La oss kryptere SSL -sertifikat
Et sikkert internett er alles etterspørsel nå. Vi foretrekker HTTPS fremfor HTTP da HTTPS -tilkoblinger er sikret med SSL. Data sendt over HTTPS kan ikke sees av tredje eller midtre parter. Dataene er kryptert, og bare den virkelige klienten og serveren kan se dataene i ukryptert original form. I dag gir søkemotorer også sikrede nettsteder mer prioritet, og dermed hjelper det i SEO.
Hvem som helst kan opprette et SSL -sertifikat med få kommandolinjer eller med få museklikk. Men, et sertifikat, som skal stole på, må leveres av en anerkjent sertifikatmyndighet. Prosessen med å skaffe et sertifikat trenger tid og penger. Noen ganger er kostnadene veldig høye avhengig av sertifikatmyndighet og dine krav.
Du kan kryptere dataene mellom webapplikasjonen din og sluttbrukerne ved å opprette sertifikater selv. Men ting går ikke sånn i verden av domene- og serversystem. Sertifikatet ditt må sertifiseres av noen pålitelige tredjepart. Men prosessen skal ikke være komplisert når tilgangen til internett ikke er det. Vi er heller ikke villige til å betale de ekstra kostnadene for å få et sertifikat som vi kan gjøre ved vår egen hånd gratis.
Men på slutten av dagen kan vi ikke omgå de tredjepartene. Nettlesere og andre klientapplikasjoner stoler ikke på sertifikatene som er laget av våre egne hender. De stoler på de som er gitt og signert av de tredjepartene som ble kalt sertifikatmyndigheter. Vi har en løsning på problemet vårt. Det er en sertifikatmyndighet (CA) som heter Let's Encrypt som gir problemfri (i prosess) og gratis Cost TLS/SSL -sertifikater. Du ber bare om et sertifikat for nettstedet ditt ved å bruke forskjellige metoder som vises i denne opplæringen for å få gratis sertifikater for domenene dine, og du er klar til å gå. I motsetning til andre, må sertifikatene levert av Let's Encrypt oppdateres hver tredje måned (90 dager for å være presise). Du kan kjøre noe skript på serveren din eller VPS for å oppdatere sertifikatet automatisk etter noen intervall for å administrere dette fornyelsesproblemet.
Innhenting av la oss kryptere sertifikat
Hvis du er vert for nettstedet ditt på en VPS eller på en plattform der du har Shell Access, kan du få et sertifikat med den offisielle CertBot Acme -klienten. Hvis du er i et delt vertsmiljø, bør vertsleverandøren gi automatisert støtte for Let's Krypt -sertifikater. De fleste populære delte hosting -leverandører gir støtte for Let's Kryptene sertifikater og fornyer sertifikatet automatisk for deg. Hvis hostingleverandøren din ikke gir automatisert støtte for det, kan du kontakte dem for å gjøre dette. De fleste hosting -leverandører har også noen steder på adminpanelet der du kan laste opp sertifikatfilene dine. Sjekk hvilken kategori du faller i og går deretter.
Certbot la oss kryptere klienten
CertBot er den mest populære Let's Encrypt -klienten. Det er tilgjengelig på de fleste store Linux -distros. Her viser jeg hvordan jeg installerer CertBot på en Ubuntu -maskin. For å få den siste versjonen av CertBot, legg til PPA -depotet med følgende kommando.
sudo add-apt-repository ppa: certbot/certbot
Oppdater pakkelisten for den nye endringen:
sudo apt-get oppdatering
Nå, installer CertBot sammen med Apache og Nginx -plugins:
sudo apt-get install certbot python-certbot-apache python-certbot-nginx
Certbot kan automatisk hente og konfigurere sertifikater for Apache og Nginx. La oss si at du vil hente et sertifikat for www.eksempel.com og oppdatere apache -konfigurasjon. Du trenger bare å utføre følgende kommando.
sudo certbot --apache -d www.eksempel.com
CertBot vil stille deg noen nødvendige spørsmål, kjøre utfordring og hente sertifikatet for deg. Den vil oppdatere konfigurasjonen for Apache Web Server og laste inn Apache på nytt. For å teste om ting fungerer ordentlig eller ikke, besøk https: // www.eksempel.com.
Forny sertifikater
La oss kryptere sertifikater er bare gyldige i 90 dager. Så du må oppdatere sertifikatene flere ganger i året. Det er veldig enkelt å oppdatere sertifikater med certbot. Kjør følgende kommandoer for å oppdatere alt sertifikatet på serveren din:
sudo certbot forny
Men det er ikke en god måte å oppdatere det manuelt. Hvis du er på en administrert/delt hosting og den plattformen har bygget i støtte for å oppdatere Let's Krypt -sertifikater, trenger du ikke gjøre noe for hånd. Når du gjør dette på en VPS, dedikert server eller et system der du har tilgang til skall, kan du bruke Cron til å automatisere denne oppgaven med jevne mellomrom.
Bruke la oss kryptere med andre klienter
Acme er en åpen protokoll. Det har også god dokumentasjon. Det er mange klienter for Let's KrypT -sertifikater, og mange er under utvikling. Hvis du har interesse av å utvikle en klient, kan du gjøre det enkelt på din egen måte. Hvis du vet litt Python, kan du se på kildekoden til CertBot og lage en tilpasset for deg selv. Det er også en liste over ACME -klienter på Let's Encrypts nettsted.
Besøk denne lenken for å få listen og bestemme hvilken alternativ løsning du vil bruke. Nesten ingen av dem har all søthet av certbot. Men noen av dem har noen unike funksjoner som kan tiltrekke deg. Hvis du er en programmerer og har noen unike krav, kan du prøve å implementere det selv.
Manuell metode
Noen hostingleverandører tillater bare manuell opplasting av sertifikater. I så fall må du hente sertifikatene manuelt fra Let's Krypt og laste dem opp gjennom ditt hosting admin -dashbord (eller hvilken mekanisme de gir). For å hente sertifikatfilen må du bruke den 'manuelle' certbot -plugin og spesifisere 'certonly' -parameteren. Med den manuelle metoden må du bevise at domenet du ber om sertifikat for er virkelig ditt. Pluginen kan bruke HTTP, DNS eller TLS-SNI-utfordringen. Du kan bruke -foretrukne challenges Alternativ for å velge utfordringen med din preferanse. Hvis du foretrekker http Metode da vil den be deg om å legge noen filer med spesifisert innhold i en eller annen katalog på nettstedet/web-serveren. Kontroller eierskapet ditt og svar på andre spørsmål for å få sertifikatet ditt.
Certbot Certonly -Manual
Du kan også spesifisere kommandolinjeparametere for å godta tjenestevilkår og fornye sertifikatet.
Når du er uheldig
Noen hostingleverandører gir ingen måte å legge til at ekstra 's' til 'http' - jeg mener de gir ingen måte å legge til SSL -sertifikater. For noen må du laste opp sertifikatfilene manuelt. Et eksempel er Google App Engine og et annet er OpenShift. Men det er et problem å laste opp sertifikatet på nytt hver 90 dag. Du glemmer kanskje noen ganger. Igjen, hvis du har mer enn ett eller to nettsteder, vil det være mer sannsynlig at du vil glemme. Hvis du ikke er komfortabel med kommandolinjen eller ikke er komfortabel med å jobbe med serverne gjennom SSH -skjell, er du igjen i uflaks.
Konklusjon
Let's Encrypt har gjort livet til webansvarlige lettere ved å gi en måte å skaffe sertifikatene umiddelbart i stedet for å vente på godkjenning fra CAS etter å ha sendt forespørselen. En annen fordel er at du får alt gratis. Husk å oppdatere sertifikatet med all godhet, bare å oppdatere sertifikatet før hver 90 dag. Ellers kan brukerne dine få et rødt signal, og du kan miste noen publikum/kunder som et resultat. Du kan også fornye sertifikatet noen få dager, men det kan treffe grensen, og du kan ikke fornye sertifikatet på noen tid. Så vær forsiktig med å bruke en så god tjeneste.