Domena witryny musi mieć szyfrowanie SSL/TLS, jeśli zamierza przyciągnąć odwiedzających. Certyfikaty SSL/TLS zapewniają silne połączenie między serwerami internetowymi i przeglądarkami. Wcześniej bezpieczeństwo nie było głównym problemem. Strony internetowe stosunkowo często dostarczały dane za pośrednictwem ustalonego protokołu HTTP. W dzisiejszych czasach kanał używany do komunikacji z serwerem musi być jednak zabezpieczony, ponieważ rośnie liczba cyberprzestępczości, w tym kradzieży tożsamości, oszustw związanych z kartami kredytowymi i szpiegostwa.
Urząd certyfikacji (CA) o nazwie Let’s Encrypt oferuje bezpłatne certyfikaty SSL/TLS, umożliwiające szyfrowanie HTTPS na serwerach internetowych. Jest to weryfikowana domena, więc dedykowany adres IP nie jest konieczny. Zwykle zaleca się włączenie certyfikatu SSL w witrynie, aby poprawić pozycję w SEO, szczególnie w Google.
Funkcjonowanie Let’s Encrypt
Let’s Encrypt potwierdza własność domeny przed dostarczeniem certyfikatu. Po walidacji tokena serwer walidacyjny Let’s Encrypt wysyła żądanie HTTP w celu uzyskania pliku i zapewnia, że rekord DNS domeny wskazuje serwer obsługujący klienta Let’s Encrypt.
Wymagania
Przed użyciem Let’s Encrypt musisz wykonać następujące czynności:
Postępując zgodnie z instrukcjami w pierwszej konfiguracji serwera dla samouczka Ubuntu 20.04, po skonfigurowaniu serwera Ubuntu 20.04 uzupełnij zaporę ogniową i użytkownikiem innym niż root z dostępem sudo.
Nazwa domeny z rejestracją. W tym artykule będzie używany myfirstproject1.com. Możesz kupić domenę.
Na Twoim serwerze są skonfigurowane następujące dwa rekordy DNS.
- Rekord „myproject1” z myfirstproject1.com wskazujący na publiczny adres IP Twojego serwera
- Rekord „myproject2” z myfirstproject2.com wskazujący na publiczny adres IP Twojego serwera.
Nginx powinien być zainstalowany i musisz upewnić się, że twoja domena ma blok serwera.
Kroki instalacji Let's Encrypt na cyfrowym oceanie
Główne kroki instalacji Let’s Encrypt na cyfrowym oceanie to:
Instalowanie Certbota
Oprogramowanie Certbot jest podstawową potrzebą wykorzystania Let’s Encrypt w celu uzyskania certyfikatu SSL. Do instalacji Certbota i jego wtyczki Nginx używamy następującego polecenia:
Większość współdzielonych firm hostingowych i niektóre firmy hostingowe w chmurze zawierają Certbota lub podobną wtyczkę w panelu hostingu witryny, która umożliwia kupowanie, odnawianie i administrowanie certyfikatami SSL/TLS za pomocą kilku kliknięć.
Natomiast „python3-certbot-nginx” to pakiet służący do:
Natychmiast zademonstruj urzędowi certyfikacji Let’s Encrypt, że zarządzasz witryną.
- Prowadź rejestry, kiedy Twoja licencja musi zostać uaktualniona i kiedy wkrótce wygaśnie.
- Uzyskaj i zainstaluj certyfikat zaufany w przeglądarce na dowolnym serwerze sieciowym.
- Pomóc w cofnięciu certyfikatu, jeśli zajdzie taka potrzeba.
Certbot jest teraz gotowy do użycia, ale niektóre jego ustawienia muszą zostać potwierdzone, zanim będzie mógł automatycznie skonfigurować SSL dla Nginx.
Weryfikacja konfiguracji Nginx
Certbot powinien mieć możliwość automatycznej konfiguracji SSL. Musi być w stanie zlokalizować odpowiedni blok serwera w Twojej konfiguracji Nginx. Dokładniej, osiąga to poprzez wyszukanie dyrektywy nazwy serwera odpowiadającej domenie, dla której żądasz certyfikatu.
Powinien już mieć poprawnie skonfigurowaną dyrektywę nazwy serwera w bloku serwera dla domeny, którego użyjemy w „/etc/nginx/sites-available/myfirstproject1.com”.
Otwórz plik konfiguracyjny domeny w nano lub innym edytorze tekstu, aby sprawdzić, czy plik zostanie otwarty, jeśli istnieje, zamknij edytor i przejdź do następnej akcji. Nazwa serwera będzie wyglądać jak „nazwa_serwera nazwa_domeny www.domain_name.com ”, jak pokazano na poniższym fragmencie.
Jeśli się nie zmienia, to odpowiada. Sprawdź składnię modyfikacji konfiguracji po zapisaniu pliku i zamknięciu edytora. Skorzystaj z kolejnej instrukcji, aby sprawdzić:
$ sudo nginx – tPrzeładuj Nginx, aby załadować zaktualizowaną konfigurację po upewnieniu się, że składnia pliku konfiguracyjnego jest poprawna:
$ sudo systemctl przeładuj nginxTeraz Certbot może automatycznie zlokalizować odpowiedni blok serwera i zaktualizować go. Systemctl jest odpowiedzialny za kontrolę i zarządzanie systemem systemd oraz zarządzanie usługami. Służy jako zamiennik demona init System V i składa się z kilku bibliotek administracyjnych systemu, narzędzi i demonów.
Włączanie HTTPS przez zaporę sieciową
Wymagane zalecenia zalecają włączenie zapory UFW. Musisz zmienić ustawienia, aby zezwolić na ruch HTTPS.
Opcja statusu UFW umożliwia nam przeglądanie najnowszego stanu UFW. Status UFW wyświetla listę przepisów, jeśli UFW jest aktywna. Oczywiście, jeśli masz niezbędne poświadczenia, możesz uruchomić polecenie tylko jako użytkownik root lub poprzedzić je sudo.
Włącz profil Nginx Full i usuń niepotrzebny limit profilu Nginx HTTP, aby zezwolić również na ruch HTTPS:
Poprzedni fragment pokazuje metodę zezwalania na cały ruch z Nginx, a drugi pokazuje, jak usunąć inny dozwolony ruch.
Jak uzyskać certyfikat SSL?
Za pomocą wtyczek Certbot oferuje kilka sposobów na uzyskanie certyfikatów SSL. Konfiguracja Nginx i ponowne ładowanie konfiguracji będą obsługiwane przez wtyczkę Nginx w razie potrzeby.
Wykorzystaj Certbota, aby od razu uzyskać certyfikat SSL domeny. Do wskazania domeny potrzebny jest argument „-d”. Jeden certyfikat jest wystawiany przez Let’s Encrypt dla subdomeny www i katalogu głównego. Konieczne jest uzyskanie certyfikatu dla obu wersji, ponieważ posiadanie tylko jednego dla każdej wersji spowoduje wyświetlenie ostrzeżenia w przeglądarce, jeśli użytkownik wyświetli drugą wersję. W przypadku nowych użytkowników certbot prosi o podanie pierwszego adresu e-mail i potwierdzenie, że zgadzasz się z warunkami usługi.
Jeśli to się powiedzie, zostaniesz poproszony o dokonanie wyboru i naciśnięcie ENTER. Po zaktualizowaniu konfiguracji, Nginx przeładuje się i rozważy nowe ustawienia. Po zakończeniu certbot poinformuje Cię, że procedura się powiodła.
Wniosek
W tym przewodniku pokazaliśmy, jak zainstalować i korzystać z certbota oprogramowania Let’s Encrypt, uzyskać certyfikat SSL, skonfigurować automatyczną aktualizację certyfikatu SSL i skonfigurować Nginx. Ponadto przedstawiliśmy również kilka przykładów sytuacji, które mogą powodować problemy z kompilacją podczas korzystania z Let’s Encrypt Digital Ocean.