Come impostare Nginx con Let’s Encrypt Cert?

Una guida dettagliata all’implementazione del certificato TLS Encrypt in Nginx.


È essenziale proteggere il sito con il certificato TLS. Ci sono due ragioni principali:

  • Trasmissione sicura dei dati tra il dispositivo dell’utente e il dispositivo di offloading SSL / TLS
  • Migliora il ranking di ricerca di Google

Ultimamente, Google annunciato quel sito senza https: // sarebbe contrassegnato come “No Secure” nel browser Chrome.

Quindi sì, dì SÌ a HTTPS.

Se stai gestendo un blog, un sito personale, non appartenenza, il sito transazionale non finanziario, puoi scegliere il certificato Let’s Encrypt.

Offriamo Encrypt a Certificato GRATUITO.

Tuttavia, se stai accettando una transazione finanziaria, allora potresti voler scegliere certificato commerciale.

Implementiamo TLS in Nginx …

Presumo che tu abbia già installato e funzionante Nginx se non fai riferimento a questa guida all’installazione.

Esistono diversi modi per farlo.

Crittografiamo usando Certbot

Uno dei modi più semplici e consigliati per installarlo.

Certbot offre un menu a discesa in cui è possibile selezionare il server Web e il sistema operativo per ottenere le istruzioni.

Ho selezionato Nginx e Ubuntu come puoi vedere di seguito.

E eseguirò quanto segue sul server Nginx per installare il plug-in certbot.

# apt-get install software-properties-common
# add-apt-repository ppa: certbot / certbot
# apt-get update
# apt-get install python-certbot-nginx

Una volta tutto a posto, è il momento di utilizzare un plug-in certbot per installare un certificato in Nginx.

È possibile utilizzare il comando seguente che si occuperà di modificare il file necessario per configurare il certificato.

# certbot –nginx

Controllerà il CN (nome comune) nel file di configurazione Nginx esistente e non verrà trovato, quindi ti chiederà di inserire.

Ex:

[Email protected]: / etc / nginx / sites-available # certbot –nginx
Salvataggio del registro di debug in /var/log/letsencrypt/letsencrypt.log
Plugin selezionati: Authenticator nginx, Installer nginx
Avvio di una nuova connessione HTTPS (1): acme-v01.api.letsencrypt.org
Nessun nome trovato nei file di configurazione. Inserisci nel tuo dominio
nome (i) (virgola e / o spazio separati) (inserire ‘c’ per annullare): bloggerflare.com
Ottenere un nuovo certificato
Eseguendo le seguenti sfide:
http-01 sfida per bloggerflare.com
In attesa di verifica…
Risolvere le sfide
Certificato distribuito su VirtualHost / etc / nginx / sites-enabled / default per bloggerflare.com
Scegli se reindirizzare o meno il traffico HTTP su HTTPS, rimuovendo l’accesso HTTP.
——————————————————————————-
1: Nessun reindirizzamento – Non apportare ulteriori modifiche alla configurazione del server web.
2: Reindirizzamento: effettua tutte le richieste di reindirizzamento per proteggere l’accesso HTTPS. Scegli questo per
nuovi siti o se sei sicuro che il tuo sito funzioni su HTTPS. Puoi annullare questo
cambia modificando la configurazione del tuo server web.
——————————————————————————-
Selezionare il numero appropriato [1-2] quindi [invio] (premere ‘c’ per annullare): 2
Reindirizzamento di tutto il traffico sulla porta 80 su ssl in / etc / nginx / siti-enabled / default
——————————————————————————-
Congratulazioni! Hai abilitato correttamente https://bloggerflare.com
Dovresti testare la tua configurazione su:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
NOTE IMPORTANTI:
– Congratulazioni! Il certificato e la catena sono stati salvati su:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
Il tuo file chiave è stato salvato in:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
Il tuo certificato scadrà il 27/05/2018. Per ottenere un nuovo o ottimizzato
versione di questo certificato in futuro, è sufficiente eseguire nuovamente certbot
con il "certonly" opzione. Per rinnovare in modo non interattivo * tutto * di
i tuoi certificati, corri "certbot rinnova"
– Se ti piace Certbot, considera di sostenere il nostro lavoro:
Donazione a ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donazione a EFF: https://eff.org/donate-le
[Email protected]: / Etc / nginx / siti disponibile #

L’automazione Certbot è inteligente!

Come puoi vedere, ha curato tutta la configurazione necessaria per rendere il mio Nginx pronto per essere pubblicato su https.

Tuttavia, se non desideri che Certbot modifichi la configurazione per te, puoi semplicemente richiedere il comando seguente.

# certbot –nginx con certezza

Il comando sopra non eseguirà alcuna modifica, ma ti fornirà semplicemente il certificato in modo da poter configurare nel modo desiderato.

Ma cosa succede se non puoi o non vuoi usare Certbot?

Procedura manuale

Esistono molti modi per ottenere il certificato rilasciato da Let’s Encrypt, ma uno dei consigliati è di SSL gratis strumento online.

Fornisci il tuo URL e procedi con il metodo di verifica. Una volta verificato, otterrai il certificato, la chiave privata e la CA..

Scaricali e trasferiscili sul server Nginx. Teniamoli nella cartella ssl (crea se non esiste) del percorso di installazione di Nginx

[Email protected]: / etc / nginx / ssl # ls -ltr
-rw-r – r– 1 radice radice 1704 26 febbraio 10:04 chiave privata
-rw-r – r– 1 radice radice 1647 26 febbraio 10:04 ca_bundle.crt
-rw-r – r– 1 radice radice 3478 26 febbraio 10:57 certificate.crt
[Email protected]: / Etc / nginx / ssl #

Prima di procedere con la modifica della configurazione, è necessario concatenare certificate.crt e ca_bundle.crt in un singolo file. Chiamiamolo tlscert.crt

cat certificate.crt ca_bundle.crt >> tlscert.crt

  • Vai alla cartella dei siti disponibili e aggiungi quanto segue nel rispettivo file di configurazione del sito

server {
ascolta 443;
ssl on;
ssl_certificate /etc/nginx/ssl/tlscert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
}

  • Riavvia Nginx

riavvio del servizio nginx

Prova ad accedere al rispettivo dominio su HTTPS

Quindi ecco qua, è successo!

Successivamente, potresti voler testare il tuo sito per la vulnerabilità SSL / TLS e correggerli se trovati.

Spero che questo ti aiuta. Se sei interessato a imparare Nginx, allora consiglierei di prenderlo corso online.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map