Com configurar Nginx amb el xifratge de certificats?

Una guia pas a pas per implementar Encriptem el certificat TLS a Nginx.


La protecció del lloc amb certificat TLS és essencial. Hi ha dues raons principals:

  • Transmissió de dades segura entre el dispositiu de descàrrega SSL / TLS del dispositiu de l’usuari
  • Millora la classificació de la cerca de Google

Darrerament, Google anunciat aquest lloc sense https: // es marcaria com a “No segur” al navegador crom.

Així que sí, digueu SÍ a HTTPS.

Si publiqueu un bloc, un lloc personal o que no tingueu membres, el lloc transaccional no financer, pot ser que aneu al certificat Encriptar de Let.

Encriptem oferim un Certificat GRATUT.

Tanmateix, si accepteu una transacció financera, és possible que vulgueu anar a la propietat certificat comercial.

Implementem TLS a Nginx …

Suposo que ja teniu Nginx instal·lat i en funcionament si no consulteu aquesta guia d’instal·lació.

Hi ha diverses maneres d’aconseguir-ho.

Xifrem mitjançant Certbot

Una de les maneres més fàcils i recomanables d’instal·lar-la.

Certbot ofereix un menú desplegable on podeu seleccionar el servidor web i el sistema operatiu per obtenir la instrucció.

He seleccionat Nginx i Ubuntu com es pot veure a continuació.

I, executaré el següent en el servidor Nginx per instal·lar el connector certbot.

# apt-get install software-properties-common
# add-apt-repository ppa: certbot / certbot
# apt-get update
# apt-get install python-certbot-nginx

Un cop bé, ha arribat el moment d’utilitzar un complement de certbot per instal·lar un certificat a Nginx.

Podeu utilitzar la següent comanda que s’encarregarà de modificar el fitxer necessari per configurar el certificat.

# certbot –nginx

Comprovarà el CN ​​(nom comú) al fitxer de configuració existent de Nginx, i no el trobareu i us demanarà que introduïu.

Ex:

[correu electrònic protegit]: / etc / nginx / sites-available # certbot –nginx
Desant el registre de depuració a /var/log/letsencrypt/letsencrypt.log
Connectors seleccionats: nginx Authenticator, nginx Installer
Inicia una nova connexió HTTPS (1): acme-v01.api.letsencrypt.org
No s’han trobat noms als fitxers de configuració. Introduïu el vostre domini
nom (s) (separació de coma i / o espai) (introduïu ‘c’ per cancel·lar): bloggerflare.com
Obtenció d’un nou certificat
Realitzant els següents reptes:
Desafiament de http-01 per a bloggerflare.com
S’espera la verificació…
Netejar reptes
Certificat implementat a VirtualHost / etc / nginx / sites-enabled / default per a bloggerflare.com
Trieu si voleu o no redirigir el trànsit HTTP a HTTPS, eliminant l’accés HTTP.
——————————————————————————-
1: Sense redirecció: no feu més canvis a la configuració del servidor web.
2: redireccionar: feu que totes les sol·licituds rediriguin per accedir a HTTPS. Trieu-ho per a
llocs nous o si esteu segurs que el vostre lloc funciona a HTTPS. Podeu desfer-ho
canvieu editant la configuració del servidor web.
——————————————————————————-
Seleccioneu el número adequat [1-2] i [enter] (premeu ‘c’ per cancel·lar): 2
Redirigint tot el trànsit del port 80 a ssl in / etc / nginx / sites-enabled / default
——————————————————————————-
Enhorabona! Heu activat correctament https://bloggerflare.com
Heu de provar la vostra configuració a:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
NOTES IMPORTANTS:
– Enhorabona! El certificat i la cadena s’han desat a:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
El vostre fitxer clau s’ha desat a:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
El vostre certificat caducarà el 27-05 2018. Per obtenir un contingut nou o ajustat
versió futura d’aquest certificat en el futur, simplement torni a executar certbot
amb el "amb certesa" opció Per renovar de forma interactiva tot * tot
executar els certificats "certbot renovar"
– Si us agrada Certbot, considereu el suport del nostre treball mitjançant:
Donació a ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donació a EFF: https://eff.org/donate-le
[correu electrònic protegit]: / etc / nginx / sites-available #

L’automatització de Certbot és intel·ligent!

Com veieu, ha tingut cura de tota la configuració necessària per preparar el meu Nginx per servir a través de https.

Tanmateix, si no voleu que Certbot modifiqui la configuració, només podeu sol·licitar la comanda següent.

# certbot –nginx amb certesa

La comanda superior no realitzarà cap modificació sinó que només us proporcionarà el certificat perquè pugueu configurar la forma que vulgueu.

Però, si no podeu o no voleu utilitzar Certbot?

Procediment manual

Hi ha moltes maneres d’obtenir el certificat emès per Let’s Encrypt, però una de les recomanades és de SSL de franc eina en línia.

Proporciona la vostra URL i continua amb el mètode de verificació. Un cop verificat, obtindreu el certificat, la clau privada i la CA.

Baixeu-les i transferiu-les al servidor Nginx. Els guardem a la carpeta ssl (creem si no existeix) de la ruta d’instal·lació de Nginx

[correu electrònic protegit]: / etc / nginx / ssl # ls -ltr
-rw-r – r– 1 arrel arrel 1704 26 feb 10:04 private.key
-rw-r – r– 1 arrel arrel 1647 26 feb 10:04 ca_bundle.crt
-rw-r – r– 1 arrel arrel 3478 26 feb 10:57 certificate.crt
[correu electrònic protegit]: / etc / nginx / ssl #

Abans de continuar amb la modificació de configuració, heu de concatenar certificate.crt i ca_bundle.crt en un sol fitxer. Posem el nom de tlscert.crt

cat certificate.crt ca_bundle.crt >> tlscert.crt

  • Vés a la carpeta disponible de llocs i afegeix el següent al fitxer de configuració del lloc respectiu

servidor {
escoltar 443;
ssl en;
ssl_certificat /etc/nginx/ssl/tlscert.crt;
ssl_certificat_key /etc/nginx/ssl/private.key;
}

  • Reinicia Nginx

reiniciar el servei nginx

Proveu d’accedir al domini respectiu mitjançant HTTPS

Així que aquí aneu, és un èxit!

A continuació, potser voldreu provar la vostra vulnerabilitat SSL / TLS i corregir-los si es troben.

Espero que això us ajudi. Si esteu interessats en aprendre Nginx, us recomano fer-ho curs en línia.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map