Ak chce doména webovej stránky získať návštevníkov, musí mať šifrovanie SSL/TLS. Certifikáty SSL/TLS poskytujú silné spojenie medzi webovými servermi a prehliadačmi. Predtým bezpečnosť nebola hlavným problémom. Bolo pomerne bežné, že webové stránky doručovali dáta cez zavedený HTTP protokol. V súčasnosti však musí byť kanál používaný na komunikáciu so serverom zabezpečený, pretože počítačová kriminalita vrátane krádeže identity, podvodov s kreditnými kartami a špionáže je na vzostupe.
Certifikačná autorita (CA) s názvom Let’s Encrypt ponúka bezplatné certifikáty SSL/TLS, ktoré umožňujú šifrovanie HTTPS na webových serveroch. Je overená doménou, takže vyhradená adresa IP nie je potrebná. Zvyčajne sa odporúča mať na svojom webe povolený certifikát SSL, aby ste zlepšili svoje hodnotenie SEO, najmä na stránkach Google.
Fungovanie Let’s Encrypt
Let’s Encrypt potvrdzuje vlastníctvo domény pred poskytnutím certifikátu. Keď je token overený, overovací server Let's Encrypt odošle požiadavku HTTP na získanie súboru a zabezpečí, aby záznam DNS domény smeroval na server, ktorý hostí klienta Let's Encrypt.
Požiadavky
Pred použitím Let's Encrypt musíte urobiť nasledovné:
Podľa pokynov v tomto prvom návode na nastavenie servera pre Ubuntu 20.04, keď je server Ubuntu 20.04 nastavený, s firewallom a užívateľom bez oprávnenia root s prístupom sudo.
Názov domény s registráciou. V tomto článku sa bude používať myfirstproject1.com. Môžete si kúpiť doménu.
Nasledujúce dva záznamy DNS sú nakonfigurované na vašom serveri.
- Záznam „myproject1“ s myfirstproject1.com smerujúcim na verejnú IP adresu vášho servera
- Záznam „myproject2“ s myfirstproject2.com, ktorý ukazuje na verejnú IP adresu vášho servera.
Nginx by mal byť nainštalovaný a musíte zabezpečiť, aby vaša doména mala blok servera.
Kroky na inštaláciu Let's Encrypt na Digital Ocean
Hlavné kroky inštalácie Let’s Encrypt na digitálnom oceáne sú:
Inštalácia Certbotu
Softvér Certbot je primárnou potrebou využitia Let’s Encrypt na získanie certifikátu SSL. Na inštaláciu Certbotu a jeho doplnku Nginx používame nasledujúci príkaz:
Väčšina zdieľaných hostingových spoločností a niektoré cloudové hostingové spoločnosti začleňujú Certbot alebo podobný doplnok do panela hosťovania webových stránok, ktorý vám umožňuje nakupovať, obnovovať a spravovať certifikáty SSL/TLS niekoľkými kliknutiami.
Zatiaľ čo „python3-certbot-nginx“ je balík používaný na:
Okamžite ukážte CA Let’s Encrypt, že máte na starosti webovú stránku.
- Uchovávajte záznamy o tom, kedy je potrebné aktualizovať vašu licenciu a kedy sa blíži jej vypršanie.
- Získajte a nainštalujte certifikát dôveryhodného prehliadača na ľubovoľný webový server.
- V prípade potreby vám pomôže pri odvolaní certifikátu.
Certbot je teraz pripravený na použitie, ale predtým, ako bude môcť automaticky nastaviť SSL pre Nginx, musia byť potvrdené niektoré z jeho nastavení.
Overenie konfigurácie Nginx
Certbot by mal byť schopný automaticky nakonfigurovať protokol SSL. Musí byť schopný nájsť správny blok servera vo vašej konfigurácii Nginx. Presnejšie, dosiahne to vyhľadaním direktívy názvu servera zodpovedajúcej doméne, pre ktorú požadujete certifikát.
Už by mala mať správne nakonfigurovanú smernicu názvu servera v bloku servera pre doménu, ktorú použijeme na „/etc/nginx/sites-available/myfirstproject1.com“.
Otvorte konfiguračný súbor domény v nano alebo inom textovom editore, aby ste si overili, či sa váš súbor otvorí, ak existuje, zatvorte editor a prejdite na ďalšiu akciu. Názov servera bude vyzerať ako „názov_servera názov_domény www.domain_name.com “, ako je uvedené v úryvku nižšie.
Ak sa nezmení, zodpovedá. Po uložení súboru a zatvorení editora skontrolujte syntax vašich úprav konfigurácie. Pomocou nasledujúceho návodu skontrolujte:
$ sudo nginx –tZnova načítajte Nginx, aby ste načítali aktualizovanú konfiguráciu po uistení sa, že syntax vášho konfiguračného súboru je správna:
$ sudo systemctl reload nginxTeraz môže Certbot automaticky nájsť správny blok servera a aktualizovať ho. Systemctl má na starosti kontrolu a správu systemd systému a správu služieb. Slúži ako náhrada iniciačného démona System V a pozostáva z niekoľkých knižníc, nástrojov a démonov na správu systému.
Povolenie HTTPS cez bránu firewall
Požadované odporúčania vám odporúčajú povoliť bránu firewall UFW. Ak chcete povoliť prenos HTTPS, musíte zmeniť nastavenia.
Možnosť stavu UFW nám umožňuje zobraziť najnovší stav UFW. Stav UFW zobrazuje zoznam predpisov, ak je UFW aktivovaný. Samozrejme, ak máte potrebné poverenia, môžete príkaz spustiť iba ako užívateľ root alebo zadaním príkazu sudo.
Povoľte úplný profil Nginx a odstráňte nepotrebný príspevok profilu HTTP Nginx, aby ste umožnili aj prenos HTTPS:
Predchádzajúci úryvok ukazuje spôsob povolenia úplnej návštevnosti z Nginx a druhý ukazuje, ako odstrániť ostatnú návštevnosť, ktorú sme povolili.
Ako získať certifikát SSL
S pomocou pluginov ponúka Certbot niekoľko spôsobov, ako získať SSL certifikáty. Konfiguráciu a opätovné načítanie konfigurácie Nginx bude podľa potreby riešiť doplnok Nginx.
Využite Certbot na okamžité získanie certifikátu SSL domény. Na označenie domény je potrebný argument „-d“. Jeden certifikát vydáva Let’s Encrypt pre subdoménu www a root. Certifikát je potrebné získať pre obe verzie, pretože mať iba jeden pre každú verziu bude mať za následok upozornenie v prehliadači, ak si návštevník prezrie druhú verziu. V prípade nových používateľov vás certbot požiada, aby ste ako prvý poskytli svoj e-mail a potvrdili, že súhlasíte s podmienkami služby.
Ak by to bolo úspešné, zobrazí sa výzva na výber a stlačenie klávesu ENTER. Po aktualizácii konfigurácie sa Nginx znova načíta a zváži nové nastavenia. Po dokončení vám certbot oznámi, že postup bol úspešný.
Záver
V tejto príručke sme ukázali, ako nainštalovať a používať softvérový certbot Let’s Encrypt, získať certifikát SSL, nastaviť automatickú aktualizáciu certifikátu SSL a nakonfigurovať Nginx. Okrem toho sme vám poskytli aj niekoľko príkladov situácií, ktoré môžu viesť k problémom s kompiláciou pri používaní Let’s Encrypt Digital Ocean.