Et nettsteds domene må ha SSL/TLS -kryptering hvis det har til hensikt å få besøkende. SSL/TLS -sertifikater gir en sterk forbindelse mellom webservere og nettlesere. Tidligere var ikke sikkerheten en stor bekymring. Det var relativt vanlig at nettsteder leverer data via den etablerte HTTP -protokollen. I dag må kanalen som brukes til å kommunisere med serveren, være sikret, fordi nettkriminalitet inkludert identitetstyveri, kredittkortsvindel og spionasje øker.
En sertifikatmyndighet (CA) kalt Let's Encrypt tilbyr gratis SSL/TLS -sertifikater, noe som muliggjør HTTPS -kryptering på webservere. Det er domene bekreftet, så en dedikert IP -adresse er ikke nødvendig. Det anbefales vanligvis å ha et SSL -sertifikat aktivert på nettstedet ditt å forbedre SEO -rangeringen, spesielt på Google.
Let oss krypteres
La oss kryptere bekrefter domeneeierskap før du gir et sertifikat. Når tokenet er validert, lager Let's Encrypt Validation Server en HTTP -forespørsel om å skaffe filen og sikrer at domenets DNS -post peker på serveren som er vert for Let's Encrypt -klienten.
Krav
Du må gjøre følgende før du bruker Let's Krypt:
Etter instruksjonene i dette første serveroppsettet for Ubuntu 20.04 Opplæring, en gang Ubuntu 20.04 Server er konfigurert, komplett med en brannmur og en ikke-root-bruker med SUDO-tilgang.
Et domenenavn med registrering. Gjennom denne artikkelen, MyFirstProject1.com vil bli brukt. Du kan kjøpe et domene.
Følgende to DNS -poster er konfigurert på serveren din.
Nginx skal installeres, og du må sørge for at domenet ditt har en serverblokk.
Trinn for å installere La oss kryptere på digitalt hav
Hovedtrinnene for å installere La oss kryptere på det digitale havet er:
Installere CertBot
Certbot -programvaren er det primære behovet for å bruke la oss kryptere for å få et SSL -sertifikat. For å installere CertBot og dens Nginx -plugin bruker vi følgende kommando:
De fleste delte vertsselskaper og noen skyhotellfirmaer inneholder certbot eller en lignende plugin i webhotellpanelet som lar deg kjøpe, fornye og administrere SSL/TLS -sertifikater ved å ha noen klikk.
Mens “Python3-certbot-nginx” er en pakke som brukes til:
Demonstrer umiddelbart for Let's KrypT CA at du har ansvaret for nettstedet.
Certbot er nå klar for bruk, men noen av innstillingene må bekreftes før den kan sette opp SSL for Nginx automatisk.
Verifisere Nginxs konfigurasjon
Certbot skal kunne konfigurere SSL automatisk. Den må kunne lokalisere riktig serverblokk i NGINX -konfigurasjonen. Mer presist oppnår det dette ved å søke etter et servernavndirektiv som tilsvarer domenet du ber om et sertifikat for.
Det skal allerede ha servernavndirektivet riktig konfigurert i en serverblokk for domenet, som vi vil bruke på “/etc/nginx/nettsteder-tilgjengelig/myfirstproject1.com ”.
Åpne domenekonfigurasjonsfilen i Nano eller den andre tekstredigereren for å bekrefte at filen din blir åpnet hvis den eksisterer, lukk redigereren din og gå til neste handling. Servernavnet vil se ut som “Server_name Domain_name www.domenenavn.com ”, som vist i utdraget nedenfor.
Hvis det ikke endres, tilsvarer det. Kontroller syntaks for konfigurasjonsmodifikasjonene dine etter å ha lagret filen og lukk redigereren. Bruk den påfølgende instruksjonen for å sjekke:
$ sudo nginx -t
Last inn Nginx på nytt For å laste inn den oppdaterte konfigurasjonen etter å ha sørget for at konfigurasjonsfilens syntaks er riktig:
$ sudo SystemCTL Reload Nginx
Nå kan CertBot automatisk finne riktig serverblokk og oppdatere den. En SystemCTL er ansvarlig for å inspisere og administrere SystemD System and Service Management. Det fungerer som System V Init Daemon's erstatning og består av flere systemadministrasjonsbiblioteker, verktøy og demoner.
Aktivering av HTTPS via brannmuren
De nødvendige anbefalingene råder deg til å aktivere UFW -brannmuren. Du må endre innstillingene for å tillate HTTPS -trafikk.
UFW -statusalternativet gjør at vi kan se UFWs siste tilstand. UFW -statusen viser en liste over forskrifter hvis UFW er aktivert. Hvis du har nødvendig legitimasjon, kan du selvfølgelig bare kjøre kommandoen som rotbruker eller ved å prefiksere den med sudo.
Aktiver Nginx full profil og fjern den unødvendige Nginx HTTP -profilen for å tillate HTTPS -trafikk også:
Det forrige utdraget viser metoden for å tillate fullstendig trafikk fra Nginx, og den andre viser hvordan du sletter den andre trafikken vi tillot.
Hvordan få et SSL -sertifikat
Ved hjelp av plugins tilbyr CertBot flere måter å få SSL -sertifikater. Nginxs konfigurasjon og omlasting av konfigurasjonen vil bli håndtert av Nginx -plugin etter behov.
Bruk sertifikatet for å få domenets SSL -sertifikat med en gang. For å indikere domenet, er det nødvendig med et "-d" -argument. Ett sertifikat utstedes av Let's Krypter for WWW -underdomenet og roten. Det er nødvendig å skaffe sertifikatet for begge versjoner, siden det å ha bare en for en av versjonene vil resultere i en advarsel i nettleseren hvis en besøkende ser på den andre versjonen. For nye brukere ber CertBot deg om å oppgi e -posten din for den første og bekrefte at du samtykker til vilkårene for tjenesten.
Hvis dette var vellykket, vil det be deg om å gjøre ditt valg og trykke Enter. Etter å ha oppdatert konfigurasjonen, vil NGINX laste på nytt og vurdere de nye innstillingene. Etter endt vil CertBot gi deg beskjed om at prosedyren var vellykket.
Konklusjon
I denne guiden demonstrerte vi hvordan du installerer og bruker Let's Encrypt Software Certbot, får et SSL-sertifikat, setter opp auto-oppdateringen for et SSL-sertifikat og konfigurerer Nginx. I tillegg ga vi deg også noen eksempler på situasjoner som kan resultere i kompileringsproblemer når du bruker Let's Encrypt Digital Ocean.