Kuidas seadistada Nginxit Let’s Encrypt Cert abil?

Üksikasjalik juhend Let’s Encrypt TLS sertifikaadi rakendamiseks Nginxis.


Oluline on saidi turvamine TLS-sertifikaadiga. Sellel on kaks peamist põhjust:

  • Turvaline andmeedastus kasutaja seadme vahel SSL / TLS-i laadimisseadmesse
  • Parandage Google’i otsingu paremusjärjestust

Viimasel ajal Google teatas see sait ilma https: // -ga märgitaks Chrome’i brauseris väärtuseks “Pole turvalist”.

Nii et jah, öelge JAH HTTPS-ile.

Kui teil on ajaveeb, isiklik sait, mitte liikmeks saamine, mittefinantstehingute sait, võite proovida Let’s Encrypt sertifikaati.

Krüptime pakkumise a TASUTA sertifikaat.

Kui aga aktsepteerite finantstehingut, võiksite proovida ärisertifikaat.

Rakendame TLS-i Nginxis …

Ma eeldan, et teil on Nginx juba installitud ja töötab, kui te ei vaata seda installijuhendit.

Selle saavutamiseks on mitu võimalust.

Krüptime Certboti abil

Üks lihtsamaid ja soovitatavaid viise selle installimiseks.

Certbot pakub rippmenüüd, kus saate veebiserveri ja OS-i valida juhiste saamiseks.

Nagu allpool näete, olen valinud Nginxi ja Ubuntu.

Ja ma täidan allpool Nginxi serveris sertboti pistikprogrammi installimiseks.

# apt-get install tarkvara-omadused-üldine
# add-apt-repository ppa: certbot / certbot
# apt-get värskendus
# apt-get install python-certbot-nginx

Kui kõik on korras, on aeg kasutada sertifikaadi installimiseks Nginxisse sertboti pistikprogrammi.

Võite kasutada alltoodud käsku, mis hoolitseb sertifikaadi konfigureerimiseks vajaliku faili muutmise eest.

# certbot –nginx

See kontrollib CN-i (üldnime) olemasolevas Nginxi konfiguratsioonifailis ja seda ei leitud, siis palub see sisestada.

Näide:

[e-posti aadress on kaitstud]: / etc / nginx / sites-available # certbot –nginx
Silumislogi salvestamine kausta /var/log/letsencrypt/letsencrypt.log
Valitud pistikprogrammid: Authenticator nginx, Installer nginx
Uue HTTPS-ühenduse loomine (1): acme-v01.api.letsencrypt.org
Teie konfiguratsioonifailidest ei leitud ühtegi nime. Sisestage oma domeen
nimi (nimed) (koma ja / või tühik eraldatud) (tühistamiseks sisestage c): bloggerflare.com
Uue sertifikaadi saamine
Järgmiste väljakutsete täitmine:
http-01 väljakutse ajaveebiflare.com jaoks
Ootan kinnitust…
Väljakutsete koristamine
Juurutatud sertifikaat saidile VirtualHost / etc / nginx / saidid lubatud / vaikimisi veebilehe bloggerflare.com jaoks
Valige, kas suunata HTTP-liiklus HTTPS-i või mitte, eemaldades HTTP-juurdepääsu.
——————————————————————————-
1: ümbersuunamist pole – veebiserveri konfiguratsioonis ei tohi enam mingeid muudatusi teha.
2: ümbersuunamine – kõigi taotluste ümbersuunamine, et tagada HTTPS-i juurdepääs. Valige see
uusi saite või kui olete kindel, et teie sait töötab HTTPS-is. Võite selle tagasi võtta
muutmiseks muutke oma veebiserveri konfiguratsiooni.
——————————————————————————-
Valige sobiv arv [1-2], seejärel [sisestage] (tühistamiseks vajutage c): 2
Kogu pordi 80 liikluse ümbersuunamine ssl-le kataloogis / etc / nginx / site-enabled / default
——————————————————————————-
Palju õnne! Olete https://bloggerflare.com edukalt sisse lülitanud
Te peaksite oma konfiguratsiooni proovima aadressil:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
TÄHTISED MÄRKUSED:
– Palju õnne! Teie sertifikaat ja kett on salvestatud aadressil:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
Teie võtmefail on salvestatud aadressile:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
Teie ametiaeg kaotab kehtivuse 2018-05-27. Uue või näpuotsa saamiseks
tulevikus selle sertifikaadi versiooni, käivitage lihtsalt uuesti sertbot
koos "kindlalt" valik. Mitte interaktiivselt * kõigi * uuendamine
oma sertifikaadid, jookse "certboti uuendamine"
– Kui teile meeldib Certbot, kaaluge meie töö toetamist:
Annetus ISRG-le / Krüpteerime: https://letsencrypt.org/donate
EFF-ile annetamine: https://eff.org/donate-le
[e-posti aadress on kaitstud]: / etc / nginx / sites-available #

Certboti automaatika on nutikad!

Nagu näete, on ta hoolitsenud kõigi vajalike seadistuste eest, et mu Nginx oleks valmis üle https-i teenindama.

Kui te aga ei soovi, et Certbot teie jaoks konfiguratsiooni muudaks, võite lihtsalt taotleda alltoodud käsku.

# certbot –nginx certonly

Ülaltoodud käsk ei muuda mingeid muudatusi, selle asemel antakse teile lihtsalt sertifikaat, et saaksite soovitud viisil konfigureerida.

Mis siis saab, kui te ei saa või ei taha Certbotit kasutada?

Käsitsi protseduur

Let’s Encrypt välja antud sertifikaadi saamiseks on palju võimalusi, kuid üks soovitatud on pärit SSL tasuta veebitööriist.

Esitage oma URL ja jätkake kinnitusmeetodiga. Pärast kontrollimist saate sertifikaadi, privaatvõtme ja CA.

Laadige need alla ja laadige Nginxi serverisse. Hoidkem neid Nginxi installitee tee ssl-kausta all (looge, kui seda pole olemas)

[e-posti aadress on kaitstud]: / etc / nginx / ssl # ls-ltr
-rw-r – r– 1 juurjuur 1704 26. veebr 10:04 private.key
-rw-r – r– 1 juurejuur 1647 26. veebruar 10:04 ca_bundle.crt
-rw-r – r– 1 juurjuur 3478 26. veebruar 10:57 tunnistus.crt
[e-posti aadress on kaitstud]: / etc / nginx / ssl #

Enne konfiguratsiooni muutmise jätkamist peate sert.crt ja ca_bundle.crt ühendama ühte faili. Nimetagem seda tlscert.crt

kassi tunnistus.crt ca_bundle.crt >> tlscert.crt

  • Minge saitidele saadaolevasse kausta ja lisage vastava saidi konfiguratsioonifaili järgmine teave

server {
kuula 443;
ssl peal;
ssl_certificate /etc/nginx/ssl/tlscert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
}

  • Taaskäivitage Nginx

teenuse nginx taaskäivitamine

Proovige vastava domeeni juurde pääseda HTTPS-i kaudu

Nii et siit edasi, see on edu!

Järgmisena võiksite proovida oma saiti SSL / TLS-i haavatavuse suhtes ja parandada need, kui need leitakse.

Loodan, et see aitab teid. Kui olete huvitatud Nginxi õppimisest, siis soovitaksin seda kasutada veebikursus.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map