Kako postaviti Nginx pomoću šifriranog certifikata tvrtke Let?

Detaljni vodič za implementaciju Letter Šifriranja TLS certifikata u Nginxu.


Osiguravanje mjesta s TLS certifikatom je neophodno. Dva su glavna razloga:

  • Sigurni prijenos podataka između korisnikovog uređaja na SSL / TLS uređaj za istovar
  • Poboljšajte rangiranje Google pretraživanja

U posljednje vrijeme Google najavio ta će stranica bez https: // u Chrome pregledniku biti označena kao “Bez sigurnosti”.

Pa da, recite DA HTTPS-u.

Ako vodite blog, osobnu web stranicu, nečlanstvo, web lokaciju nefinancijske transakcije, tada možete potražiti certifikat Let’s Encrypt.

Let’s Šifriraj ponudu a BESPLATAN certifikat.

Međutim, ako prihvaćate financijsku transakciju, možda biste željeli podnijeti zahtjev trgovački certifikat.

Uvedimo TLS u Nginx …

Pretpostavljam da već imate instaliran Nginx ako se ne odnosi na ovaj vodič za instalaciju.

Postoji više načina da se to postigne.

Šifrirajmo pomoću Certbota

Jedan od najjednostavnijih i preporučenih načina za instaliranje.

Certbot nudi padajući izbornik u kojem možete odabrati web poslužitelj i OS da biste dobili upute.

Odabrao sam Nginx i Ubuntu kao što možete vidjeti dolje.

I izvršavat ću dolje na Nginx poslužitelju za instaliranje certbot dodatka.

# apt – instalirajte softverska svojstva-uobičajena
# add-apt-repozitorij ppa: certbot / certbot
# apt-get update
# apt-get instalacija python-certbot-nginx

Nakon što je sve u redu, vrijeme je da upotrijebite dodatak certbot za instaliranje certifikata u Nginx.

Možete upotrijebiti naredbu ispod koja će se pobrinuti za izmjenu potrebne datoteke za konfiguriranje certifikata.

# certbot –nginx

Provjerit će CN (uobičajeno ime) u postojećoj konfiguracijskoj datoteci Nginx, a nije pronađen, a zatim će vas zatražiti da unesete.

ex:

[E zaštićeni]: / etc / nginx / dostupna web mjesta # certbot –nginx
Spremanje dnevnika uklanjanja pogrešaka u /var/log/letsencrypt/letsencrypt.log
Izabrani dodaci: Authenticator nginx, Installer nginx
Pokretanje nove HTTPS veze (1): acme-v01.api.letsencrypt.org
U vašim konfiguracijskim datotekama nisu pronađena imena. Unesite u svoju domenu
naziv (imena) (zarez i / ili razmak odvojen) (unesite “c” za otkazivanje): bloggerflare.com
Dobijanje novog certifikata
Izvođenje sljedećih izazova:
http-01 izazov za bloggerflare.com
Čeka se provjera…
Čišćenje izazova
Instaliran certifikat za VirtualHost / etc / nginx / omogućen / web mjesto / zadana za bloggerflare.com
Odaberite želite li preusmjeriti HTTP promet na HTTPS ili ukloniti HTTP pristup.
——————————————————————————-
1: Bez preusmjeravanja – Ne daljnje promjene u konfiguraciji web poslužitelja.
2: Preusmjeravanje – napravite sve zahtjeve za preusmjeravanje kako biste osigurali HTTPS pristup. Odaberite ovo za
nove web lokacije ili ako ste sigurni da vaša web lokacija radi na HTTPS. To možete poništiti
promijenite uređivanjem konfiguracije vašeg web poslužitelja.
——————————————————————————-
Odaberite odgovarajući broj [1-2], a zatim [enter] (pritisnite ‘c’ za odustajanje): 2
Preusmjeravanje cjelokupnog prometa na priključku 80 na ssl u / etc / nginx / enable-default / default
——————————————————————————-
Čestitamo! Uspješno ste omogućili https://bloggerflare.com
Trebate testirati svoju konfiguraciju na:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
VAŽNE BILJEŠKE:
– Čestitamo! Vaš certifikat i lanac spremljeni su na:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
Vaša datoteka s ključevima spremljena je na:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
Vaša će certa isteći 2018-05-27. Da biste nabavili novu ili uglađenu
verziju ovog certifikata u budućnosti jednostavno ponovo pokrenite certbot
s "certonly" opcija. Neinteraktivno obnoviti * sve * od
certifikate, pokrenite "certbot obnoviti"
– Ako vam se sviđa Certbot, molimo vas da podržite naš rad na:
Donacija za ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donacija za EFF: https://eff.org/donate-le
[E zaštićeni]: / Etc / Nginx / mjesta-na raspolaganju #

Certbot automatizacija je pametan!

Kao što vidite, pobrinuo se za svu potrebnu konfiguraciju kako bi moj Nginx bio spreman za posluživanje putem https-a.

Međutim, ako ne želite da Certbot mijenja konfiguraciju za vas, možete jednostavno zatražiti naredbu u nastavku.

# certbot –nginx certonly

Gornja naredba neće izvršiti nikakve izmjene, već će vam samo pružiti certifikat kako biste mogli konfigurirati na željeni način.

Ali što ako ne možete ili ne želite koristiti Certbot?

Ručni postupak

Mnogo je načina da dobijete potvrdu koju je izdao Let’s Encrypt, ali jedan od preporučenih je iz SSL besplatno online alat.

Navedite svoj URL i nastavite s načinom provjere. Nakon potvrde, dobit ćete potvrdu, privatni ključ i CA.

Preuzmite ih i prenesite na Nginx server. Držimo ih pod ssl mapom (stvorite ako ne postoji) Nginx instalacijskog puta

[E zaštićeni]: / etc / nginx / ssl # ls -ltr
-rw-r – r– 1 korijen korijena 1704 26. veljače 10:04 privat.key
-rw-r – r– 1 korijen korijena 1647. 26. veljače 10:04 ca_bundle.crt
-rw-r – r– 1 korijen korijena 3478 26. veljače 10:57 certifikat.crt
[E zaštićeni]: / Etc / Nginx / SSL #

Prije nego što nastavite s izmjenom konfiguracije, morate povezati certifikat.crt i ca_bundle.crt u jednu datoteku. Nazovimo to tlscert.crt

mačka certifikat.crt ca_bundle.crt >> tlscert.crt

  • Otvorite mapu dostupnu za mjesta i dodajte sljedeće u odgovarajuću konfiguracijsku datoteku web mjesta

poslužitelj {
slušati 443;
ssl na;
ssl_certificate /etc/nginx/ssl/tlscert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
}

  • Ponovo pokrenite Nginx

ponovno pokretanje usluge nginx

Pokušajte pristupiti odgovarajućoj domeni putem HTTPS-a

Dakle, evo, to je uspjeh!

Zatim ćete možda htjeti testirati svoju web lokaciju na SSL / TLS ranjivost i popraviti je ako je pronađena.

Nadam se da će vam ovo pomoći. Ako ste zainteresirani za učenje Nginxa, onda bih preporučio da ovo uzmete online tečaj.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map