Hoe stel ek Nginx op met Let’s Encrypt Cert?

‘N Stap-vir-stap-gids vir die implementering van Let’s Encrypt TLS-sertifikaat in Nginx.


Die beveiliging van ‘n webwerf met ‘n TLS-sertifikaat is noodsaaklik. Daar is twee hoofredes:

  • Veilige data-oordrag tussen die gebruiker se toestel na SSL / TLS-aflaai-toestel
  • Verbeter Google-soektogranglys

Die laaste tyd, Google aangekondig daardie webwerf sonder https: // sal in ‘n Chrome-blaaier as ‘Geen veilige’ gemerk word nie.

So ja, sê JA aan HTTPS.

As u ‘n blog, persoonlike webwerf, nie-lidmaatskap, die nie-finansiële transaksionele webwerf bestuur, kan u vir Let’s Encrypt-sertifikaat gaan.

Laat ons versleutel bied ‘n GRATIS sertifikaat.

As u egter ‘n finansiële transaksie aanvaar, sal u moontlik wil gaan vir die handelsertifikaat.

Kom ons implementeer TLS in Nginx …

Ek neem aan dat u alreeds Nginx geïnstalleer en uitgevoer het, verwys nie hierdie installasiegids nie.

Daar is verskillende maniere om dit te doen.

Laat ons enkripteer met Certbot

Een van die maklikste en aanbevole maniere om dit te installeer.

Certbot bied ‘n drop-down menu waar u die webbediener en OS kan kies om die instruksie te kry.

Ek het Nginx en Ubuntu gekies soos hieronder gesien.

En ek sal die onderstaande op die Nginx-bediener uitvoer om die certbot-inprop te installeer.

# apt-install sagteware-eienskappe-algemeen
# add-apt-repository ppa: certbot / certbot
# apt-get update
# apt-get install python-certbot-nginx

As alles goed is, is dit tyd om ‘n certbot-inprop te gebruik om ‘n sertifikaat in Nginx te installeer.

U kan die onderstaande opdrag gebruik wat sal sorg vir die wysiging van die nodige lêer om die sertifikaat op te stel.

# certbot – nginx

Dit sal die CN (gewone naam) in die bestaande Nginx-konfigurasielêer nagaan, en dit word nie gevind nie, en dit sal u vra om in te gaan.

ex:

[Email protected]: / ens / nginx / webwerwe beskikbaar # certbot – nginx
Stoor ontfoutlogboek na /var/log/letsencrypt/letsencrypt.log
Inproppe gekies: Authenticator nginx, installer nginx
Begin nuwe HTTPS-verbinding (1): acme-v01.api.letsencrypt.org
Geen name is in u konfigurasielêers gevind nie. Voer asseblief u domein in
naam (e) (komma en / of spasie geskei) (Voer ‘c’ in om te kanselleer): bloggerflare.com
Die verkryging van ‘n nuwe sertifikaat
Die volgende uitdagings uitvoer:
http-01 uitdaging vir bloggerflare.com
Wag vir verifikasie…
Om skoon te maak van uitdagings
Sertifikaat ontplooi na VirtualHost / etc / nginx / sites-enabled / standaard vir bloggerflare.com
Kies of u HTTP-verkeer na HTTPS sal herlei of nie, en verwyder HTTP-toegang.
——————————————————————————-
1: Geen herleiding nie – maak geen verdere veranderinge aan die konfigurasie van die webbediener nie.
2: Herleiding – Laat alle versoeke herlei om HTTPS-toegang te beveilig. Kies hiervoor
nuwe werwe, of as u seker is dat u webwerf op HTTPS werk. U kan dit ongedaan maak
verander deur die opstelling van u webbediener te wysig.
——————————————————————————-
Kies die toepaslike nommer [1-2] en dan [enter] (druk ‘c’ om te kanselleer): 2
Herlei alle verkeer op hawe 80 na ssl in / etc / nginx / sites-enabled / default
——————————————————————————-
Baie geluk! Jy het https://bloggerflare.com suksesvol aangeskakel
U moet u konfigurasie toets by:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
BELANGRIKE AANTEKENINGE:
– Baie geluk! U sertifikaat en ketting is gestoor by:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
U sleutellêer is gestoor by:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
U sertifikaat verval op 2018-05-27. Om ‘n nuwe of opstel te kry
weergawe van hierdie sertifikaat in die toekoms, loop eenvoudig weer certbot
met die "certonly" opsie. Om nie * interaktief * alle * van te hernu nie
u sertifikate, loop "certbot vernuwe"
– As u van Certbot hou, oorweeg dit om ons werk te ondersteun deur:
Skenkings aan ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donasies aan EFF: https://eff.org/donate-le
[Email protected]: / Etc / nginx / terreine-beskikbaar #

Certbot outomatisering is smart!

Soos u kan sien, het dit gesorg vir al die nodige konfigurasies om my Nginx gereed te maak om via https te dien.

As u egter nie wil hê dat Certbot die opset vir u moet verander nie, kan u die onderstaande opdrag aanvra.

# certbot – nginx serties

Bogenoemde opdrag sal geen wysigings uitvoer nie, maar slegs die sertifikaat aan u gee, sodat u die manier waarop u wil instel.

Maar wat as u Certbot nie kan of wil gebruik nie??

Handmatige prosedure

Daar is baie maniere om die sertifikaat wat deur Let’s Encrypt uitgereik word, te kry, maar een van die aanbevole is van SSL gratis aanlyn hulpmiddel.

Verskaf u URL en gaan voort met die verifiëringsmetode. Sodra dit bevestig is, kry u die sertifikaat, privaat sleutel en CA.

Laai dit af en dra dit oor na die Nginx-bediener. Laat ons hulle onder die ssl-lêergids hou (maak as dit nie bestaan ​​nie) van die Nginx-installasiepad

[Email protected]: / ens / nginx / ssl # ls -ltr
-rw-r – r– 1 wortelwortel 1704 26 Februarie 10:04 privaat
-rw-r – r– 1 wortelwortel 1647 26 Februarie 10:04 ca_bundle.crt
-rw-r – r– 1 wortelwortel 3478 26 Februarie 10:57 sertifikaat.crt
[Email protected]: / Etc / nginx / ssl #

Voordat u met die opstelling verander, moet u Certificate.crt en ca_bundle.crt in ‘n enkele lêer saamvoeg. Kom ons noem dit tlscert.crt

kat sertifikaat.crt ca_bundle.crt >> tlscert.crt

  • Gaan na die beskikbare webwerwe-lêergids en voeg die volgende by in die onderskeie werfkonfigurasie-lêer

bediener {
luister 443;
ssl aan;
ssl_certificate /etc/nginx/ssl/tlscert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
}

  • Herbegin Nginx

diens nginx herbegin

Probeer toegang tot die onderskeie domein via HTTPS kry

So hier, dit is sukses!

Volgende, miskien wil u u webwerf toets vir SSL / TLS-kwesbaarheid en dit regstel indien dit gevind word.

Ek hoop dit help jou. As u belangstel om Nginx te leer, sal ek dit aanbeveel aanlyn kursus.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map