Vietnes domēnam ir jābūt SSL/TLS šifrēšanai, ja tā plāno piesaistīt apmeklētājus. SSL/TLS sertifikāti nodrošina spēcīgu savienojumu starp tīmekļa serveriem un pārlūkprogrammām. Agrāk drošība nebija liela problēma. Salīdzinoši bieži tīmekļa vietnes sniedza datus, izmantojot izveidoto HTTP protokolu. Tomēr mūsdienās kanālam, ko izmanto saziņai ar serveri, ir jābūt aizsargātam, jo pieaug kibernoziegumi, tostarp identitātes zādzība, krāpšana ar kredītkartēm un spiegošana.
Sertifikātu iestāde (CA) ar nosaukumu Let’s Encrypt piedāvā bezmaksas SSL/TLS sertifikātus, kas nodrošina HTTPS šifrēšanu tīmekļa serveros. Tas ir domēns verificēts, tāpēc īpaša IP adrese nav nepieciešama. Parasti ir ieteicams savā vietnē iespējot SSL sertifikātu, lai uzlabotu SEO rangu, jo īpaši Google.
Let’s Encrypt darbības
Pirms sertifikāta sniegšanas funkcija Let’s Encrypt apstiprina domēna īpašumtiesības. Kad marķieris ir apstiprināts, Let’s Encrypt validācijas serveris veic HTTP pieprasījumu, lai iegūtu failu, un nodrošina, ka domēna DNS ieraksts norāda uz serveri, kas mitina Let’s Encrypt klientu.
Prasības
Pirms lietot Let’s Encrypt lietošanas veiciet tālāk norādītās darbības.
Ievērojot šajā pirmajā Ubuntu 20.04 servera iestatīšanas apmācībā sniegtos norādījumus, pēc Ubuntu 20.04 servera iestatīšanas komplektā ar ugunsmūri un ne-root lietotāju ar sudo piekļuvi.
Domēna vārds ar reģistrāciju. Visā šajā rakstā tiks izmantots myfirstproject1.com. Jūs varat iegādāties domēnu.
Jūsu serverī ir konfigurēti šādi divi DNS ieraksti.
- “myproject1” ieraksts ar myfirstproject1.com, kas norāda uz jūsu servera publisko IP adresi
- “myproject2” ieraksts ar myfirstproject2.com, kas norāda uz jūsu servera publisko IP adresi.
Nginx ir jāinstalē, un jums ir jānodrošina, lai jūsu domēnam būtu servera bloks.
Pasākumi Let’s Encrypt instalēšanai Digital Ocean
Galvenie soļi Let’s Encrypt instalēšanai digitālajā okeānā ir:
Certbot instalēšana
Certbot programmatūra ir galvenā nepieciešamība izmantot Let’s Encrypt, lai iegūtu SSL sertifikātu. Lai instalētu Certbot un tā spraudni Nginx, mēs izmantojam šādu komandu:
Lielākā daļa dalītā mitināšanas uzņēmumu un daži mākoņa mitināšanas uzņēmumi iekļauj vietņu mitināšanas panelī Certbot vai līdzīgu spraudni, kas ļauj iegādāties, atjaunot un administrēt SSL/TLS sertifikātus, veicot dažus klikšķus.
Tā kā “python3-certbot-nginx” ir pakotne, ko izmanto, lai:
Nekavējoties parādiet Let’s Encrypt CA, ka esat atbildīgs par vietni.
- Saglabājiet ierakstu par to, kad jūsu licence ir jājaunina un kad tai drīz beigsies derīguma termiņš.
- Iegūstiet un instalējiet pārlūkprogrammai uzticamu sertifikātu jebkurā tīmekļa serverī.
- Vajadzības gadījumā palīdzēs jums atsaukt sertifikātu.
Certbot tagad ir gatavs lietošanai, taču daži tā iestatījumi ir jāapstiprina, pirms tas var automātiski iestatīt SSL Nginx.
Nginx konfigurācijas pārbaude
Certbot jāspēj automātiski konfigurēt SSL. Tam ir jāspēj atrast pareizo servera bloku jūsu Nginx konfigurācijā. Precīzāk, tas to panāk, meklējot servera nosaukuma direktīvu, kas atbilst domēnam, kuram pieprasāt sertifikātu.
Tam jau ir jābūt pareizi konfigurētai servera nosaukuma direktīvai domēna servera blokā, ko mēs izmantosim vietnē “/etc/nginx/sites-available/myfirstproject1.com”.
Atveriet domēna konfigurācijas failu nano vai citā teksta redaktorā, lai pārbaudītu, vai fails tiks atvērts, ja tāds pastāv, aizveriet redaktoru un pārejiet uz nākamo darbību. Servera nosaukums izskatīsies šādi: “servera_nosaukums domēna_nosaukums www.domain_name.com ', kā parādīts tālāk esošajā fragmentā.
Ja tas nemainās, tas atbilst. Pēc faila saglabāšanas un redaktora aizvēršanas pārbaudiet konfigurācijas modifikāciju sintaksi. Izmantojiet tālāk sniegtos norādījumus, lai pārbaudītu:
$ sudo nginx –tPārlādējiet Nginx, lai ielādētu atjaunināto konfigurāciju pēc tam, kad esat pārliecinājies, ka konfigurācijas faila sintakse ir pareiza:
$ sudo systemctl pārlādēt nginxTagad Certbot var automātiski atrast pareizo servera bloku un atjaunināt to. Systemctl ir atbildīgs par sistēmas un pakalpojumu pārvaldības pārbaudi un pārvaldību. Tas kalpo kā System V init dēmona aizstājējs un sastāv no vairākām sistēmas administrēšanas bibliotēkām, rīkiem un dēmoniem.
HTTPS iespējošana, izmantojot ugunsmūri
Nepieciešamie ieteikumi iesaka iespējot UFW ugunsmūri. Lai atļautu HTTPS trafiku, ir jāmaina iestatījumi.
UFW statusa opcija ļauj skatīt jaunāko UFW stāvokli. UFW statuss parāda noteikumu sarakstu, ja UFW ir aktivizēts. Protams, ja jums ir nepieciešamie akreditācijas dati, komandu varat palaist tikai kā root lietotājs vai pievienojot tai prefiksu ar sudo.
Iespējojiet Nginx pilno profilu un noņemiet nevajadzīgo Nginx HTTP profila atļauju, lai atļautu arī HTTPS trafiku:
Iepriekšējais fragments parāda metodi, lai atļautu pilnīgu trafiku no Nginx, un otrajā ir parādīts, kā izdzēst citu atļauto trafiku.
Kā iegūt SSL sertifikātu
Ar spraudņu palīdzību Certbot piedāvā vairākus veidus, kā iegūt SSL sertifikātus. Nginx konfigurāciju un konfigurācijas atkārtotu ielādi pēc vajadzības apstrādās Nginx spraudnis.
Izmantojiet Certbot, lai nekavējoties iegūtu domēna SSL sertifikātu. Lai norādītu domēnu, ir nepieciešams arguments “-d”. Let’s Encrypt izsniedz vienu sertifikātu www apakšdomēnam un saknei. Sertifikāts ir jāiegūst abām versijām, jo, ja katrai versijai ir tikai viens sertifikāts, pārlūkprogrammā tiks parādīts brīdinājums, ja apmeklētājs skatīs otru versiju. Jauniem lietotājiem certbot lūdz pirmo reizi norādīt savu e-pastu un apstiprināt, ka piekrītat pakalpojumu sniegšanas noteikumiem.
Ja tas būtu veiksmīgs, jums tiks lūgts izdarīt izvēli un nospiest ENTER. Pēc konfigurācijas atjaunināšanas Nginx pārlādēs un izskatīs jaunos iestatījumus. Pēc pabeigšanas certbot jums paziņos, ka procedūra bija veiksmīga.
Secinājums
Šajā rokasgrāmatā mēs parādījām, kā instalēt un izmantot programmatūras Let’s Encrypt certbot, iegūt SSL sertifikātu, iestatīt automātisko atjaunināšanu SSL sertifikātam un konfigurēt Nginx. Turklāt mēs sniedzām jums arī dažus piemērus situācijām, kas var radīt kompilācijas problēmas, izmantojot Let’s Encrypt Digital Ocean.