.pem 而是改用 fullchain.pem, 滿神奇的，LetsEncrypt ＋Apache 在 Android  是用 cert.pem 就可以合法了。

NGINX

server {
    listen              443 ssl;
    server_name         example.com;
    ssl_certificate     /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
}

用下面指令查看 apache log:

tail -n 15 /var/log/apache2/error.log

[Tue Feb 07 00:00:35.176718 2017] [mpm_prefork:notice] [pid 1393] AH00171: Graceful restart requested, doing restart
AH00112: Warning: DocumentRoot [/var/lib/letsencrypt/tls_sni_01_page/] does not exist
AH00112: Warning: DocumentRoot [/var/lib/letsencrypt/tls_sni_01_page/] does not exist
AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message
(98)Address already in use: AH00072: make_sock: could not bind to address [::]:443
(98)Address already in use: AH00072: make_sock: could not bind to address 0.0.0.0:443
[Tue Feb 07 00:00:35.374235 2017] [mpm_prefork:alert] [pid 1393] no listening sockets available, shutting down
[Tue Feb 07 00:00:35.374243 2017] [:emerg] [pid 1393] AH00019: Unable to open logs, exiting
[Tue Feb 07 00:00:43.772645 2017] [core:warn] [pid 7398] AH00098: pid file /var/run/apache2/apache2.pid overwritten -- Unclean shutdown of previous Apache run?
[Tue Feb 07 00:00:43.774845 2017] [mpm_prefork:notice] [pid 7398] AH00163: Apache/2.4.18 (Ubuntu) OpenSSL/1.0.2g configured -- resuming normal operations
[Tue Feb 07 00:00:43.774879 2017] [core:notice] [pid 7398] AH00094: Command line: '/usr/sbin/apache2'
[Tue Feb 07 00:05:35.586000 2017] [mpm_prefork:notice] [pid 7398] AH00169: caught SIGTERM, shutting down

查看 /etc/logrotate.d/apache2

先修改上面的 /etc/init.d/apache2 reload 為 /etc/init.d/apache2 restart 之後，明天的 00:00 時候再試看看 apache 會不會又crash.

結果隔了一天，還是又掛了，新的 Error Log 還是長一樣：

[Wed Feb 08 00:00:33.919348 2017] [mpm_prefork:notice] [pid 12057] AH00171: Graceful restart requested, doing restart
AH00112: Warning: DocumentRoot [/var/lib/letsencrypt/tls_sni_01_page/] does not exist
AH00112: Warning: DocumentRoot [/var/lib/letsencrypt/tls_sni_01_page/] does not exist
AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message
(98)Address already in use: AH00072: make_sock: could not bind to address [::]:443
(98)Address already in use: AH00072: make_sock: could not bind to address 0.0.0.0:443
[Wed Feb 08 00:00:34.029522 2017] [mpm_prefork:alert] [pid 12057] no listening sockets available, shutting down
[Wed Feb 08 00:00:34.029536 2017] [:emerg] [pid 12057] AH00019: Unable to open logs, exiting
[Wed Feb 08 00:00:42.448650 2017] [core:warn] [pid 16845] AH00098: pid file /var/run/apache2/apache2.pid overwritten -- Unclean shutdown of previous Apache run?
[Wed Feb 08 00:00:42.450795 2017] [mpm_prefork:notice] [pid 16845] AH00163: Apache/2.4.18 (Ubuntu) OpenSSL/1.0.2g configured -- resuming normal operations
[Wed Feb 08 00:00:42.450817 2017] [core:notice] [pid 16845] AH00094: Command line: '/usr/sbin/apache2'
[Wed Feb 08 00:00:52.544625 2017] [mpm_prefork:notice] [pid 16845] AH00169: caught SIGTERM, shutting down

在 /var 目錄下指令：

grep -r 'tls_sni_01_page' *

發現是 letsencrypt renew 的排程讓 apache2 掛掉。

重新研究一下 certbot 的指令：
https://certbot.eff.org/docs/using.html#manual

發現使用 standalone 會啟動一個暫時的 web server  來取得憑證。

https://certbot.eff.org/docs/using.html#standalone

standalone:
  Spin up a temporary webserver

certonly 參數如下：

certonly:
  Options for modifying how a cert is obtained

  --tls-sni-01-port TLS_SNI_01_PORT
                        Port used during tls-sni-01 challenge. This only
                        affects the port Certbot listens on. A conforming ACME
                        server will still attempt to connect on port 443.
                        (default: 443)
  --http-01-port HTTP01_PORT
                        Port used in the http-01 challenge.This only affects
                        the port Certbot listens on. A conforming ACME server
                        will still attempt to connect on port 80. (default:
                        80)
  --csr CSR             Path to a Certificate Signing Request (CSR) in DER or
                        PEM format. Currently --csr only works with the
                        'certonly' subcommand. (default: None)

certbot certonly --standalone -d example.com --tls-sni-01-port 443 --http-01-port 80

新的版本的 certbot 用起來更簡單：

certbot certonly --cert-name your-domain-name

nginx 請修改 config 裡：

  # 啟用 SSL
  ssl on;

  # 設定 SSL 憑證
  ssl_certificate /etc/letsencrypt/live/your-domain-name/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/your-domain-name/privkey.pem;

官方教學：

https://certbot.eff.org/lets-encrypt/ubuntuxenial-other

相關文章：

How to know why my server crashes?
http://askubuntu.com/questions/405655/how-to-know-why-my-server-crashes

Apache reload/graceful restart causes Apache segfault
https://talk.plesk.com/threads/apache-reload-graceful-restart-causes-apache-segfault.335534/

後來發現 googlebot 會來parse 443 port 裡的資料。所以我希望 404 錯誤的資料就從80 port 裡重新取得一次，丟給Google.

取得 ssl 憑證

首先，是 letsencrypt 的 certbot 的官方說明：
https://certbot.eff.org/#ubuntuxenial-other

照上面教學的指令下，只用一行就可以產生憑證。知道網站的根目錄用這行（指令1號）：

letsencrypt certonly --webroot -w /var/www/example -d example.com

如果你完全沒有網站，可以使用這行（指令2號）：

letsencrypt certonly --standalone -d example.com -d www.example.com

指令1號，letsencrypt 會放東西在 webroot 目錄裡，然後letsencrypt用 80 port 連回我們伺服器進去測試。

指令2號，會自動產生一個 80 port 的 service，然後letsencrypt用 80 port 連回我們伺服器進去測試。

這2個指令，都會因此去使用 443 port，實際上原理不需要了解太多，certbot 寫的滿聰明的，會在畫面上有提醒。產生完，手動測一下 renew，沒問題的把把 renew 指令放進排程裡。

letsencrypt renew --dry-run --agree-tos

成功後就會在ubuntu的/etc/letsencrypt/archive/ 下面看到憑證了。

在 80和443 port 都已經被其他程式使用中的請況下，需要更進階的設定，參考看看這一篇：

apache AH00171: Graceful restart requested, doing restart
https://stackoverflow.max-everyday.com/2017/02/apache-graceful-restart/

例如：

letsencrypt certonly --standalone -d example.com --tls-sni-01-port 445 --http-01-port 82

修改Tornado的 ssl_options

tornado改程式，須追加此兩個檔案的路徑在ssl_options下面，並注意檔案權限要能被讀。

http_server = tornado.httpserver.HTTPServer(Application(),
ssl_options={
“certfile”: “cert.pem”, #自行填好路徑
“keyfile”: “privkey.pem”, #自行填好路徑
})

完成之後，研究一下 tornado 的官方文件：
http://www.tornadoweb.org/en/stable/web.html#tornado.web.Application.settings

要使用下面的這組設定值來完成自動轉發：

• default_handler_class and default_handler_args: This handler will be used if no other match is found; use this to implement custom 404 pages (new in Tornado 3.2).

範例寫法：

import tornado.web


class BaseHandler(tornado.web.RequestHandler):
    """
    Base handler gonna to be used instead of RequestHandler
    """
    def write_error(self, status_code, **kwargs):
        if status_code in [403, 404, 500, 503]:
            self.write('Error %s' % status_code)
        else:
            self.write('BOOM!')


class ErrorHandler(tornado.web.ErrorHandler, BaseHandler):
    """
    Default handler gonna to be used in case of 404 error
    """
    pass


class MainHandler(BaseHandler):
    """
    Main handler
    """
    def get(self):
        self.write('Hello world!')

2. Settings. We need to define default_handler_class and default_handler_args as well

settings = {
    'default_handler_class': ErrorHandler,
    'default_handler_args': dict(status_code=404)
}

3. Application.

application = tornado.web.Application([
    (r"/", MainHandler)
], **settings)

as result. all errors except 404 gonna be handled by BaseHandler. 404 – ErrorHandler. that’s it

我的轉發的 code:

def write_error(self, status_code, **kwargs):
    if status_code == 404:
        from lib import libHttp
        http_obj = libHttp.Http()
        http_url = "http://%s%s" % (self.request.host,self.request.uri)
        (new_html_string, http_code) = http_obj.get_http_response(http_url)
        self.set_status(http_code)
        if not new_html_string is None:
            self.write(new_html_string)
        return
    return super(BaseHandler, self).write_error(status_code, **kwargs)

我最後放棄這個作法，改安裝 Nginx（發音同engine x）是一個網頁伺服器，它能反向代理HTTP, HTTPS, SMTP, POP3, IMAP的協議鏈接，以及一個負載均衡器和一個HTTP緩存。

https://www.nginx.com/resources/wiki/start/topics/tutorials/install/

範例：

nginx 基礎設定教學
http://blog.hellojcc.tw/2015/12/07/nginx-beginner-tutorial/

相關文章：

apache AH00171: Graceful restart requested, doing restart
https://stackoverflow.max-everyday.com/2017/02/apache-graceful-restart/

Let’s Encrypt 的工具程式「取得」和「操作」說明：
https://certbot.eff.org/

請先在上面的官方網頁裡，選擇需要running的 web server 的 platform 後，先安裝 certbot。

CertBot真的是很棒的一個網站，會依照不同的作業系統給不同的指令。CertBot滿厲害的，不帶參數，他也可以猜到要產生的domain name，我是透過下面的指令，可以一次加入 2個domain 的 https 憑證到 apache 裡了：

certbot certonly  -w /var/www/example -d example.com

上面是古時候的作法，需要自己下指令，目前的程式變的很先進和聰明，只要直接輸入：

certbot 

就有選單，可以直接做選擇，要對那一個 domain 做申請，還有做設定要不要強制http redirect to https.

對完全都還沒有 ssl 的情況，直接打 certbot 是可以完成。可是已有 ssl ，要幫 sub domain 申請 ssl 時，請先 enable http 的 site 就好，ssl 的 site 不要自己去 新增，使用 certbot 自己新增即可，如果 web server 是 apache 建議使用指令：

certbot --apache

如果一直鬼打接申請不過去，也可以試看看先停用 apache 後，執行下面的指令來申請 sub domain 的憑證：

certbot certonly --webroot -w /var/www/example -d www.example.com

真是太感動了，我的網站也有 https 了。

Automating renewal （自動展期的指令）

Certbot can be configured to renew your certificates automatically before they expire. Since Let’s Encrypt certificates last for 90 days, it’s highly advisable to take advantage of this feature. You can test automatic renewal for your certificates by running this command:

letsencrypt renew –dry-run –agree-tos

如預期，在 Ubuntu 16.04 會多顯示一些錯誤訊息，但不影影展期。

把上面的指令放到排程裡，讓電腦每天自動執行，快到期的時候就會自動展期了。

如果遇到問題，可以點 “Advance” 裡，只使用取得憑證的指令。

有了 letsencrypt 的憑證之後，如果遇到bot 無法自動修改 apache 設定檔的情況，我是都自己修改比較多，請加入下面紅字部份的設定：

<VirtualHost *:443>
    ServerName max-everyday.com
    DocumentRoot /var/www/max-everyday.com/public_html
    ErrorLog /var/log/apache/max-everyday.com/error.log
    CustomLog /var/log/apache/max-everyday.com/access.log combined

	SSLEngine on 
	SSLCertificateFile /etc/letsencrypt/live/max-everyday.com/cert.pem
	SSLCertificateKeyFile /etc/letsencrypt/live/max-everyday.com/privkey.pem
	SSLCertificateChainFile /etc/letsencrypt/live/max-everyday.com/chain.pem
</VirtualHost>

除了免費的 https, 記得網站還要使用免費的CloudFlare CDN，這樣顯示才會「超級快」。

Cloudflare
https://www.cloudflare.com/

CloudFlare 主要是基於內容傳遞網路（Content Delivery Network, 簡稱 CDN）和分散式網域名稱解析服務（Distributed Domain Name Server）等技術，於世界各地分布超過三十個資料中心，當使用者連接到使用 CloudFlare 服務的網站後，會從最接近使用者的資料中心來接收網站內容，以加快網站載入速度。

CloudFlare 提供網站基本安全防護功能，將真實伺服器 IP 位址隱藏在 CF 伺服器後，避免伺服器被攻擊、入侵或對網站造成危害，加速以外更增添了安全性。

以上2點都是 CloudFlare 免費方案的功能，若你想得到更多的可自訂項目，或是增加連線的速度和安全防護效能，也可考慮付費來升級為 Pro 或 Business 等高級方案。

移除不要的網域名稱

某一個已經註冊好的domain想要移去別台機器的時候，指令如下：

certbot delete --cert-name your-domain.com

上面的 your-domain.com 需要換成自己當初申請的 domain name, 如果忘記是什麼的話，可以到這一個目錄下查看：/etc/letsencrypt/renewal

操作的畫面如下，可能會有二組，有www 和 沒有 www 的 .conf , 實際上到底申請了幾組，需要到 renewal 目錄下查看。

相關文章

apache AH00171: Graceful restart requested, doing restart
https://stackoverflow.max-everyday.com/2017/02/apache-graceful-restart/