Как настроить Nginx с помощью Let’s Encrypt Cert?

Пошаговое руководство по внедрению сертификата Let Encrypt TLS в Nginx.


Защита сайта с помощью сертификата TLS имеет важное значение. Есть две основные причины:

  • Безопасная передача данных между устройством пользователя на устройство разгрузки SSL / TLS
  • Улучшить рейтинг в поиске Google

В последнее время Google объявленный этот сайт без https: // будет отмечен как «Безобезопасный» в браузере Chrome.

Так что да, скажи ДА HTTPS.

Если у вас есть блог, личный сайт, не членство, нефинансовый транзакционный сайт, тогда вы можете перейти на сертификат Let Encrypt.

Давайте зашифруем предложить БЕСПЛАТНЫЙ сертификат.

Однако, если вы принимаете финансовую транзакцию, вы можете пойти на коммерческий сертификат.

Давайте внедрим TLS в Nginx …

Я предполагаю, что у вас уже установлен Nginx и работает, если не обратитесь к этому руководству по установке.

Есть несколько способов сделать это.

Давайте зашифруем с помощью Certbot

Один из самых простых и рекомендуемых способов его установки.

Certbot предлагает выпадающее меню, где вы можете выбрать веб-сервер и ОС, чтобы получить инструкцию.

Я выбрал Nginx и Ubuntu, как вы можете видеть ниже.

И я буду выполнять ниже на сервере Nginx для установки плагина certbot.

# apt-get install software-properties-common
# add-apt-repository ppa: certbot / certbot
# apt-get update
# apt-get install python-certbot-nginx

Как только все будет хорошо, пришло время использовать плагин certbot для установки сертификата в Nginx.

Вы можете использовать команду ниже, которая позаботится об изменении необходимого файла для настройки сертификата.

# certbot –nginx

Он проверит CN (общее имя) в существующем файле конфигурации Nginx и не найден, затем предложит вам ввести.

Пример:

[Электронная почта защищена]: / etc / nginx / sites-available # certbot –nginx
Сохранение журнала отладки в /var/log/letsencrypt/letsencrypt.log
Выбранные плагины: Аутентификатор nginx, Установщик nginx
Запуск нового HTTPS-соединения (1): acme-v01.api.letsencrypt.org
В ваших файлах конфигурации не найдено ни одного имени. Пожалуйста, войдите в свой домен
имя (имена) (разделенные запятой и / или пробелом) (введите ‘c’ для отмены): bloggerflare.com
Получение нового сертификата
Выполнение следующих задач:
http-01 вызов для bloggerflare.com
В ожидании подтверждения…
Очистка проблем
Развернутый сертификат в VirtualHost / etc / nginx / sites-enabled / default для bloggerflare.com
Пожалуйста, выберите, следует ли перенаправлять HTTP-трафик на HTTPS, удаляя доступ HTTP.
——————————————————————————-
1: Нет перенаправления – не вносите никаких изменений в конфигурацию веб-сервера..
2: Redirect – перенаправить все запросы на безопасный доступ HTTPS. Выберите это для
новые сайты, или если вы уверены, что ваш сайт работает по HTTPS. Вы можете отменить это
изменить путем редактирования конфигурации вашего веб-сервера.
——————————————————————————-
Выберите соответствующий номер [1-2], затем [введите] (нажмите «c» для отмены): 2
Перенаправление всего трафика через порт 80 на ssl в / etc / nginx / sites-enabled / default
——————————————————————————-
Поздравляем! Вы успешно включили https://bloggerflare.com
Вы должны проверить свою конфигурацию по адресу:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
ВАЖНЫЕ ЗАМЕТКИ:
– Поздравляем! Ваш сертификат и цепочка были сохранены по адресу:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
Ваш ключевой файл был сохранен в:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
Срок действия вашего сертификата истекает 2018-05-27. Чтобы получить новый или подправленный
версию этого сертификата в будущем, просто запустите certbot снова
с "certonly" вариант. Неинтерактивно обновлять * все * из
ваши сертификаты, бегите "Certbot возобновить"
– Если вам нравится Certbot, пожалуйста, поддержите нашу работу:
Пожертвования для ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Пожертвования для EFF: https://eff.org/donate-le
[Электронная почта защищена]: / И т.д. / Nginx / сайты доступные #

Certbot автоматизация умный!

Как видите, он позаботился обо всей необходимой конфигурации, чтобы мой Nginx был готов к работе через https..

Однако, если вы не хотите, чтобы Certbot изменил конфигурацию для вас, вы можете просто запросить приведенную ниже команду.

# certbot –nginx certonly

Выше команда не будет выполнять какие-либо изменения, вместо этого просто предоставит вам сертификат, чтобы вы могли настроить так, как вы хотите.

Но что, если вы не можете или не хотите использовать Certbot?

Ручная процедура

Существует много способов получения сертификата от Let’s Encrypt, но один из рекомендуемых SSL бесплатно онлайн инструмент.

Укажите свой URL и перейдите к методу подтверждения. После проверки вы получите сертификат, закрытый ключ и CA.

Загрузите их и перенесите на сервер Nginx. Давайте сохраним их в папке ssl (создайте, если не существует) пути установки Nginx

[Электронная почта защищена]: / etc / nginx / ssl # ls -ltr
-rw-r – r– 1 корневой корень 1704 26 февраля 10:04 private.key
-rw-r – r– 1 корневой корень 1647 26 февраля 10:04 ca_bundle.crt
-rw-r – r– 1 корневой корень 3478 26 февраля 10:57 certificate.crt
[Электронная почта защищена]: / И т.д. / Nginx / SSL #

Прежде чем приступить к изменению конфигурации, вам нужно объединить Certificate.crt и Ca_bundle.crt в один файл. Давайте назовем это tlscert.crt

кошка сертификат.crt ca_bundle.crt >> tlscert.crt

  • Перейдите в папку sites-available и добавьте следующее в соответствующий файл конфигурации сайта.

сервер {
слушать 443;
ssl on;
ssl_certificate /etc/nginx/ssl/tlscert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
}

  • Перезапустите Nginx

перезапуск службы nginx

Попробуйте получить доступ к соответствующему домену через HTTPS

Итак, вы идете, это успех!

Затем вы можете протестировать свой сайт на наличие уязвимости SSL / TLS и исправить ее, если она найдена..

Я надеюсь, это поможет вам. Если вы заинтересованы в изучении Nginx, то я бы порекомендовал принять это онлайн курс.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map