Kako nastaviti Nginx s programom Let’s Encrypt Cert?

Navodila po korakih za implementacijo potrdila Let’s Šifriraj TLS v Nginxu.


Zaščita mesta s certifikatom TLS je bistvenega pomena. Dva glavna razloga sta:

  • Varen prenos podatkov med uporabnikovo napravo na SSL / TLS napravo za razkladanje
  • Izboljšate razvrstitev v Googlovem iskanju

V zadnjem času Google napovedal bo to spletno mesto brez https: // v brskalniku Chrome označeno kot »Ni varno«.

Torej, da, recite DA HTTPS.

Če imate spletni dnevnik, osebno spletno mesto, nečlanstvo, nefinančno spletno mesto, potem lahko poiščete potrdilo Let’s Encrypt.

Ponudimo šifriranje BREZPLAČNO potrdilo.

Če pa sprejemate finančno transakcijo, boste morda želeli nadaljevati komercialno potrdilo.

Uvedimo TLS v Nginxu …

Predvidevam, da že imate nameščen in zagnan Nginx, če ne upoštevate tega priročnika za namestitev.

Obstaja več načinov, kako to doseči.

Šifrirajmo s pomočjo Certbota

Eden najlažjih in priporočljivih načinov namestitve.

Certbot ponuja spustni meni, v katerem lahko izberete spletni strežnik in OS, da dobite navodilo.

Izbral sem Nginx in Ubuntu, kot lahko vidite spodaj.

Na strežniku Nginx bom izvedel spodaj, da namestim vtičnik certbot.

# apt – namestite programske lastnosti-pogoste
# add-apt-repository ppa: certbot / certbot
# apt-get update
# apt – namestite python-certbot-nginx

Ko je vse v redu, je čas, da s pomočjo vtičnika certbot namestite potrdilo v Nginx.

Lahko uporabite spodnji ukaz, ki bo poskrbel za spreminjanje potrebne datoteke za konfiguracijo potrdila.

# certbot –nginx

Preveril bo CN (splošno ime) v obstoječi konfiguracijski datoteki Nginx, in ni bil najden, potem vas bo pozval, da vnesete.

Primer:

[zaščitena e-pošta]: / etc / nginx / mesta na voljo # certbot –nginx
Shranjevanje dnevnika za odpravljanje napak v /var/log/letsencrypt/letsencrypt.log
Izbrani vtičniki: Authenticator nginx, Installer nginx
Zagon nove povezave HTTPS (1): acme-v01.api.letsencrypt.org
V konfiguracijskih datotekah ni bilo najdenih imen. Vnesite v svojo domeno
imena (imena) (ločena vejica in / ali presledka) (vnesite ‘c’ za preklic): bloggerflare.com
Pridobitev novega potrdila
Izvajanje naslednjih izzivov:
http-01 izziv za bloggerflare.com
Čakam na preverjanje…
Čiščenje izzivov
Porazdeljeno potrdilo za VirtualHost / etc / nginx / omogočeno / privzeto za bloggerflare.com
Izberite, ali želite preusmeriti promet HTTP na HTTPS in odstraniti dostop HTTP.
——————————————————————————-
1: Brez preusmeritve – ne spreminjajte konfiguracije spletnega strežnika.
2: Preusmeritev – vse zahteve preusmerite, da zagotovite HTTPS dostop. Izberite to za
nova spletna mesta ali če ste prepričani, da vaše spletno mesto deluje na HTTPS. To lahko razveljavite
spremenite z urejanjem konfiguracije spletnega strežnika.
——————————————————————————-
Izberite ustrezno številko [1-2] in nato [enter] (pritisnite ‘c’ za preklic): 2
Preusmerite ves promet na vratih 80 na ssl v / etc / nginx / default-default / default
——————————————————————————-
Čestitamo! Uspešno ste omogočili https://bloggerflare.com
Konfiguracijo preizkusite na:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
POMEMBNE OPOMBE:
– Čestitamo! Vaš certifikat in veriga sta bila shranjena na:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
Vaša ključna datoteka je bila shranjena na:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
Vaš cert poteče 2018-05-27. Za pridobitev novega ali potegnjenega
različico tega potrdila v prihodnosti preprosto ponovno zaženite certbot
s "certonly" možnost. Neinteraktivno obnoviti * vse * od
potrdila, zaženite "certbot obnoviti"
– Če vam je všeč Certbot, prosimo, podprite naše delo z:
Donacija za ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donacija za EFF: https://eff.org/donate-le
[zaščitena e-pošta]: / etc / nginx / spletna mesta na voljo #

Certbot avtomatizacija je pameten!

Kot vidite, je poskrbel za vso potrebno konfiguracijo, da je moj Nginx pripravljen za uporabo prek https-a.

Če pa ne želite, da Certbot spreminja konfiguracijo za vas, lahko samo zahtevate spodnji ukaz.

# certbot –nginx certonly

Zgoraj ukaz ne bo spremenil nobenih sprememb, temveč vam bo le priskrbel potrdilo, da lahko konfigurirate želeno smer.

Kaj pa, če ne morete ali ne želite uporabljati Certbota?

Ročni postopek

Potrditev, ki jo je izdal Let’s Encrypt, obstaja na veliko, vendar je eden od priporočenih iz SSL brezplačno spletno orodje.

Navedite svoj URL in nadaljujte z načinom preverjanja. Po potrditvi prejmete potrdilo, zasebni ključ in CA.

Prenesite jih in prenesite na strežnik Nginx. Naj bodo v mapi ssl (ustvarite, če ne obstaja) namestitvene poti Nginx

[zaščitena e-pošta]: / etc / nginx / ssl # ls -ltr
-rw-r – r– 1 korenski koren 1704 26. februar 10:04 zasebno.key
-rw-r – r– 1 korenski koren 1647 26. februar 10:04 ca_bundle.crt
-rw-r – r– 1 korenski koren 3478 26. februar 10:57 potrdilo.crt
[zaščitena e-pošta]: / etc / nginx / ssl #

Preden nadaljujete s spreminjanjem konfiguracije, morate povezati certifikat.crt in ca_bundle.crt v eno datoteko. Ime je tlscert.crt

mačka potrdilo.crt ca_bundle.crt >> tlscert.crt

  • Pojdite v mapo, ki je na voljo spletnim mestom, in v ustrezno konfiguracijsko datoteko spletnega mesta dodajte naslednje

strežnik {
poslušajte 443;
ssl naprej;
ssl_certificate /etc/nginx/ssl/tlscert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
}

  • Znova zaženite Nginx

servis nginx znova zaženite

Poskusite dostop do ustrezne domene prek HTTPS

Torej, tukaj je to uspeh!

Nato boste morda želeli spletno mesto preizkusiti glede ranljivosti SSL / TLS in ga popraviti, če ga najdete.

Upam, da vam to pomaga. Če vas zanima učenje Nginxa, vam priporočam, da to vzamete spletni tečaj.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map