Làm cách nào để thiết lập Nginx với Chứng nhận mã hóa Let?

Hướng dẫn từng bước để triển khai chứng chỉ LetS Encrypt TLS trong Nginx.


Bảo mật trang web với chứng chỉ TLS là điều cần thiết. Có hai lý do chính:

  • Truyền dữ liệu an toàn giữa thiết bị người dùng đến thiết bị giảm tải SSL / TLS
  • Cải thiện thứ hạng tìm kiếm của Google

Gần đây, Google công bố trang web đó không có https: // sẽ được đánh dấu là không có Secure Secure trong trình duyệt chrome.

Vì vậy, có, nói CÓ với HTTPS.

Nếu bạn đang chạy một blog, trang cá nhân, không phải thành viên, trang giao dịch phi tài chính thì bạn có thể dùng chứng chỉ Let Enc Encrypt.

Hãy để Encrypt Encrypt cung cấp một Giấy chứng nhận MIỄN PHÍ.

Tuy nhiên, nếu bạn chấp nhận giao dịch tài chính, thì bạn có thể muốn thực hiện giấy chứng nhận thương mại.

Hãy để chúng tôi thực hiện TLS trong Nginx

Tôi giả sử bạn đã cài đặt và chạy Nginx nếu không tham khảo hướng dẫn cài đặt này.

Có nhiều cách để thực hiện điều này.

Hãy để Encrypt Encrypt sử dụng Certbot

Một trong những cách dễ nhất và được khuyến nghị để cài đặt nó.

Giấy chứng nhận cung cấp menu thả xuống nơi bạn có thể chọn máy chủ web và HĐH để nhận hướng dẫn.

Tôi đã chọn Nginx và Ubuntu như bạn có thể thấy bên dưới.

Và, tôi sẽ thực hiện các thao tác dưới đây trên máy chủ Nginx để cài đặt plugin certbot.

# apt-get cài đặt phần mềm-thuộc tính chung
# add-apt-repository ppa: certbot / certbot
# apt-get cập nhật
# apt-get cài đặt python-certbot-nginx

Khi tất cả đều ổn, đã đến lúc sử dụng plugin certbot để cài đặt chứng chỉ trong Nginx.

Bạn có thể sử dụng lệnh dưới đây sẽ đảm nhiệm việc sửa đổi tệp cần thiết để định cấu hình chứng chỉ.

# certbot –nginx

Nó sẽ kiểm tra CN (tên chung) trong tệp cấu hình Nginx hiện có và không tìm thấy thì nó sẽ nhắc bạn nhập.

Ví dụ:

[email được bảo vệ]: / etc / nginx / site-Available # certbot –nginx
Lưu nhật ký gỡ lỗi vào /var/log/letsencrypt/letsencrypt.log
Plugin được chọn: Authenticator nginx, Installer nginx
Bắt đầu kết nối HTTPS mới (1): acme-v01.api.letsencrypt.org
Không có tên được tìm thấy trong các tập tin cấu hình của bạn. Vui lòng nhập tên miền của bạn
tên (dấu phẩy và / hoặc dấu cách được phân tách) (Nhập ‘c’ để hủy): bloggerflare.com
Lấy chứng chỉ mới
Thực hiện các thử thách sau:
Thử thách http-01 cho bloggerflare.com
Chờ xác minh…
Dọn dẹp thử thách
Chứng chỉ đã triển khai cho Virtualhost / etc / nginx / sites-enable / default cho bloggerflare.com
Vui lòng chọn có hay không chuyển hướng lưu lượng HTTP sang HTTPS, xóa quyền truy cập HTTP.
——————————————————————————-
1: Không chuyển hướng – Không thực hiện thêm thay đổi nào đối với cấu hình máy chủ web.
2: Chuyển hướng – Thực hiện tất cả các yêu cầu chuyển hướng đến truy cập HTTPS an toàn. Chọn cái này cho
trang web mới hoặc nếu bạn tự tin trang web của bạn hoạt động trên HTTPS. Bạn có thể hoàn tác điều này
thay đổi bằng cách chỉnh sửa cấu hình máy chủ web của bạn.
——————————————————————————-
Chọn số thích hợp [1-2] rồi [enter] (nhấn ‘c’ để hủy): 2
Chuyển hướng tất cả lưu lượng truy cập trên cổng 80 sang ssl trong / etc / nginx / sites-enable / default
——————————————————————————-
Xin chúc mừng! Bạn đã kích hoạt thành công https://bloggerflare.com
Bạn nên kiểm tra cấu hình của mình tại:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
LƯU Ý QUAN TRỌNG:
– Xin chúc mừng! Chứng chỉ và chuỗi của bạn đã được lưu tại:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
Tệp chính của bạn đã được lưu tại:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
Chứng chỉ của bạn sẽ hết hạn vào 2018-05-27. Để có được một cái mới hoặc điều chỉnh
phiên bản của chứng chỉ này trong tương lai, chỉ cần chạy lại certbot
với "ngũ cốc" Lựa chọn. Để không tương tác làm mới * tất cả * của
chứng chỉ của bạn, chạy "gia hạn certbot"
– Nếu bạn thích Certbot, vui lòng xem xét hỗ trợ công việc của chúng tôi bằng cách:
Đóng góp cho ISRG / Hãy mã hóa: https://letsencrypt.org/donate
Đóng góp cho EFF: https://eff.org/donate-le
[email được bảo vệ]: / etc / nginx / site-Available #

Chứng nhận tự động hóa là thông minh!

Như bạn có thể thấy, nó đã chăm sóc tất cả các cấu hình cần thiết để làm cho Nginx của tôi sẵn sàng phục vụ qua https.

Tuy nhiên, nếu bạn không muốn certbot sửa đổi cấu hình cho bạn, thì bạn chỉ cần yêu cầu lệnh bên dưới.

# certbot –nginx certonly

Lệnh trên sẽ không thực hiện bất kỳ sửa đổi nào thay vào đó chỉ cung cấp cho bạn chứng chỉ để bạn có thể định cấu hình theo cách bạn muốn.

Nhưng điều gì sẽ xảy ra nếu bạn có thể lồng hoặc don không muốn sử dụng Certbot?

Thủ tục thủ công

Có nhiều cách để có được chứng chỉ do Let Enc Encrypt cấp, nhưng một trong những cách được đề xuất là từ SSL miễn phí công cụ trực tuyến.

Cung cấp URL của bạn và tiến hành phương pháp xác minh. Sau khi xác minh, bạn sẽ nhận được chứng chỉ, khóa riêng và CA.

Tải về chúng và chuyển đến máy chủ Nginx. Hãy để chúng giữ chúng trong thư mục ssl (tạo nếu không tồn tại) trong đường dẫn cài đặt Nginx

[email được bảo vệ]: / etc / nginx / ssl # ls -ltr
-rw-r – r– 1 root 1704 26 tháng 2 10:04 private.key
-rw-r – r– 1 root 1647 26 tháng 2 10:04 ca_bundle.crt
-rw-r – r– 1 root root 3478 26 tháng 2 10:57 cert.crt
[email được bảo vệ]: / etc / nginx / ssl #

Trước khi tiến hành sửa đổi cấu hình, bạn cần ghép chứng chỉ.c.c và ca_bundle.crt thành một tệp duy nhất. Hãy đặt tên cho nó là tlscert.crt

chứng chỉ mèo.crt ca_bundle.crt >> tlscert.crt

  • Chuyển đến thư mục trang web có sẵn và thêm phần sau vào tệp cấu hình trang web tương ứng

người phục vụ {
nghe 443;
ssl trên;
ssl_cert ve /etc/nginx/ssl/tlscert.crt;
ssl_cert ve_key /etc/nginx/ssl/private.key;
}

  • Khởi động lại Nginx

dịch vụ nginx khởi động lại

Cố gắng truy cập tên miền tương ứng qua HTTPS

Vì vậy, ở đây bạn đi, nó thành công!

Tiếp theo, bạn có thể muốn kiểm tra lỗ hổng SSL / TLS trang web của mình và khắc phục chúng nếu tìm thấy.

Tôi hy vọng cái này sẽ giúp bạn. Nếu bạn quan tâm đến việc học Nginx, thì tôi khuyên bạn nên dùng cái này khóa học trực tuyến.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map