Hogyan állítsuk be az Nginx-et a Let’s Encrypt Cert használatával?

Lépésről lépésre a Let’s Encrypt TLS tanúsítvány Nginxben történő megvalósításához.


Alapvető fontosságú a webhely TLS tanúsítvánnyal történő biztosítása. Két fő oka van:

  • Biztonságos adatátvitel a felhasználó eszközei között az SSL / TLS letöltő eszközre
  • Javítsa a Google keresési rangsorolását

Az utóbbi időben a Google bejelentett az a webhely, a https: // nélkül, „nincs biztonságos” jelöléssel rendelkezik a króm böngészőben.

Tehát igen, mondja IGEN a HTTPS-nek.

Ha blogot, személyes oldalt, nem tagságot vagy nem pénzügyi tranzakciós webhelyet működtet, akkor megkérheti a Let’s Encrypt tanúsítványt.

Titkosítsuk ajánlatot a INGYENES tanúsítvány.

Ha azonban elfogad egy pénzügyi tranzakciót, akkor érdemes felvennie a kereskedelmi bizonyítvány.

Végezzük el a TLS-t az Nginx-ben …

Feltételezem, hogy az Nginx már telepítve van és fut, ha nem használja ezt a telepítési útmutatót.

Ennek többféle módja is van.

Titkosítsuk a Certbot használatával

Az egyik legegyszerűbb és ajánlott módszer a telepítésre.

Certbot egy legördülő menüt kínál, ahol kiválaszthatja a webszervert és az operációs rendszert az utasítások megszerzéséhez.

Az Nginx-et és az Ubuntu-t választottam, amint az alább látható.

És az alábbiak szerint végrehajtom az Nginx szerveren a certbot plugin telepítését.

# apt-get install software-properties-common
# add-apt-repository ppa: certbot / certbot
# apt-get frissítés
# apt-get install python-certbot-nginx

Ha minden rendben van, itt az ideje, hogy egy certbot plugin segítségével telepítsen egy tanúsítványt az Nginx-ben.

Használhatja az alábbi parancsot, amely gondoskodik a tanúsítvány konfigurálásához szükséges fájl módosításáról.

# certbot –nginx

Ellenőrizni fogja a CN (köznév) meglévő Nginx konfigurációs fájljában, és nem található, akkor megkérdezi, hogy írja be.

Volt:

[Email protected]: / etc / nginx / site-available # certbot –nginx
A hibakeresési napló mentése a /var/log/letsencrypt/letsencrypt.log mappába
Kiválasztott bővítmények: Authenticator nginx, Installer nginx
Új HTTPS kapcsolat indítása (1): acme-v01.api.letsencrypt.org
A konfigurációs fájlokban nem található név. Kérjük, írja be domainjét
név (nevek) (vesszővel és / vagy szóközzel elválasztva) (a „c” gombbal törölheti): bloggerflare.com
Új bizonyítvány beszerzése
A következő kihívások teljesítése:
http-01 kihívás a bloggerflare.com számára
Várakozás az ellenőrzésre…
Tisztítsuk meg a kihívásokat
Telepített tanúsítvány a VirtualHost / etc / nginx / site-engedélyezve / alapértelmezés szerint a bloggerflare.com webhelyre
Válassza ki, hogy átirányítja-e a HTTP forgalmat a HTTPS-re, eltávolítva a HTTP-hozzáférést.
——————————————————————————-
1: Nincs átirányítás – Ne változtasson tovább a webszerver konfigurációjában.
2: Átirányítás – Az összes kérést átirányítja a HTTPS biztonságos elérése érdekében. Válassza ezt
új webhelyeket, vagy ha biztos benne, hogy webhelye működik a HTTPS-en. Visszavonhatja ezt
változtassa meg a webszerver konfigurációjának szerkesztésével.
——————————————————————————-
Válassza ki a megfelelő számot [1-2], majd az [Enter] gombot (nyomja meg a ‘c’ gombot a visszavonáshoz): 2
Az összes forgalom átirányítása a 80-as porton az ssl fájlba az / etc / nginx / site engedélyezve / alapértelmezésben
——————————————————————————-
Gratulálunk! Sikeresen engedélyezte a https://bloggerflare.com webhelyet
A konfigurációt kipróbálnia kell a következő címen:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
FONTOS JEGYZETEK:
– Gratulálunk! A tanúsítvány és a lánc mentésre került a következő címen:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
A kulcsfájl a következő helyen lett elmentve:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
Tanúsítványa 2018.05.27-én lejár. Ahhoz, hogy új vagy csípett
Ennek a tanúsítványnak a jövőbeni verziója, egyszerűen futtassa újra a certbotot
a … val "certonly" választási lehetőség. Nem interaktív módon megújíthatja az összeset
a tanúsítványait, futtassa "certbot megújítás"
– Ha tetszik a Certbot, kérjük, fontolja meg munkánk támogatását:
Adomány az ISRG-nek / Titkosítsuk: https://letsencrypt.org/donate
Adomány az EFF-nek: https://eff.org/donate-le
[Email protected]: / Etc / nginx / sites-available #

A Certbot automatizálása Okos!

Mint láthatja, az összes szükséges konfiguráció elvégzésével gondoskodott arról, hogy az Nginx készen álljon a https-en történő kiszolgálásra.

Ha azonban nem akarja, hogy a Certbot módosítsa a konfigurációt az Ön számára, akkor csak kérheti az alábbi parancsot.

# certbot –nginx certonly

A fenti parancs nem fog módosítani, hanem megadja a tanúsítványt, így beállíthatja a kívánt módon.

De mi van, ha nem tudja vagy nem akarja használni a Certbotot?

Kézi eljárás

Sokféleképpen megszerezheti a Let’s Encrypt által kiállított bizonyítványt, de az egyik ajánlott származási hely: SSL ingyen online eszköz.

Adja meg URL-jét, és folytassa az ellenőrzési módszerrel. Ellenőrzés után megkapja a tanúsítványt, a privát kulcsot és a hitelesítésszolgáltatót.

Töltse le őket, és vigye át az Nginx szerverre. Tartsuk őket az Nginx telepítési útvonalának ssl mappájában (hozzon létre, ha még nem létezik)

[Email protected]: / etc / nginx / ssl # ls-ltr
-rw-r – r– 1 gyökérgyökér 1704 febr. 26 10:04 private.key
-rw-r – r– 1 gyökérgyökér 1647 február 26 10:04 ca_bundle.crt
-rw-r – r– 1 gyökérgyökér 3478 február 26, 10:57 certificate.crt
[Email protected]: / Etc / nginx / ssl #

A konfiguráció módosításának folytatása előtt össze kell kötnie a certificate.crt és a ca_bundle.crt fájlokat. Nézzük nekünk tlscert.crt

macska certificate.crt ca_bundle.crt >> tlscert.crt

  • Lépjen a rendelkezésre álló helyek mappájába, és adja hozzá a következőket a megfelelő helykonfigurációs fájlhoz

szerver {
hallgassa meg 443;
ssl;
ssl_certificate /etc/nginx/ssl/tlscert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
}

  • Indítsa újra az Nginx alkalmazást

service nginx restart

Próbáljon meg elérni a megfelelő domaint a HTTPS-en keresztül

Tehát itt van, ez a siker!

Ezután érdemes lehet kipróbálni a webhely SSL / TLS sebezhetőségét, és kijavítani őket, ha megtalálják.

Remélem, hogy ez segít neked. Ha érdekli a Nginx megtanulása, akkor azt javaslom venni online tanfolyam.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map