Kaip nustatyti „Nginx“ naudojant „Let’s Encrypt Cert“?

Išsamus „Let’s Encrypt TLS“ sertifikato diegimo „Nginx“ vadovas.


Būtina apsaugoti svetainę su TLS sertifikatu. Yra dvi pagrindinės priežastys:

  • Saugus duomenų perdavimas iš vartotojo įrenginio į SSL / TLS perkėlimo įrenginį
  • Pagerinkite „Google“ paieškos reitingą

Pastaruoju metu „Google“ paskelbta ši svetainė be „https: //“ „Chrome“ naršyklėje būtų pažymėta kaip „Saugoma“.

Taigi taip, pasakykite TAIP HTTPS.

Jei naudojate internetinį dienoraštį, asmeninę svetainę, kuri nėra jūsų narystė, nefinansinių operacijų svetainė, galite kreiptis į „Let’s Encrypt“ sertifikatą..

Užšifruokime pasiūlymą NEMOKAMAS pažymėjimas.

Tačiau, jei jūs sutinkate su finansine operacija, tuomet galite pasirinkti komercinis pažymėjimas.

Įdiegkime TLS „Nginx“ …

Aš manau, kad jūs jau esate įdiegę „Nginx“ ir paleisite, jei nenurodysite šio diegimo vadovo.

Yra keli būdai, kaip tai padaryti.

Užšifruokime naudodami „Certbot“

Vienas iš paprasčiausių ir rekomenduojamų būdų jį įdiegti.

„Certbot“ siūlo išskleidžiamąjį meniu, kuriame galite pasirinkti žiniatinklio serverį ir OS, kad gautumėte instrukcijas.

Kaip pasirinkote žemiau, pasirinkau „Nginx“ ir „Ubuntu“.

Aš atliksiu toliau nurodytą informaciją „Nginx“ serveryje norėdamas įdiegti „certbot“ papildinį.

# apt-get įdiegti programinę įrangą-properties-common
# add-apt-repository ppa: certbot / certbot
# apt-get atnaujinimas
# apt-get įdiegti python-certbot-nginx

Kai viskas gerai, laikas naudoti „certbot“ papildinį ir įdiegti sertifikatą „Nginx“.

Galite naudoti žemiau pateiktą komandą, kuri pasirūpins reikiamo failo, reikalingo sertifikatui sukonfigūruoti, modifikavimu.

# certbot –nginx

Jis patikrins CN (įprastą pavadinimą) esamame „Nginx“ konfigūracijos faile, o nerastas, tada paprašys įvesti.

Pvz .:

[apsaugotas el. paštu]: / etc / nginx / site-available # certbot –nginx
Įrašomas derinimo žurnalas aplanke /var/log/letsencrypt/letsencrypt.log
Pasirinkti papildiniai: „Authenticator nginx“, „Installer nginx“
Naujo HTTPS ryšio užmezgimas (1): acme-v01.api.letsencrypt.org
Jūsų konfigūracijos failuose nerasta jokių vardų. Įveskite savo domeną
vardas (-ai) (atskirtas kableliais ir (arba) tarpais) (norėdami atšaukti, įveskite „c“): tinklaraščio svetainė
Gauti naują pažymėjimą
Atlikite šiuos iššūkius:
„http-01“ iššūkis tinklaraščių tinklalapiui
Laukiama patikrinimo…
Išvalyti iššūkius
Įdiegtas „VirtualHost“ / etc / nginx / svetainių įjungtas / numatytasis pažymėjimas tinklalapiui „bloggerflare.com“
Pasirinkite, ar peradresuoti HTTP srautą į HTTPS, pašalindami HTTP prieigą.
——————————————————————————-
1: Nėra peradresavimo – daugiau nekeiskite žiniatinklio serverio konfigūracijos.
2: peradresavimas – visas užklausas nukreipkite į saugią prieigą prie HTTPS. Pasirinkite tai
naujų svetainių arba jei esate tikri, kad jūsų svetainė veikia HTTPS. Galite tai anuliuoti
pakeiskite redaguodami savo žiniatinklio serverio konfigūraciją.
——————————————————————————-
Pasirinkite reikiamą skaičių [1-2], tada [įveskite] (paspauskite ‘c’, jei norite atšaukti): 2
Viso srauto nukreipimas į 80 prievadą į „ssl“ į / etc / nginx / svetainės įjungtas / numatytasis
——————————————————————————-
Sveikiname! Sėkmingai įgalinote https://bloggerflare.com
Turėtumėte išbandyti savo konfigūraciją:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
SVARBIOS PASTABOS:
– Sveikiname! Jūsų sertifikatas ir grandinė buvo išsaugoti adresu:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
Jūsų rakto failas buvo išsaugotas:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
Jūsų pažymėjimas baigsis 2018-05-27. Norėdami gauti naują ar pakoreguotą
ateityje naudokite šio sertifikato versiją, dar kartą paleiskite „certbot“
su "tvirtai" variantas. Ne interaktyviai atnaujinti * visus * iš
savo sertifikatus, paleisk "sertifikatų atnaujinimas"
– Jei jums patinka „Certbot“, apsvarstykite galimybę palaikyti mūsų darbą:
Paaukoti ISRG / Užšifruokime: https://letsencrypt.org/donate
Paaukoti EFF: https://eff.org/donate-le
[apsaugotas el. paštu]: / etc / nginx / site-available #

„Certbot“ automatika yra protingas!

Kaip matote, ji pasirūpino visa reikalinga konfigūracija, kad mano „Nginx“ būtų pasirengusi naudoti per https.

Tačiau, jei nenorite, kad „Certbot“ modifikuotų jūsų konfigūraciją, galite tiesiog paprašyti žemiau pateiktos komandos.

# certbot –nginx certonly

Aukščiau pateikta komanda neatliks jokių pakeitimų, o tik pateiks sertifikatą, kad galėtumėte konfigūruoti taip, kaip norite.

O kas, jei jūs negalite ar nenorite naudoti „Certbot“?

Rankinė procedūra

Yra daugybė būdų, kaip gauti sertifikatą, išduotą „Let’s Encrypt“, tačiau vienas iš rekomenduojamų yra iš SSL nemokamai internetinis įrankis.

Pateikite savo URL ir toliau naudokite patvirtinimo metodą. Patvirtinę gausite sertifikatą, privatų raktą ir CA.

Atsisiųskite juos ir perkelkite į Nginx serverį. Laikykime juos „Nginx“ diegimo kelio „ssl“ aplanke (sukurkite, jei jo nėra)

[apsaugotas el. paštu]: / etc / nginx / ssl # ls -ltr
-rw-r – r– 1 šaknies šaknis 1704 Vas 26 26 10:04 private.key
-rw-r – r– 1 šaknies šaknis 1647 Vas 26 26 10:04 ca_bundle.crt
-rw-r – r– 1 šaknies šaknis 3478 Vas 26 26 10:57 certificate.crt
[apsaugotas el. paštu]: / etc / nginx / ssl #

Prieš atlikdami konfigūracijos modifikavimą, turite sujungti certificate.crt ir ca_bundle.crt į vieną failą. Pavadinkime tai tlscert.crt

katės pažymėjimas.crt ca_bundle.crt >> tlscert.crt

  • Eikite į galimą svetainių aplanką ir pridėkite šiuos dalykus atitinkamame svetainės konfigūracijos faile

serveris {
klausytis 443;
ssl;
ssl_certificate /etc/nginx/ssl/tlscert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
}

  • Iš naujo paleiskite „Nginx“

paslaugų nginx paleidimas iš naujo

Pabandykite pasiekti atitinkamą domeną per HTTPS

Taigi, štai, jūs einate į sėkmę!

Kitas, galbūt norėsite išbandyti savo svetainę dėl SSL / TLS pažeidžiamumo ir ištaisyti, jei ji rasta.

Tikiuosi, kad tai jums padės. Jei jus domina mokymasis „Nginx“, tuomet rekomenduočiau tai padaryti internetinis kursas.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map