Стъпка по стъпка ръководство за прилагане на Let’s Encrypt TLS сертификат в Nginx.


Защитата на сайта с TLS сертификат е от съществено значение. Има две основни причини:

  • Сигурно предаване на данни между устройството на потребителя до SSL / TLS разтоварващо устройство
  • Подобрете класирането в търсенето с Google

Напоследък Google оповестен този сайт без https: // ще бъде маркиран като „Без сигурност“ в браузъра Chrome.

Така че да, Кажете ДА на HTTPS.

Ако управлявате блог, личен сайт, нечленуван, нефинансов сайт за транзакции, тогава можете да потърсите сертификат Let’s Encrypt.

Нека да кодираме a БЕЗПЛАТЕН сертификат.

Ако обаче приемате финансова транзакция, може да искате да продължите търговски сертификат.

Нека внедрим TLS в Nginx …

Предполагам, че вече имате инсталиран и работещ Nginx, ако не вижте това ръководство за инсталиране.

Има множество начини за това.

Да шифроваме с помощта на Certbot

Един от най-лесните и препоръчителни начини за инсталирането му.

Certbot предлага падащо меню, където можете да изберете уеб сървъра и ОС, за да получите инструкцията.

Избрах Nginx и Ubuntu, както можете да видите по-долу.

И ще изпълня по-долу на сървъра Nginx, за да инсталирам приставката за certbot.

# apt – вземете инсталиране на софтуер-свойства-общи
# add-apt-repository ppa: certbot / certbot
# apt-get update
# apt – вземете инсталирайте python-certbot-nginx

След като всичко е наред, е време да използвате приставка за certbot, за да инсталирате сертификат в Nginx.

Можете да използвате командата по-долу, която ще се погрижи за промяна на необходимия файл за конфигуриране на сертификата.

# certbot –nginx

Той ще провери CN (общо име) в съществуващия конфигурационен файл Nginx и той не е намерен, след това ще ви подкани да въведете.

Ex:

[Имейл защитен]: / и т.н. / nginx / налични сайтове # certbot –nginx
Запазване на журнала за отстраняване на грешки в /var/log/letsencrypt/letsencrypt.log
Избрани приставки: Удостоверител nginx, Инсталатор nginx
Стартиране на нова HTTPS връзка (1): acme-v01.api.letsencrypt.org
В конфигурационните ви файлове не бяха намерени имена. Моля, въведете вашия домейн
име (и) (разделени със запетая и / или интервал) (Въведете „c“, за да отмените): bloggerflare.com
Получаване на нов сертификат
Изпълнение на следните предизвикателства:
http-01 предизвикателство за bloggerflare.com
В очакване на проверка…
Почистване на предизвикателства
Разгърнат сертификат за VirtualHost / etc / nginx / активиран / сайтове / по подразбиране за bloggerflare.com
Моля, изберете дали да пренасочвате HTTP трафик към HTTPS, премахвайки HTTP достъп.
——————————————————————————-
1: Без пренасочване – Не правете повече промени в конфигурацията на уеб сървъра.
2: Пренасочване – Направете всички заявки за пренасочване, за да осигурите HTTPS достъп. Изберете това за
нови сайтове или ако сте сигурни, че той работи на HTTPS. Можете да отмените това
променете чрез редактиране на конфигурацията на вашия уеб сървър.
——————————————————————————-
Изберете подходящия номер [1-2], след това [въведете] (натиснете ‘c’, за да отмените): 2
Пренасочване на целия трафик на порт 80 към ssl в / etc / nginx / enable-sites / default
——————————————————————————-
Честито! Успешно сте активирали https://bloggerflare.com
Трябва да тествате конфигурацията си на:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
ВАЖНИ БЕЛЕЖКИ:
– Честито! Вашият сертификат и верига са запазени на:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
Вашият ключов файл е запазен на:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
Вашият сертификат ще изтече на 2018-05-27. За да получите нова или ощипана
версия на този сертификат в бъдеще, просто стартирайте отново certbot
с "certonly" опция. За неинтерактивно подновяване * всички * на
вашите сертификати, стартирайте "certbot подновяват"
– Ако ви харесва Certbot, моля, помислете за подкрепа на нашата работа чрез:
Даряване на ISRG / Нека шифроваме: https://letsencrypt.org/donate
Дарение за EFF: https://eff.org/donate-le
[Имейл защитен]: / И т.н. / Nginx / сайтове-достъпно #

Certbot автоматизация е умен!

Както можете да видите, той се е погрижил за цялата необходима конфигурация, за да направи моя Nginx готов да служи през https.

Ако обаче не искате Certbot да промени конфигурацията за вас, тогава можете просто да поискате командата по-долу.

# certbot –nginx certonly

Командата по-горе няма да извърши никакви изменения, вместо това просто ще ви предостави сертификата, за да можете да конфигурирате желания от вас начин.

Но какво ще стане, ако не можете или не искате да използвате Certbot?

Ръчна процедура

Има много начини да получите сертификата, издаден от Let’s Encrypt, но един от препоръчителните е от SSL безплатно онлайн инструмент.

Въведете своя URL адрес и продължете с метода за потвърждение. След като бъде потвърден, ще получите сертификата, личния ключ и CA.

Изтеглете ги и прехвърлете на Nginx сървър. Нека ги пазим в папка ssl (създайте, ако не съществува) от инсталационния път на Nginx

[Имейл защитен]: / etc / nginx / ssl # ls -ltr
-rw-r – r– 1 корен на корен 1704 февруари 10 10:04 private.key
-rw-r – r– 1 корен на корена 1647 26 февруари 10:04 ca_bundle.crt
-rw-r – r– 1 корен на корена 3478 26 февруари 10:57 сертификат.crt
[Имейл защитен]: / И т.н. / Nginx / SSL #

Преди да продължите с модификацията на конфигурацията, трябва да свържете сертификат.crt и ca_bundle.crt в един файл. Нека го наречем tlscert.crt

сертификат за котка.crt ca_bundle.crt >> tlscert.crt

  • Отидете в наличната папка и добавете следното в съответния конфигурационен файл на сайта

сървър {
слушайте 443;
ssl на;
ssl_certificate /etc/nginx/ssl/tlscert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
}

  • Рестартирайте Nginx

рестартиране на услуга nginx

Опитайте да получите достъп до съответния домейн през HTTPS

И така, ето, това е успех!

След това може да искате да тествате вашия сайт за SSL / TLS уязвимост и да ги поправите, ако бъдат намерени.

Надявам се това да ви помогне. Ако се интересувате от изучаването на Nginx, тогава бих препоръчал да вземете това онлайн курс.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me