Verkkotunnuksen verkkotunnuksessa on oltava SSL/TLS-salaus, jos se aikoo saada vierailijoita. SSL/TLS-varmenteet tarjoavat vahvan yhteyden verkkopalvelimien ja selainten välillä. Aiemmin turvallisuus ei ollut suuri huolenaihe. Oli suhteellisen yleistä, että verkkosivustot toimittivat tietoja vakiintuneen HTTP-protokollan kautta. Nykyään palvelimen kanssa kommunikoivan kanavan on kuitenkin oltava suojattu, koska kyberrikokset, kuten identiteettivarkaudet, luottokorttipetokset ja vakoilu, ovat lisääntymässä.
Let’s Encrypt -varmentaja (CA) tarjoaa ilmaisia SSL/TLS-varmenteita, jotka mahdollistavat HTTPS-salauksen verkkopalvelimilla. Se on verkkotunnus vahvistettu, joten erillistä IP-osoitetta ei tarvita. Yleensä suositellaan, että SSL-sertifikaatti on käytössä verkkosivustollasi SEO-sijoituksen parantamiseksi, erityisesti Googlessa.
Let’s Encryptin työt
Let's Encrypt vahvistaa verkkotunnuksen omistajuuden ennen varmenteen antamista. Kun tunnus on vahvistettu, Let’s Encrypt -validointipalvelin tekee HTTP-pyynnön tiedoston hankkimiseksi ja varmistaa, että verkkotunnuksen DNS-tietue osoittaa Let's Encrypt -asiakasta isännöivään palvelimeen.
Vaatimukset
Sinun on tehtävä seuraavat ennen Let’s Encryptin käyttöä:
Noudata tämän ensimmäisen Ubuntu 20.04 -opetusohjelman palvelimen asennuksen ohjeita, kun Ubuntu 20.04 -palvelin on asennettu, palomuuri ja ei-root-käyttäjä, jolla on sudo-käyttöoikeus.
Verkkotunnus rekisteröinnillä. Koko tämän artikkelin ajan käytetään osoitetta myfirstproject1.com. Voit ostaa verkkotunnuksen.
Seuraavat kaksi DNS-tietuetta on määritetty palvelimellesi.
- 'myproject1'-tietue, jossa myfirstproject1.com osoittaa palvelimesi julkiseen IP-osoitteeseen
- 'myproject2'-tietue, jossa myfirstproject2.com osoittaa palvelimesi julkiseen IP-osoitteeseen.
Nginx tulee asentaa, ja sinun on varmistettava, että verkkotunnuksessasi on palvelinlohko.
Let's Encryptin asentamisen vaiheet Digital Oceaniin
Päävaiheet Let’s Encryptin asentamiseksi digitaaliseen valtamereen ovat:
Certbotin asennus
Certbot-ohjelmisto on ensisijainen tarve Let’s Encryptin käyttämiselle SSL-sertifikaatin hankkimiseen. Certbotin ja sen Nginx-laajennuksen asentamiseen käytämme seuraavaa komentoa:
Useimmat jaetut hosting-yritykset ja jotkin pilvipalveluyritykset sisällyttävät Certbotin tai vastaavan laajennuksen verkkosivustojen isännöintipaneeliin, jonka avulla voit ostaa, uusia ja hallinnoida SSL/TLS-varmenteita muutamalla napsautuksella.
'Python3-certbot-nginx' on paketti, jota käytetään:
Osoita välittömästi Let’s Encrypt CA:lle, että olet vastuussa verkkosivustosta.
- Pidä kirjaa siitä, milloin lisenssisi on päivitettävä ja milloin se on vanhentumassa.
- Hanki ja asenna selaimen luotettava varmenne mille tahansa verkkopalvelimelle.
- Autamme tarvittaessa varmenteen peruuttamisessa.
Certbot on nyt valmis käytettäväksi, mutta jotkin sen asetuksista on vahvistettava ennen kuin se voi määrittää SSL:n Nginxille automaattisesti.
Nginxin määritysten tarkistaminen
Certbotin pitäisi pystyä määrittämään SSL automaattisesti. Sen on pystyttävä paikantamaan oikea palvelinlohko Nginx-kokoonpanostasi. Tarkemmin sanottuna se suorittaa tämän etsimällä palvelimen nimidirektiiviä, joka vastaa verkkotunnusta, jolle pyydät varmennetta.
Sillä pitäisi olla jo palvelimen nimidirektiivi oikein määritettynä toimialueen palvelinlohkossa, jota käytämme osoitteessa /etc/nginx/sites-available/myfirstproject1.com.
Avaa verkkotunnuksen määritystiedosto nanossa tai muussa tekstieditorissasi varmistaaksesi, että tiedostosi avataan, jos se on olemassa, sulje editori ja siirry seuraavaan toimintoon. Palvelimen nimi näyttää tältä 'palvelimen_nimi verkkotunnuksen_nimi www.domain_name.com ', kuten alla olevassa katkelmassa näkyy.
Jos se ei muutu, se vastaa. Tarkista konfigurointimuutostesi syntaksi tiedoston tallentamisen ja editorin sulkemisen jälkeen. Tarkista seuraavat ohjeet:
$ sudo nginx –tLataa Nginx uudelleen ladataksesi päivitetyt asetukset sen jälkeen, kun olet varmistanut, että määritystiedostosi syntaksi on oikea:
$ sudo systemctl lataa nginx uudelleenNyt Certbot voi automaattisesti paikantaa oikean palvelinlohkon ja päivittää sen. Systemctl vastaa järjestelmän järjestelmän ja palvelunhallinnan tarkastamisesta ja hallinnasta. Se toimii System V init -daemonin korvaajana ja koostuu useista järjestelmänhallintakirjastoista, työkaluista ja demoneista.
HTTPS:n käyttöönotto palomuurin kautta
Vaaditut suositukset neuvovat sinua ottamaan UFW-palomuurin käyttöön. Sinun on muutettava asetuksia salliaksesi HTTPS-liikenteen.
UFW-tilavaihtoehdon avulla voimme tarkastella UFW:n viimeisintä tilaa. UFW-tila näyttää luettelon säännöksistä, jos UFW on aktivoitu. Tietysti, jos sinulla on tarvittavat tunnistetiedot, voit suorittaa komennon vain pääkäyttäjänä tai lisäämällä sen etuliitteen sudo-komennon.
Ota käyttöön Nginx Full -profiili ja poista tarpeeton Nginx HTTP -profiili salliaksesi myös HTTPS-liikenteen:
Edellinen katkelma näyttää menetelmän, jolla sallitaan täydellinen liikenne Nginxistä, ja toinen näyttää, kuinka muu sallittu liikenne poistetaan.
Kuinka saada SSL-sertifikaatti
Lisäosien avulla Certbot tarjoaa useita tapoja saada SSL-varmenteita. Nginx-laajennus hoitaa Nginxin määrityksen ja kokoonpanon uudelleenlatauksen tarvittaessa.
Käytä Certbotia saadaksesi verkkotunnuksen SSL-varmenteen heti. Toimialueen osoittamiseksi tarvitaan '-d'-argumentti. Let’s Encrypt myöntää yhden varmenteen www-aliverkkotunnukselle ja juurelle. Varmenne on hankittava molemmille versioille, koska vain yksi kummallekin versiolle aiheuttaa varoituksen selaimessa, jos vierailija tarkastelee toista versiota. Uusille käyttäjille certbot pyytää sinua antamaan sähköpostiosoitteesi ensimmäisen kerran ja vahvistamaan, että hyväksyt käyttöehdot.
Jos tämä onnistuu, se pyytää sinua tekemään valintasi ja painamaan ENTER. Määrityksen päivityksen jälkeen Nginx lataa uudelleen ja harkitsee uudet asetukset. Valmistumisen jälkeen certbot ilmoittaa, että toimenpide onnistui.
Johtopäätös
Tässä oppaassa osoitimme kuinka Let’s Encrypt -ohjelmiston certbot asennetaan ja hyödynnetään, SSL-sertifikaatti hankitaan, SSL-varmenteen automaattinen päivitys asetetaan ja Nginx määritetään. Lisäksi annoimme sinulle esimerkkejä tilanteista, jotka voivat aiheuttaa kokoamisongelmia käytettäessä Let’s Encrypt Digital Oceania.