Un ghid pas cu pas pentru implementarea Let’s Encrypt TLS certificate in Nginx.


Securizarea site-ului cu certificat TLS este esențială. Există două motive principale:

  • Transmiterea securizată a datelor între dispozitivul utilizatorului la dispozitivul de descărcare SSL / TLS
  • Îmbunătățirea clasamentului căutării Google

În ultima vreme, Google a anunțat acel site fără https: // ar fi marcat ca „Nu este securizat” în browserul Chrome.

Deci da, spune DA la HTTPS.

Dacă executați un blog, un site personal, care nu este membru, site-ul tranzacțional nefinanciar, atunci puteți accesa certificatul Criptați..

Să oferim criptare o Certificat GRATUIT.

Cu toate acestea, dacă acceptați o tranzacție financiară, atunci poate doriți să mergeți pentru certificat comercial.

Să implementăm TLS în Nginx …

Presupun că aveți deja instalat și rulat Nginx, dacă nu consultați acest ghid de instalare.

Există mai multe modalități de a face acest lucru.

Să criptăm folosind Certbot

Una dintre cele mai ușoare și recomandate modalități de instalare.

Certbot oferă un meniu derulant unde puteți selecta serverul web și sistemul de operare pentru a obține instrucțiunea.

Am selectat Nginx și Ubuntu așa cum puteți vedea mai jos.

Și, voi executa mai jos pe serverul Nginx pentru a instala pluginul certbot.

# apt-get install software-properties-common
# add-apt-repository ppa: certbot / certbot
# apt-get update
# apt-get install python-certbot-nginx

Odată totul ok, este timpul să folosiți un plugin certbot pentru a instala un certificat în Nginx.

Puteți utiliza comanda de mai jos, care va avea grijă de modificarea fișierului necesar pentru a configura certificatul.

# certbot –nginx

Va verifica CN (nume comun) în fișierul de configurare Nginx existent și nu a fost găsit atunci vă va solicita să introduceți.

Ex:

[Email protected]: / etc / nginx / sites-available # certbot –nginx
Salvarea jurnalului de depanare în /var/log/letsencrypt/letsencrypt.log
Plugin-uri selectate: nginx Authenticator, nginx Installer
Pornirea unei noi conexiuni HTTPS (1): acme-v01.api.letsencrypt.org
Nu au fost găsite nume în fișierele de configurare. Vă rugăm să introduceți domeniul dvs.
nume (e) (virgulă și / sau spațiu separat) (Introduceți „c” pentru anulare): bloggerflare.com
Obținerea unui nou certificat
Realizarea următoarelor provocări:
http-01 provocare pentru bloggerflare.com
În așteptarea verificării…
Curățarea provocărilor
Certificat implementat la VirtualHost / etc / nginx / sites-enabled / default pentru bloggerflare.com
Vă rugăm să alegeți dacă redirecționați sau nu traficul HTTP către HTTPS, eliminând accesul HTTP.
——————————————————————————-
1: Fără redirecționare – Nu faceți alte modificări la configurația serverului web.
2: Redirecționare – faceți ca toate solicitările să fie redirecționate pentru a avea acces HTTPS securizat. Alegeți asta pentru
site-uri noi sau dacă sunteți sigur că site-ul dvs. funcționează pe HTTPS. Puteți anula acest lucru
schimbă modificând configurația serverului tău web.
——————————————————————————-
Selectați numărul corespunzător [1-2] apoi [introduceți] (apăsați „c” pentru a anula): 2
Redirecționând tot traficul de pe portul 80 către ssl in / etc / nginx / sites-enabled / default
——————————————————————————-
Felicitări! Ați activat cu succes https://bloggerflare.com
Ar trebui să vă testați configurația la:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
NOTITE IMPORTANTE:
– Felicitări! Certificatul și lanțul dvs. au fost salvate la:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
Fișierul dvs. cheie a fost salvat la:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
Certificatul dvs. va expira pe 2018-05-27. Pentru a obține un nou sau modificat
versiunea acestui certificat în viitor, pur și simplu rulați din nou certificat
cu "certonly" opțiune. Pentru a reînnoi fără interacțiune * toate * din
certificatele tale, execută "certbot reînnoire"
– Dacă vă place Certbot, vă rugăm să luați în considerare sprijinul activității noastre prin:
Donarea către ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donarea către EFF: https://eff.org/donate-le
[Email protected]: / Etc / Nginx / site-uri disponibile #

Automatizarea Certbot este inteligent!

După cum vedeți, a avut grijă de toată configurația necesară pentru ca Nginx-ul meu să fie gata să servească peste https.

Cu toate acestea, dacă nu doriți ca Certbot să modifice configurația pentru dvs., puteți cere doar comanda de mai jos.

# certbot –nginx certonly

Comanda de mai sus nu va efectua nicio modificare, ci vă oferă doar certificatul astfel încât să puteți configura modul dorit.

Dar dacă nu doriți sau nu doriți să folosiți Certbot?

Procedură manuală

Există multe modalități de a obține certificatul emis de Let’s Encrypt, dar unul dintre recomandări este de la SSL gratuit instrument online.

Furnizați adresa URL și continuați cu metoda de verificare. Odată verificat, veți obține certificatul, cheia privată și CA.

Descărcați-le și transferați pe serverul Nginx. Să le păstrăm sub folderul ssl (creați dacă nu există) din calea de instalare Nginx

[Email protected]: / etc / nginx / ssl # ls -ltr
-rw-r – r– 1 rădăcină rădăcină 1704 26 februarie 10:04 private.key
-rw-r – r– 1 rădăcină rădăcină 1647 26 feb 10:04 ca_bundle.crt
-rw-r – r– 1 rădăcină rădăcină 3478 26 februarie 10:57 certificate.crt
[Email protected]: / Etc / nginx / ssl #

Înainte de a continua modificarea configurației, trebuie să concatenate certificate.crt și ca_bundle.crt într-un singur fișier. Să-l numim tlscert.crt

certificat pisică.crt ca_bundle.crt >> tlscert.crt

  • Accesați folderul cu site-uri disponibile și adăugați următoarele în fișierul de configurare al site-ului respectiv

Server {
asculta 443;
ssl pe;
ssl_certificate /etc/nginx/ssl/tlscert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
}

  • Reporniți Nginx

service nginx restart

Încercați să accesați domeniul respectiv prin HTTPS

Deci, aici mergeți, este un succes!

În continuare, poate doriți să testați site-ul dvs. pentru vulnerabilitatea SSL / TLS și să le remediați dacă se găsesc.

Sper că te va ajuta. Dacă sunteți interesat să învățați Nginx, atunci v-aș recomanda să luați acest lucru curs online.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me