Ο τομέας ενός ιστότοπου πρέπει να έχει κρυπτογράφηση SSL/TLS εάν σκοπεύει να προσελκύσει επισκέπτες. Τα πιστοποιητικά SSL/TLS παρέχουν μια ισχυρή σύνδεση μεταξύ διακομιστών ιστού και προγραμμάτων περιήγησης. Νωρίτερα, η ασφάλεια δεν ήταν μια σημαντική ανησυχία. Ήταν σχετικά σύνηθες για τους ιστότοπους να παραδίδουν δεδομένα μέσω του καθιερωμένου πρωτοκόλλου HTTP. Σήμερα, όμως, το κανάλι που χρησιμοποιείται για την επικοινωνία με τον διακομιστή πρέπει να είναι ασφαλές, επειδή τα εγκλήματα στον κυβερνοχώρο, όπως η κλοπή ταυτότητας, η απάτη με πιστωτικές κάρτες και η κατασκοπεία αυξάνονται.
Μια Αρχή έκδοσης πιστοποιητικών (CA) που ονομάζεται Let’s Encrypt προσφέρει δωρεάν πιστοποιητικά SSL/TLS, επιτρέποντας την κρυπτογράφηση HTTPS σε διακομιστές ιστού. Είναι επαληθευμένο τομέα, επομένως δεν είναι απαραίτητη μια αποκλειστική διεύθυνση IP. Συνήθως συνιστάται να έχετε ένα πιστοποιητικό SSL ενεργοποιημένο στον ιστότοπό σας για να βελτιώσετε την κατάταξή σας στο SEO, ιδιαίτερα στο Google.
Εργασίες του Let’s Encrypt
Το Let’s Encrypt επιβεβαιώνει την ιδιοκτησία του τομέα πριν από την παροχή πιστοποιητικού. Όταν το διακριτικό επικυρωθεί, ο διακομιστής επικύρωσης Let's Encrypt υποβάλλει ένα αίτημα HTTP για να αποκτήσει το αρχείο και διασφαλίζει ότι η εγγραφή DNS του τομέα οδηγεί στον διακομιστή που φιλοξενεί τον πελάτη Let's Encrypt.
Απαιτήσεις
Πρέπει να κάνετε τα εξής πριν χρησιμοποιήσετε το Let’s Encrypt:
Ακολουθώντας τις οδηγίες σε αυτό το πρώτο σεμινάριο εγκατάστασης διακομιστή για το Ubuntu 20.04, μόλις εγκατασταθεί ο διακομιστής Ubuntu 20.04, με ένα τείχος προστασίας και έναν χρήστη που δεν είναι root με πρόσβαση sudo.
Ένα όνομα τομέα με εγγραφή. Σε όλο αυτό το άρθρο θα χρησιμοποιείται το myfirstproject1.com. Μπορείτε να αγοράσετε έναν τομέα.
Οι ακόλουθες δύο εγγραφές DNS έχουν ρυθμιστεί στον διακομιστή σας.
- Μια εγγραφή 'myproject1' με το myfirstproject1.com να δείχνει τη δημόσια διεύθυνση IP του διακομιστή σας
- Μια εγγραφή 'myproject2' με το myfirstproject2.com να δείχνει τη δημόσια διεύθυνση IP του διακομιστή σας.
Το Nginx θα πρέπει να εγκατασταθεί και πρέπει να βεβαιωθείτε ότι ο τομέας σας έχει μπλοκ διακομιστή.
Βήματα για την εγκατάσταση του Let’s Encrypt στο Digital Ocean
Τα κύρια βήματα για την εγκατάσταση του Let’s Encrypt στον ψηφιακό ωκεανό είναι:
Εγκατάσταση Certbot
Το λογισμικό Certbot είναι η κύρια ανάγκη για τη χρήση του Let’s Encrypt για την απόκτηση πιστοποιητικού SSL. Για την εγκατάσταση του Certbot και του πρόσθετου Nginx του, χρησιμοποιούμε την ακόλουθη εντολή:
Οι περισσότερες εταιρείες κοινής φιλοξενίας και ορισμένες εταιρείες φιλοξενίας cloud ενσωματώνουν το Certbot ή μια παρόμοια προσθήκη στον πίνακα φιλοξενίας ιστότοπου που σας επιτρέπει να αγοράζετε, να ανανεώνετε και να διαχειρίζεστε πιστοποιητικά SSL/TLS κάνοντας μερικά κλικ.
Ενώ το 'python3-certbot-nginx' είναι ένα πακέτο που χρησιμοποιείται για:
Αποδείξτε αμέσως στην ΑΠ Let’s Encrypt ότι είστε υπεύθυνος για τον ιστότοπο.
- Διατηρήστε αρχεία για το πότε πρέπει να αναβαθμιστεί η άδειά σας και πότε πρόκειται να λήξει.
- Αποκτήστε και εγκαταστήστε ένα αξιόπιστο πιστοποιητικό του προγράμματος περιήγησης σε οποιονδήποτε διακομιστή ιστού.
- Να σας βοηθήσουμε να ανακαλέσετε το πιστοποιητικό εάν παραστεί ανάγκη.
Το Certbot είναι πλέον έτοιμο για χρήση, αλλά ορισμένες από τις ρυθμίσεις του πρέπει να επιβεβαιωθούν για να μπορέσει να ρυθμίσει αυτόματα το SSL για το Nginx.
Επαλήθευση της διαμόρφωσης του Nginx
Το Certbot θα πρέπει να μπορεί να διαμορφώνει αυτόματα το SSL. Πρέπει να μπορεί να εντοπίσει το κατάλληλο μπλοκ διακομιστή στη διαμόρφωση Nginx. Πιο συγκεκριμένα, το επιτυγχάνει αυτό αναζητώντας μια οδηγία ονόματος διακομιστή που αντιστοιχεί στον τομέα για τον οποίο ζητάτε πιστοποιητικό.
Θα πρέπει να έχει ήδη σωστά διαμορφωμένη την οδηγία ονόματος διακομιστή σε ένα μπλοκ διακομιστή για τον τομέα, τον οποίο θα χρησιμοποιήσουμε στη διεύθυνση '/etc/nginx/sites-available/myfirstproject1.com'.
Ανοίξτε το αρχείο διαμόρφωσης τομέα στο nano ή άλλο πρόγραμμα επεξεργασίας κειμένου για να επαληθεύσετε ότι το αρχείο σας θα ανοίξει εάν υπάρχει, κλείστε το πρόγραμμα επεξεργασίας και μεταβείτε στην επόμενη ενέργεια. Το όνομα διακομιστή θα μοιάζει με 'όνομα_διακομιστή_όνομα_τομέα www.domain_name.com ', όπως φαίνεται στο παρακάτω απόσπασμα.
Αν δεν αλλάξει, αντιστοιχεί. Επαληθεύστε τη σύνταξη των τροποποιήσεων διαμόρφωσης μετά την αποθήκευση του αρχείου και το κλείσιμο του προγράμματος επεξεργασίας. Χρησιμοποιήστε την επόμενη οδηγία για να ελέγξετε:
$ sudo nginx –τΕπαναλάβετε τη φόρτωση του Nginx για να φορτώσετε την ενημερωμένη διαμόρφωση αφού βεβαιωθείτε ότι η σύνταξη του αρχείου διαμόρφωσης είναι σωστή:
$ sudo systemctl επαναφόρτωση του nginxΤώρα, το Certbot μπορεί να εντοπίσει αυτόματα το σωστό μπλοκ διακομιστή και να το ενημερώσει. Ένα systemctl είναι υπεύθυνο για την επιθεώρηση και τη διαχείριση του συστήματος systemd και της διαχείρισης υπηρεσιών. Χρησιμεύει ως αντικατάσταση του δαίμονα του συστήματος V init και αποτελείται από πολλές βιβλιοθήκες διαχείρισης συστήματος, εργαλεία και δαίμονες.
Ενεργοποίηση HTTPS μέσω του τείχους προστασίας
Οι απαιτούμενες συστάσεις σάς συμβουλεύουν να ενεργοποιήσετε το τείχος προστασίας UFW. Πρέπει να αλλάξετε τις ρυθμίσεις για να επιτρέπεται η κυκλοφορία HTTPS.
Η επιλογή κατάστασης UFW μας δίνει τη δυνατότητα να δούμε την πιο πρόσφατη κατάσταση του UFW. Η κατάσταση UFW εμφανίζει μια λίστα κανονισμών εάν είναι ενεργοποιημένο το UFW. Φυσικά, εάν διαθέτετε τα απαραίτητα διαπιστευτήρια, μπορείτε να εκτελέσετε την εντολή μόνο ως χρήστης root ή τοποθετώντας το πρόθεμα με sudo.
Ενεργοποιήστε το πλήρες προφίλ Nginx και αφαιρέστε το περιττό όριο προφίλ Nginx HTTP για να επιτρέψετε και την κυκλοφορία HTTPS:
Το προηγούμενο απόσπασμα δείχνει τη μέθοδο για να επιτρέπεται η πλήρης επισκεψιμότητα από το Nginx και το δεύτερο δείχνει πώς να διαγράψετε την άλλη επισκεψιμότητα που επιτρέψαμε.
Πώς να αποκτήσετε ένα πιστοποιητικό SSL
Με τη βοήθεια προσθηκών, το Certbot προσφέρει διάφορους τρόπους λήψης πιστοποιητικών SSL. Η διαμόρφωση του Nginx και η επαναφόρτωση της διαμόρφωσης θα διεκπεραιωθούν από το πρόσθετο Nginx όπως απαιτείται.
Χρησιμοποιήστε το Certbot για να αποκτήσετε αμέσως το πιστοποιητικό SSL του τομέα. Για να υποδείξετε τον τομέα, απαιτείται ένα όρισμα '-d'. Ένα πιστοποιητικό εκδίδεται από την Let’s Encrypt για τον υποτομέα www και τη ρίζα. Είναι απαραίτητο να αποκτήσετε το πιστοποιητικό και για τις δύο εκδόσεις, καθώς η ύπαρξη μόνο ενός για κάθε έκδοση θα έχει ως αποτέλεσμα μια προειδοποίηση στο πρόγραμμα περιήγησης εάν ένας επισκέπτης δει την άλλη έκδοση. Για νέους χρήστες, το certbot σας ζητά να δώσετε το email σας για πρώτη φορά και να επιβεβαιώσετε ότι συμφωνείτε με τους όρους παροχής υπηρεσιών.
Εάν αυτό ήταν επιτυχές, θα σας ζητούσε να κάνετε την επιλογή σας και να πατήσετε ENTER. Μετά την ενημέρωση της διαμόρφωσης, το Nginx θα φορτώσει ξανά και θα εξετάσει τις νέες ρυθμίσεις. Μετά την ολοκλήρωση, το certbot θα σας ενημερώσει ότι η διαδικασία ήταν επιτυχής.
συμπέρασμα
Σε αυτόν τον οδηγό, δείξαμε πώς να εγκαταστήσετε και να χρησιμοποιήσετε το πιστοποιητικό λογισμικού Let’s Encrypt, να αποκτήσετε ένα πιστοποιητικό SSL, να ρυθμίσετε την αυτόματη ενημέρωση για ένα πιστοποιητικό SSL και να διαμορφώσετε το Nginx. Επιπλέον, σας παρέχουμε επίσης ορισμένα παραδείγματα καταστάσεων που ενδέχεται να οδηγήσουν σε προβλήματα μεταγλώττισης κατά τη χρήση του Let’s Encrypt Digital Ocean.