Ako nastaviť Nginx pomocou programu Encrypt Cert?

Podrobný sprievodca implementáciou Poďme šifrovať certifikát TLS v Nginxe.


Zabezpečenie stránky pomocou certifikátu TLS je nevyhnutné. Existujú dva hlavné dôvody:

  • Zabezpečený prenos údajov medzi zariadením používateľa na vykladacie zariadenie SSL / TLS
  • Vylepšite hodnotenie vo vyhľadávaní Google

V poslednej dobe, Google oznámila, táto stránka bez https: // bude v prehliadači Chrome označená ako „No Secure“.

Takže áno, povedzte ÁNO HTTPS.

Ak prevádzkujete blog, osobný web, nečlenské miesto, nefinančnú transakčnú stránku, môžete ísť na certifikát Poďme šifrovať.

Poďme zašifrovať a BEZPLATNÝ certifikát.

Ak však prijímate finančnú transakciu, možno budete chcieť vyhľadať účet obchodné osvedčenie.

Poďme implementovať TLS v Nginx…

Predpokladám, že už máte nainštalovaný a spustený Nginx, ak nie je uvedený v tejto inštalačnej príručke.

Existuje niekoľko spôsobov, ako to dosiahnuť.

Šifrujme pomocou Certbotu

Jeden z najjednoduchších a odporúčaných spôsobov inštalácie.

Certbot ponúka rozbaľovaciu ponuku, v ktorej si môžete vybrať webový server a OS, aby ste dostali inštrukcie.

Ako vidíte nižšie, vybral som Nginx a Ubuntu.

A na serveri Nginx spustím nižšie uvedený doplnok na inštaláciu doplnku certbot.

# apt-get inštalácia softvéru-vlastnosti-spoločné
# add-apt-repository ppa: certbot / certbot
# apt-get aktualizácia
# apt-get install python-certbot-nginx

Keď je všetko v poriadku, je čas nainštalovať certifikát do Nginx pomocou doplnku certbot.

Môžete použiť príkaz uvedený nižšie, ktorý sa postará o úpravu súboru potrebného na konfiguráciu certifikátu.

# certbot –nginx

Skontroluje CN (bežný názov) v existujúcom konfiguračnom súbore Nginx a nenašiel sa, potom vás vyzve na zadanie.

ex:

[Email protected]: / etc / nginx / sites-available # certbot –nginx
Uloženie protokolu ladenia do /var/log/letsencrypt/letsencrypt.log
Vybrané doplnky: Authenticator nginx, Installer nginx
Začína sa nové pripojenie HTTPS (1): acme-v01.api.letsencrypt.org
V konfiguračných súboroch sa nenašli žiadne názvy. Zadajte svoju doménu
meno (mená) (oddelené čiarkou a / alebo medzerou) (pre zrušenie zadajte „c“): bloggerflare.com
Získanie nového certifikátu
Vykonávanie nasledujúcich výziev:
http-01 výzva pre bloggerflare.com
Čaká sa na overenie…
Čistenie problémov
Nasadený certifikát do VirtualHost / etc / nginx / sites-enabled / default for bloggerflare.com
Vyberte, či chcete presmerovať prenos HTTP na HTTPS a odstrániť prístup HTTP.
——————————————————————————-
1: Bez presmerovania – Vykonajte ďalšie zmeny v konfigurácii webového servera.
2: Presmerovanie – Vykonajte všetky požiadavky presmerované na zabezpečenie prístupu HTTPS. Vyberte pre
nové weby alebo ste si istí, že vaše stránky fungujú na HTTPS. Môžete to vrátiť späť
zmeniť úpravou konfigurácie webového servera.
——————————————————————————-
Vyberte príslušné číslo [1-2] a potom [enter] (stlačením ‘c’ zrušte): 2
Presmeruje všetku komunikáciu na porte 80 na ssl v / etc / nginx / sites-enabled / default
——————————————————————————-
Blahoželáme! Úspešne ste povolili stránku https://bloggerflare.com
Svoju konfiguráciu by ste mali vyskúšať na adrese:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
DÔLEŽITÉ POZNÁMKY:
– Blahoželáme! Váš certifikát a reťazec boli uložené na:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
Váš kľúčový súbor bol uložený na:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
Platnosť vášho certifikátu vyprší dňa 2018-05-27. Získať nové alebo vylepšené
verzie tohto certifikátu v budúcnosti jednoducho znova spustite certbot
s "certonly" voľba. Neinteraktívne obnovovať * všetky * z
vaše certifikáty, spustiť "certbot obnoviť"
– Ak máte radi Certbot, zvážte podporu našej práce:
Darovanie pre ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Darovanie do EFF: https://eff.org/donate-le
[Email protected]: / Etc / Nginx / sites-available #

Automatizácia certifikátov je šikovný!

Ako vidíte, postaral sa o všetky potrebné konfigurácie, aby bol môj Nginx pripravený na doručovanie cez https.

Ak však nechcete, aby Certbot upravil konfiguráciu za vás, môžete jednoducho požiadať o príkaz uvedený nižšie.

# certbot –nginx certonly

Vyššie uvedený príkaz nevykonáva žiadne zmeny, ale iba poskytne certifikát, takže môžete nakonfigurovať požadovaný spôsob.

Čo ak však nemôžete alebo nechcete používať Certbot?

Manuálny postup

Existuje veľa spôsobov, ako získať certifikát vydaný pomocou šifrovania Poďme, ale jeden z odporúčaných je od SSL zadarmo online nástroj.

Zadajte svoju adresu URL a pokračujte v metóde overenia. Po overení získate certifikát, súkromný kľúč a CA.

Stiahnite si ich a preneste ich na server Nginx. Nechajte ich v priečinku ssl (vytvorte, ak neexistuje) inštalačnej cesty Nginx

[Email protected]: / etc / nginx / ssl # ls -ltr
-rw-r – r– 1 root root 1704 február 26 10:04 private.key
-rw-r – r– 1 koreňový koreň 1647 26. februára 26:04 ca_bundle.crt
-rw-r – r– 1 koreňový koreň 3478 26. februára 10:57 certificate.crt
[Email protected]: / Etc / nginx / SSL #

Predtým, ako budete pokračovať v úprave konfigurácie, musíte zreťaziť certifikát.crt a ca_bundle.crt do jedného súboru. Pomenujte ho tlscert.crt

cat certificate.crt ca_bundle.crt >> tlscert.crt

  • Prejdite do priečinka, ktorý je k dispozícii na serveri, a do príslušného konfiguračného súboru lokality pridajte nasledujúce

server {
počúvať 443;
ssl on;
ssl_certificate /etc/nginx/ssl/tlscert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
}

  • Reštartujte aplikáciu Nginx

reštart služby nginx

Pokúste sa získať prístup k príslušnej doméne cez HTTPS

Tak to máte, je to úspech!

Ďalej možno budete chcieť na svojom webe otestovať zraniteľnosť pomocou SSL / TLS a opraviť ich, ak sa nájdu.

Dúfam, že vám to pomôže. Ak máte záujem dozvedieť sa Nginx, odporúčam vám to zobrať online kurz.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map