Veebisaidi domeenil peab olema SSL/TLS-krüptimine, kui see kavatseb külastajaid tuua. SSL/TLS-sertifikaadid pakuvad tugevat ühendust veebiserverite ja brauserite vahel. Varem ei olnud turvalisus suur probleem. See oli suhteliselt tavaline, et veebisaidid edastasid andmeid kehtestatud HTTP-protokolli kaudu. Tänapäeval peab serveriga suhtlemiseks kasutatav kanal olema aga turvaline, sest küberkuriteod, sealhulgas identiteedivargused, krediitkaardipettused ja spionaaž, on tõusuteel.
Certificate Authority (CA) nimega Let’s Encrypt pakub tasuta SSL/TLS-sertifikaate, võimaldades veebiserverites HTTPS-i krüptimist. See on domeen kinnitatud, seega pole spetsiaalne IP-aadress vajalik. Tavaliselt soovitatakse oma veebisaidil lubada SSL-sertifikaati, et parandada SEO asetust, eriti Google'is.
Let’s Encrypti teosed
Let’s Encrypt kinnitab domeeni omandiõigust enne sertifikaadi väljastamist. Kui luba on kinnitatud, teeb Let’s Encrypt valideerimisserver faili hankimiseks HTTP-päringu ja tagab, et domeeni DNS-kirje osutab Let’s Encrypti klienti majutavale serverile.
Nõuded
Enne Let’s Encrypt kasutamist peate tegema järgmist.
Järgides selle esimeses Ubuntu 20.04 serveri seadistamise õpetuses toodud juhiseid, kui Ubuntu 20.04 server on seadistatud, koos tulemüüriga ja sudo-juurdepääsuga mitte-root kasutajaga.
Registreerimisega domeeninimi. Kogu selle artikli vältel kasutatakse veebisaiti myfirstproject1.com. Saate domeeni osta.
Teie serveris on konfigureeritud järgmised kaks DNS-kirjet.
- 'myproject1' kirje saidiga myfirstproject1.com, mis osutab teie serveri avalikule IP-aadressile
- 'myproject2' kirje, kus myfirstproject2.com osutab teie serveri avalikule IP-aadressile.
Nginx tuleks installida ja peate tagama, et teie domeenil on serveriplokk.
Rakenduse Let’s Encrypt installimise sammud digitaalsele ookeanile
Peamised sammud Let’s Encrypti digitaalsesse ookeani installimiseks on järgmised:
Certboti installimine
Certboti tarkvara on peamine vajadus Let’s Encrypti kasutamiseks SSL-sertifikaadi saamiseks. Certboti ja selle Nginxi pistikprogrammi installimiseks kasutame järgmist käsku:
Enamik jagatud hostimise ettevõtteid ja mõned pilvemajutusettevõtted lisavad veebisaidi hostimise paneelile Certboti või sarnase pistikprogrammi, mis võimaldab teil mõne klõpsuga osta, uuendada ja hallata SSL/TLS-sertifikaate.
Arvestades, et 'python3-certbot-nginx' on pakett, mida kasutatakse:
Näidake kohe Let’s Encrypt CA-le, et vastutate veebisaidi eest.
- Pidage meeles, millal teie litsentsi tuleb uuendada ja millal see aegub.
- Hankige ja installige brauseri usaldusväärne sertifikaat mis tahes veebiserverisse.
- Vajadusel abistab teid sertifikaadi tühistamisel.
Certbot on nüüd kasutamiseks valmis, kuid enne SSL-i automaatset seadistamist Nginxi jaoks tuleb mõned selle sätted kinnitada.
Nginxi konfiguratsiooni kontrollimine
Certbot peaks saama SSL-i automaatselt seadistada. See peab suutma leida teie Nginxi konfiguratsioonis õige serveriploki. Täpsemalt, see saavutab selle, otsides serveri nime direktiivi, mis vastab domeenile, mille jaoks sertifikaati taotlete.
Sellel peaks olema juba domeeni serveriplokis õigesti konfigureeritud serveri nime direktiiv, mida kasutame aadressil „/etc/nginx/sites-available/myfirstproject1.com”.
Avage nano- või mõnes muus tekstiredaktoris domeeni konfiguratsioonifail, et kontrollida, kas fail avatakse, kui see on olemas, sulgege redaktor ja minge järgmise toimingu juurde. Serveri nimi näeb välja nagu 'serveri_nimi domeeni_nimi www.domain_name.com “, nagu on näidatud alloleval lõigul.
Kui see ei muutu, vastab see. Pärast faili salvestamist ja redaktori sulgemist kontrollige oma konfiguratsioonimuudatuste süntaksit. Kontrollimiseks kasutage järgmist juhist:
$ sudo nginx –tLaadige Nginx uuesti värskendatud konfiguratsiooni laadimiseks pärast seda, kui olete veendunud, et teie konfiguratsioonifaili süntaks on õige:
$ sudo systemctl laadige uuesti nginxNüüd saab Certbot automaatselt leida õige serveriploki ja seda värskendada. Systemctl vastutab süsteemi ja teenuste haldamise kontrollimise ja haldamise eest. See toimib System V initi deemoni asendusena ja koosneb mitmest süsteemihaldusteegist, tööriistadest ja deemonitest.
HTTPS-i lubamine tulemüüri kaudu
Nõutavad soovitused soovitavad lubada UFW tulemüüri. HTTPS-i liikluse lubamiseks peate sätteid muutma.
UFW oleku valik võimaldab meil vaadata UFW viimast seisundit. UFW olek kuvab eeskirjade loendi, kui UFW on aktiveeritud. Muidugi, kui teil on vajalikud mandaadid, saate käsu käivitada ainult juurkasutajana või lisades selle ette sudo.
Lubage Nginxi täisprofiil ja eemaldage tarbetu Nginxi HTTP-profiili luba, et lubada ka HTTPS-i liiklust:
Eelmine väljavõte näitab meetodit täieliku liikluse lubamiseks Nginxist ja teine näitab, kuidas kustutada muu lubatud liiklus.
Kuidas saada SSL-sertifikaati
Pluginate abil pakub Certbot mitmeid viise SSL-sertifikaatide hankimiseks. Nginxi konfiguratsiooni ja konfiguratsiooni uuesti laadimist haldab Nginxi pistikprogramm vastavalt vajadusele.
Domeeni SSL-sertifikaadi kohe hankimiseks kasutage Certbotit. Domeeni märkimiseks on vaja argumenti '-d'. Let’s Encrypt väljastab ühe sertifikaadi www alamdomeeni ja juure jaoks. Sertifikaat on vajalik hankida mõlema versiooni jaoks, kuna kui teil on kummagi versiooni jaoks ainult üks, kuvatakse brauseris hoiatus, kui külastaja vaatab teist versiooni. Uute kasutajate puhul palub certbot teil esmalt sisestada oma e-posti aadress ja kinnitada, et nõustute teenusetingimustega.
Kui see õnnestub, palutakse teil teha valik ja vajutada ENTER. Pärast konfiguratsiooni värskendamist laadib Nginx uuesti ja kaalub uusi sätteid. Pärast lõpetamist annab certbot teile teada, et protseduur oli edukas.
Järeldus
Selles juhendis näitasime, kuidas installida ja kasutada tarkvara Let’s Encrypt certbot, hankida SSL-sertifikaat, seadistada SSL-sertifikaadi automaatne värskendus ja konfigureerida Nginx. Lisaks esitasime teile näiteid olukordadest, mis võivad Let’s Encrypt Digital Oceani kasutamisel kompileerimisprobleeme põhjustada.