Домейнът на даден уебсайт трябва да има SSL/TLS криптиране, ако възнамерява да привлече посетители. SSL/TLS сертификатите осигуряват силна връзка между уеб сървъри и браузъри. По-рано сигурността не беше основна грижа. Беше относително обичайно уебсайтовете да доставят данни чрез установения HTTP протокол. В наши дни обаче каналът, използван за комуникация със сървъра, трябва да бъде защитен, тъй като киберпрестъпленията, включително кражба на самоличност, измами с кредитни карти и шпионаж, се увеличават.
Сертифициращ орган (CA), наречен Let’s Encrypt, предлага безплатни SSL/TLS сертификати, позволяващи HTTPS криптиране на уеб сървъри. Той е проверен за домейн, така че не е необходим специален IP адрес. Обикновено се препоръчва да имате активиран SSL сертификат на уебсайта си, за да подобрите своето SEO класиране, особено в Google.
Работа на Let’s Encrypt
Let’s Encrypt потвърждава собствеността върху домейна, преди да предостави сертификат. Когато токенът е валидиран, сървърът за валидиране на Let’s Encrypt прави HTTP заявка за получаване на файла и гарантира, че DNS записът на домейна сочи към сървъра, хостващ клиента Let’s Encrypt.
Изисквания
Трябва да направите следното, преди да използвате Let’s Encrypt:
Следвайки инструкциите в тази първа настройка на сървър за Ubuntu 20.04 урок, след като сървърът Ubuntu 20.04 бъде настроен, заедно със защитна стена и не-root потребител със sudo достъп.
Име на домейн с регистрация. В цялата тази статия ще се използва myfirstproject1.com. Можете да закупите домейн.
Следните два DNS записа са конфигурирани на вашия сървър.
- Запис „myproject1“ с myfirstproject1.com, сочещ към публичния IP адрес на вашия сървър
- Запис „myproject2“ с myfirstproject2.com, сочещ към публичния IP адрес на вашия сървър.
Nginx трябва да бъде инсталиран и трябва да се уверите, че вашият домейн има сървърен блок.
Стъпки за инсталиране на Let’s Encrypt в Digital Ocean
Основните стъпки за инсталиране на Let’s Encrypt в цифровия океан са:
Инсталиране на Certbot
Софтуерът Certbot е основната необходимост за използване на Let’s Encrypt за получаване на SSL сертификат. За инсталиране на Certbot и неговия плъгин Nginx използваме следната команда:
Повечето компании за споделен хостинг и някои компании за облачен хостинг включват Certbot или подобен плъгин в панела за хостинг на уебсайтове, който ви позволява да купувате, подновявате и администрирате SSL/TLS сертификати с няколко кликвания.
Докато „python3-certbot-nginx“ е пакет, използван за:
Незабавно покажете на Let’s Encrypt CA, че отговаряте за уебсайта.
- Съхранявайте записи кога вашият лиценз трябва да бъде надстроен и кога е на път да изтече.
- Получете и инсталирайте доверен от браузъра сертификат на всеки уеб сървър.
- Съдействие при анулиране на сертификата, ако възникне необходимост.
Certbot вече е готов за използване, но някои от настройките му трябва да бъдат потвърдени, преди да може автоматично да настрои SSL за Nginx.
Проверка на конфигурацията на Nginx
Certbot трябва да може да конфигурира SSL автоматично. Той трябва да може да намери правилния сървърен блок във вашата конфигурация на Nginx. По-точно, той постига това чрез търсене на директива за име на сървър, съответстваща на домейна, за който искате сертификат.
Той вече трябва да има правилно конфигурирана директива за име на сървър в сървърен блок за домейна, който ще използваме в „/etc/nginx/sites-available/myfirstproject1.com“.
Отворете конфигурационния файл на домейна в nano или друг текстов редактор, за да проверите дали файлът ви ще бъде отворен, ако съществува, затворете редактора и преминете към следващото действие. Името на сървъра ще изглежда като „server_name domain_name www.domain_name.com “, както е показано във фрагмента по-долу.
Ако не се променя, значи съответства. Проверете синтаксиса на вашите конфигурационни модификации, след като запазите файла и затворите вашия редактор. Използвайте следващите инструкции, за да проверите:
$ sudo nginx –tПрезаредете Nginx, за да заредите актуализираната конфигурация, след като се уверите, че синтаксисът на вашия конфигурационен файл е правилен:
$ sudo systemctl презареди nginxСега Certbot може автоматично да намери правилния сървърен блок и да го актуализира. Systemctl отговаря за проверката и управлението на системата systemd и управлението на услугата. Той служи като заместител на System V init демона и се състои от няколко библиотеки, инструменти и демони за системно администриране.
Активиране на HTTPS чрез защитната стена
Необходимите препоръки ви съветват да активирате защитната стена на UFW. Трябва да промените настройките, за да разрешите HTTPS трафик.
Опцията за състояние на UFW ни позволява да видим най-новото състояние на UFW. Състоянието на UFW показва списък с разпоредби, ако UFW е активиран. Разбира се, ако имате необходимите идентификационни данни, можете да изпълните командата само като root потребител или като й поставите префикс sudo.
Активирайте пълния профил на Nginx и премахнете ненужното разрешение за HTTP профил на Nginx, за да разрешите и HTTPS трафик:
Предишният фрагмент показва метода за разрешаване на пълен трафик от Nginx, а вторият показва как да изтрием другия разрешен трафик.
Как да получите SSL сертификат
С помощта на добавки, Certbot предлага няколко начина за получаване на SSL сертификати. Конфигурацията на Nginx и презареждането на конфигурацията ще се обработват от плъгина на Nginx, ако е необходимо.
Използвайте Certbot, за да получите незабавно SSL сертификата на домейна. За да посочите домейна, е необходим аргумент „-d“. Един сертификат се издава от Let’s Encrypt за поддомейна www и корена. Необходимо е да получите сертификата и за двете версии, тъй като наличието само на един за всяка версия ще доведе до предупреждение в браузъра, ако посетител види другата версия. За новите потребители certbot ви моли да предоставите своя имейл за първи и да потвърдите, че сте съгласни с условията на услугата.
Ако това беше успешно, ще ви помоли да направите своя избор и да натиснете ENTER. След актуализиране на конфигурацията, Nginx ще презареди и ще разгледа новите настройки. След като приключи, certbot ще ви уведоми, че процедурата е била успешна.
Заключение
В това ръководство демонстрирахме как да инсталирате и използвате софтуерния certbot Let’s Encrypt, да получите SSL сертификат, да настроите вашето автоматично обновяване за SSL сертификат и да конфигурирате Nginx. Освен това ви предоставихме и някои примери за ситуации, които могат да доведат до проблеми при компилирането при използване на Let’s Encrypt Digital Ocean.