چگونه می توان Nginx را با گواهی رمزنگاری شده تنظیم کرد؟

راهنمای گام به گام اجرای گواهی نامه رمزگذاری TLS در Nginx.


ایمن سازی سایت با گواهینامه TLS امری ضروری است. دو دلیل اصلی وجود دارد:

  • انتقال ایمن داده ها بین دستگاه کاربر به دستگاه بارگیری SSL / TLS
  • رتبه بندی جستجوی Google را بهبود بخشید

اخیراً گوگل اعلام کرد آن سایت بدون https: // در مرورگر کروم به عنوان “بدون امنیت” علامت گذاری می شود.

بنابراین بله ، به HTTPS بگویید.

اگر وبلاگ ، سایت شخصی ، عدم عضویت ، سایت معامله غیر مالی را اداره می کنید ، می توانید به گواهی نامه رمزگذاری اجازه دهید.

بگذارید رمزگذاری کنیم گواهی رایگان.

با این حال ، اگر شما یک معامله مالی را می پذیرید ، ممکن است بخواهید به دنبال آن باشید گواهی تجاری.

بیایید TLS را در Nginx پیاده سازی کنیم …

من فرض می کنم اگر Nginx را نصب کرده اید و در صورت مراجعه به این راهنمای نصب ، آن را اجرا کرده اید.

روش های مختلفی برای انجام این کار وجود دارد.

بیایید با استفاده از Certbot رمزگذاری کنیم

یکی از ساده ترین و توصیه شده ترین راه های نصب آن.

گواهی نامه منوی کشویی را ارائه می دهد که در آن می توانید سرور وب و سیستم عامل را برای دریافت دستورالعمل انتخاب کنید.

من Nginx و Ubuntu را انتخاب کرده ام ، همانطور که در زیر می بینید.

و برای نصب افزونه certbot زیر موارد زیر را در سرور Nginx اجرا خواهم کرد.

# نرم افزار-نصب نرم افزار-خواص مشترک
# add-apt-repository ppa: certbot / certbot
# بروزرسانی مناسب
# apt-get install python-certbot-nginx

خوب ، وقت آن است که از یک افزونه certbot برای نصب گواهی در Nginx استفاده کنید.

می توانید از دستور زیر استفاده کنید که از اصلاح فایل لازم جهت پیکربندی گواهی مراقبت خواهد کرد.

# certbot –nginx

این CN (نام مشترک) را در پرونده پیکربندی Nginx موجود بررسی می کند ، و در نتیجه یافت نشد و باعث می شود شما وارد شوید.

سابق:

[ایمیل محافظت شده]: / etc / nginx / sites-available # certbot –nginx
ذخیره گزارش اشکال زدایی در /var/log/letsencrypt/letsencrypt.log
افزونه های انتخاب شده: Authenticator nginx ، نصب nginx
شروع اتصال HTTPS جدید (1): acme-v01.api.letsencrypt.org
هیچ نامی در پرونده های پیکربندی شما یافت نشد. لطفاً وارد دامنه خود شوید
نام (ها) (کاما و / یا فضای جدا شده) (برای لغو کردن ‘c’ را وارد کنید): bloggerflare.com
اخذ گواهینامه جدید
انجام چالش های زیر:
چالش http-01 برای bloggerflare.com
منتظر تأیید…
تمیز کردن چالش ها
صدور گواهینامه به VirtualHost / etc / nginx / سایتهای فعال / پیش فرض برای bloggerflare.com
لطفاً انتخاب کنید که آیا ترافیک HTTP را به HTTPS تغییر دهید یا دسترسی HTTP را حذف کنید.
——————————————————————————-
1: بدون تغییر مسیر – هیچ تغییری در پیکربندی وب سرور ایجاد نکنید.
2: تغییر مسیر – برای اطمینان از دسترسی HTTPS ، کلیه درخواستها را تغییر مسیر دهید. این را انتخاب کنید
سایتهای جدید یا مطمئن باشید سایت شما در HTTPS کار می کند. شما می توانید این را خنثیسازی کنید
با ویرایش پیکربندی سرور وب خود تغییر دهید.
——————————————————————————-
شماره مناسب [1-2] را انتخاب کنید و سپس [enter] (برای لغو کردن ‘c’ را فشار دهید): 2
هدایت کلیه ترافیک در بندر 80 به ssl در / etc / nginx / سایتهای فعال / پیش فرض
——————————————————————————-
تبریک می گویم! شما با موفقیت https://bloggerflare.com را فعال کرده اید
شما باید پیکربندی خود را در:
https://www.ssllabs.com/ssltest/analyze.html؟d=bloggerflare.com
——————————————————————————-
یادداشت های مهم:
– تبریک می گویم! گواهی و زنجیره شما در موارد زیر ذخیره شده است:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
پرونده کلیدی شما در:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
گواهینامه شما در تاریخ 2018-05-27 منقضی می شود. برای به دست آوردن یک جدید یا tweaked
نسخه این گواهینامه را در آینده به سادگی مجدداً certbot را اجرا کنید
با "به طور مستند" گزینه. به صورت غیر تعاملی تمدید * همه * از
گواهینامه های خود را ، اجرا کنید "تجدید Certbot"
– اگر Certbot را دوست دارید ، لطفاً از کارهای ما حمایت کنید:
اهدا به ISRG / بیایید رمزگذاری کنیم: https://letsencrypt.org/donate
اهداء به EFF: https://eff.org/donate-le
[ایمیل محافظت شده]: / etc / nginx / سایتهای موجود #

اتوماسیون Certbot است هوشمندانه!

همانطور که می بینید ، از تمام تنظیمات لازم برای آماده سازی Nginx من برای خدمات بیش از https مراقبت کرده است.

اما اگر نمی خواهید Certbot پیکربندی را برای شما تغییر دهد ، می توانید فقط دستور زیر را درخواست کنید.

# certbot –nginx به طور مستقل

در بالای فرمان ، هیچ تغییری را انجام نمی دهد بلکه فقط گواهی را به شما ارائه می دهد تا بتوانید راهی را که می خواهید پیکربندی کنید.

اما اگر نمی توانید یا نمی خواهید از Certbot استفاده کنید ، چه می کنید?

روش دستی

برای صدور گواهینامه توسط Let’s Encrypt روش های زیادی وجود دارد ، اما یکی از توصیه های این مورد است SSL به صورت رایگان ابزار آنلاین.

URL خود را تهیه کرده و از روش تأیید صحت بگیرید. پس از تأیید ، گواهی ، کلید خصوصی و CA را دریافت خواهید کرد.

آنها را بارگیری کرده و به سرور Nginx منتقل کنید. بیایید آنها را در زیر پوشه ssl نگهداریم (اگر وجود ندارد) مسیر نصب Nginx را ایجاد کنیم

[ایمیل محافظت شده]: / etc / nginx / ssl # ls -ltr
-rw-r – r– 1 root root 1704 26 فوریه 10:04 private.key
-rw-r – r– 1 root root 1647 فوریه 26 10:04 ca_bundle.crt
-rw-r – r– 1 root root 3478 فوریه 26 10:57 گواهینامه.crt
[ایمیل محافظت شده]: / etc / nginx / ssl #

قبل از انجام اصلاحات پیکربندی ، باید گواهی های.crt و ca_bundle.crt را در یک پرونده واحد جمع کنید. بیایید آنرا tlscert.crt بگذاریم

گواهینامه گربه.crt ca_bundle.crt >> tlscert.crt

  • به پوشه سایتهای موجود بروید و موارد زیر را در پرونده پیکربندی سایت اضافه کنید

سرور {
گوش 443؛
ssl در؛
ssl_certificate /etc/nginx/ssl/tlscert.crt؛
ssl_certificate_key /etc/nginx/ssl/private.key؛
}

  • Nginx را مجدداً راه اندازی کنید

راه اندازی مجدد سرویس nginx

سعی کنید از طریق HTTPS به دامنه مربوطه دسترسی پیدا کنید

بنابراین در اینجا ، شما موفقیت است!

در مرحله بعد ، ممکن است بخواهید سایت خود را برای آسیب پذیری SSL / TLS آزمایش کنید و در صورت وجود آنها را برطرف کنید.

من امیدوارم که این به شما کمک کند. اگر شما علاقه مند به یادگیری Nginx هستید ، پس توصیه می کنم این کار را انجام دهید دوره آنلاین.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map