Bagaimana Melakukan Pengaturan Nginx dengan Mari Mengenkripsi Sertifikat?

Panduan langkah-demi-langkah untuk mengimplementasikan Mari Mengenkripsi sertifikat TLS di Nginx.


Mengamankan situs dengan sertifikat TLS sangat penting. Ada dua alasan utama:

  • Amankan transmisi data antara perangkat pengguna ke perangkat pemuatan SSL / TLS
  • Tingkatkan peringkat pencarian Google

Akhir-akhir ini, Google diumumkan situs itu tanpa https: // akan ditandai sebagai “Tidak Aman” di browser chrome.

Jadi ya, Katakan YA ke HTTPS.

Jika Anda menjalankan blog, situs pribadi, non-keanggotaan, situs transaksional non-finansial maka Anda dapat menggunakan sertifikat Mari Enkripsi.

Biarkan Enkripsi menawarkan a Sertifikat GRATIS.

Namun, jika Anda menerima transaksi keuangan, maka Anda mungkin ingin melakukannya sertifikat komersial.

Mari kita terapkan TLS di Nginx…

Saya menganggap Anda sudah menginstal dan menjalankan Nginx jika tidak merujuk panduan instalasi ini.

Ada beberapa cara untuk menyelesaikan ini.

Mari Enkripsi menggunakan Certbot

Salah satu cara termudah dan disarankan untuk menginstalnya.

Certbot menawarkan menu tarik-turun di mana Anda dapat memilih server web dan OS untuk mendapatkan instruksi.

Saya telah memilih Nginx dan Ubuntu seperti yang Anda lihat di bawah.

Dan, saya akan mengeksekusi di bawah ini di server Nginx untuk menginstal plugin certbot.

# apt-get install perangkat lunak-properties-common
# add-apt-repository ppa: certbot / certbot
# apt-get update
# apt-get install python-certbot-nginx

Setelah semuanya baik-baik saja, saatnya untuk menggunakan plugin certbot untuk menginstal sertifikat di Nginx.

Anda dapat menggunakan perintah di bawah ini yang akan mengurus memodifikasi file yang diperlukan untuk mengkonfigurasi sertifikat.

# certbot –nginx

Ini akan memeriksa CN (nama umum) dalam file konfigurasi Nginx yang ada, dan tidak ditemukan maka ia akan meminta Anda untuk masuk.

Ex:

[dilindungi email]: / etc / nginx / sites-available # certbot –nginx
Menyimpan log debug ke /var/log/letsencrypt/letsencrypt.log
Plugin yang dipilih: Authenticator nginx, Installer nginx
Memulai koneksi HTTPS baru (1): acme-v01.api.letsencrypt.org
Tidak ada nama yang ditemukan di file konfigurasi Anda. Silakan masukkan di domain Anda
nama (dipisahkan koma dan / atau spasi) (Masukkan ‘c’ untuk membatalkan): bloggerflare.com
Memperoleh sertifikat baru
Melakukan tantangan berikut:
Tantangan http-01 untuk bloggerflare.com
Menunggu verifikasi…
Membersihkan tantangan
Menyebarkan Sertifikat ke VirtualHost / etc / nginx / situs-enabled / default untuk bloggerflare.com
Silakan pilih apakah akan mengarahkan lalu lintas HTTP ke HTTPS, menghapus akses HTTP.
——————————————————————————-
1: No redirect – Tidak membuat perubahan lebih lanjut pada konfigurasi server web.
2: Redirect – Mengarahkan semua permintaan untuk mengamankan akses HTTPS. Pilih ini untuk
situs baru, atau jika Anda yakin situs Anda berfungsi pada HTTPS. Anda dapat membatalkan ini
ubah dengan mengedit konfigurasi server web Anda.
——————————————————————————-
Pilih nomor yang sesuai [1-2] lalu [masukkan] (tekan ‘c’ untuk membatalkan): 2
Mengarahkan semua lalu lintas pada port 80 ke ssl di / etc / nginx / sites-enabled / default
——————————————————————————-
Selamat! Anda telah berhasil mengaktifkan https://bloggerflare.com
Anda harus menguji konfigurasi Anda di:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
CATATAN PENTING:
– Selamat! Sertifikat dan rantai Anda telah disimpan di:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
File kunci Anda telah disimpan di:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
Sertifikat Anda akan kedaluwarsa pada 2018-05-27. Untuk mendapatkan yang baru atau tweak
versi sertifikat ini di masa mendatang, cukup jalankan certbot lagi
dengan "pasti" pilihan. Untuk secara non-interaktif memperbarui * semua * dari
sertifikat Anda, jalankan "certbot renew"
– Jika Anda menyukai Certbot, silakan pertimbangkan mendukung pekerjaan kami dengan:
Menyumbang ke ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donasi ke EFF: https://eff.org/donate-le
[dilindungi email]: / etc / nginx / sites-available #

Otomatisasi Certbot adalah pintar!

Seperti yang Anda lihat itu telah mengurus semua konfigurasi yang diperlukan untuk membuat Nginx saya siap untuk melayani lebih dari https.

Namun, jika Anda tidak ingin Certbot memodifikasi konfigurasi untuk Anda, maka Anda dapat meminta perintah di bawah ini.

# certbot –nginx certonly

Perintah di atas tidak akan melakukan modifikasi apa pun melainkan hanya memberikan Anda sertifikat sehingga Anda dapat mengkonfigurasi seperti yang Anda inginkan.

Tetapi bagaimana jika Anda tidak bisa atau tidak ingin menggunakan Certbot?

Prosedur Manual

Ada banyak cara untuk mendapatkan sertifikat yang dikeluarkan oleh Let’s Encrypt, tetapi salah satu yang direkomendasikan adalah dari SSL Gratis alat online.

Berikan URL Anda dan lanjutkan dengan metode verifikasi. Setelah diverifikasi, Anda akan mendapatkan sertifikat, kunci pribadi dan CA.

Unduh, dan transfer ke server Nginx. Mari kita simpan di bawah folder ssl (buat jika tidak ada) dari jalur instalasi Nginx

[dilindungi email]: / etc / nginx / ssl # ls -ltr
-rw-r – r– 1 root root 1704 26 Feb 10:04 private.key
-rw-r – r– 1 root root 1647 26 Feb 10:04 ca_bundle.crt
-rw-r – r– 1 root root 3478 26 Feb 10:57 Certificate.crt
[dilindungi email]: / etc / nginx / ssl #

Sebelum melanjutkan dengan modifikasi konfigurasi, Anda harus menyatukan sertifikat.crt dan ca_bundle.crt menjadi satu file. Mari beri nama tlscert.crt

cat Certificate.crt ca_bundle.crt >> tlscert.crt

  • Buka folder yang tersedia situs dan tambahkan berikut ini di file konfigurasi situs masing-masing

server {
dengarkan 443;
ssl aktif;
ssl_certificate /etc/nginx/ssl/tlscert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
}

  • Mulai ulang Nginx

layanan nginx restart

Cobalah untuk mengakses domain masing-masing melalui HTTPS

Jadi begini, itu berhasil!

Selanjutnya, Anda mungkin ingin menguji situs Anda untuk kerentanan SSL / TLS dan memperbaikinya jika ditemukan.

Saya harap ini membantu Anda. Jika Anda tertarik mempelajari Nginx, maka saya akan merekomendasikan mengambil ini kursus online.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map