Hvernig á að setja upp Nginx með Let’s Encrypt Cert?

Skref fyrir skref leiðbeiningar um innleiðingu Let’s Encrypt TLS vottorðs í Nginx.


Að tryggja síðu með TLS vottorði er nauðsynleg. Það eru tvær meginástæður:

  • Örugg gagnaflutning milli tæki notanda yfir í SSL / TLS hleðslutæki
  • Bæta röðun Google leitarinnar

Undanfarið, Google tilkynnt þessi síða án https: // væri merkt sem „No Secure“ í krómvafra.

Svo já, segðu JÁ við HTTPS.

Ef þú ert að reka blogg, persónulegt vefsvæði, ekki aðild, aðgerðasíðuna sem ekki er fjárhagsleg, þá gætirðu farið í leyfi fyrir dulkóðun.

Við skulum dulkóða bjóða a ÓKEYPIS vottorð.

Hins vegar, ef þú ert að samþykkja fjármálaviðskipti, gætirðu viljað fara í viðskiptaskírteini.

Við skulum útfæra TLS í Nginx …

Ég geri ráð fyrir að þú hafir þegar verið að setja upp Nginx og keyra ef ekki vísa í þessa uppsetningarhandbók.

Það eru margar leiðir til að gera þetta.

Við skulum dulkóða með Certbot

Ein auðveldasta og ráðlagða leiðin til að setja það upp.

Certbot býður upp á fellivalmynd þar sem þú getur valið netþjóninn og stýrikerfið til að fá kennsluna.

Ég hef valið Nginx og Ubuntu eins og þú sérð hér að neðan.

Og ég mun keyra hér að neðan á Nginx netþjóninum til að setja upp certbot viðbótina.

# apt-get install software-features-common
# add-apt-repository ppa: certbot / certbot
# apt-get update
# apt-get install python-certbot-nginx

Þegar allt er í lagi er kominn tími til að nota certbot viðbót til að setja upp vottorð í Nginx.

Þú getur notað skipunina hér að neðan sem sér um að breyta nauðsynlegri skrá til að stilla vottorðið.

# certbot – nginx

Það mun athuga CN (algengt nafn) í núverandi Nginx stillingarskrá og það fannst ekki, þá mun það biðja þig um að slá inn.

Fyrrverandi:

[varið með tölvupósti]: / etc / nginx / síður-fáanleg # certbot –nginx
Vistar kembiforrit á /var/log/letsencrypt/letsencrypt.log
Viðbætur valdar: Authenticator nginx, Installer nginx
Ræsir nýja HTTPS tengingu (1): acme-v01.api.letsencrypt.org
Engin nöfn fundust í stillingaskrám þínum. Vinsamlegast sláðu inn lén þitt
nafn (s) (komma og / eða rými aðskilin) ​​(Sláðu inn ‘c’ til að hætta við): bloggerflare.com
Að fá nýtt skírteini
Framkvæma eftirfarandi áskoranir:
http-01 áskorun fyrir bloggerflare.com
Bíð eftir staðfestingu…
Að þrífa upp áskoranir
Dreifið skírteini til VirtualHost / etc / nginx / vefsvæði virkt / sjálfgefið fyrir bloggerflare.com
Vinsamlegast veldu hvort áframsenda HTTP umferð á HTTPS eða ekki, fjarlægja HTTP aðgang.
——————————————————————————-
1: Engin tilvísun – Ekki gera frekari breytingar á stillingum vefþjónsins.
2: Beina – Til að beina öllum beiðnum til að tryggja HTTPS aðgang. Veldu þetta fyrir
nýjar síður, eða ef þú ert viss um að vefsvæðið þitt virkar á HTTPS. Þú getur afturkallað þetta
breyttu með því að breyta stillingum vefþjónsins.
——————————————————————————-
Veldu viðeigandi númer [1-2] og síðan [enter] (ýttu á ‘c’ til að hætta við): 2
Beina allri umferð um höfn 80 yfir í ssl í / etc / nginx / sites-enabled / default
——————————————————————————-
Til hamingju! Þú hefur gert https://bloggerflare.com virkt
Þú ættir að prófa stillingar þínar á:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
MIKILVÆGAR skýringar:
– Til hamingju! Vottorðið þitt og keðjan hefur verið vistuð á:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
Lykilskráin þín hefur verið vistuð á:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
Vottorðið þitt rennur út 2016-05-27. Til að fá nýtt eða klip
útgáfa af þessu skírteini í framtíðinni, einfaldlega keyrðu certbot aftur
með "vottað" kostur. Til að endurnýja ekki * allt * af
skírteinin þín, hlaupa "certbot endurnýja"
– Ef þér líkar vel við Certbot skaltu íhuga að styðja starf okkar með því að:
Gefa til ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Gefa til EFF: https://eff.org/donate-le
[varið með tölvupósti]: / etc / nginx / sites-available #

Certbot sjálfvirkni er klár!

Eins og þú sérð hefur það séð um allar nauðsynlegar stillingar til að gera Nginx minn tilbúinn til að þjóna á https.

Hins vegar, ef þú vilt ekki að Certbot breyti stillingunum fyrir þig, geturðu bara beðið um skipunina hér að neðan.

# certbot – nginx vottað

Ofangreind skipun mun ekki framkvæma neinar breytingar í staðinn, bara veita þér skírteinið svo þú getur stillt eins og þú vilt.

En hvað ef þú getur ekki eða vilt ekki nota Certbot?

Handvirk aðferð

Það eru margar leiðir til að fá vottorðið gefið út af Let’s Encrypt en ein af þeim sem mælt er með er frá SSL frítt nettæki.

Gefðu upp slóðina þína og haltu áfram með staðfestingaraðferðinni. Þegar það hefur verið staðfest muntu fá skírteinið, einkalykilinn og CA.

Sæktu þá og færðu yfir á Nginx netþjóninn. Við skulum halda þeim undir ssl möppu (búðu til ef ekki er til) af uppsetningarleið Nginx

[varið með tölvupósti]: / etc / nginx / ssl # ls -ltr
-rw-r – r– 1 rót rót 1704 26. feb 10:04 einka. lykill
-rw-r – r– 1 rótarót 1647 26. feb 10:04 ca_bundle.crt
-rw-r – r– 1 rót rót 3478 26. feb 10:57 vottorð.crt
[varið með tölvupósti]: / etc / nginx / ssl #

Áður en haldið er áfram með stillingarbreytinguna þarftu að sameina Certificate.crt og ca_bundle.crt í eina skrá. Við skulum nefna það tlscert.crt

kattabréf.crt ca_bundle.crt >> tlscert.crt

  • Farðu í möppu sem er tiltæk fyrir vefi og bættu við eftirfarandi í viðkomandi stillingaskrá

netþjónn {
hlusta 443;
ssl á;
ssl_certificate /etc/nginx/ssl/tlscert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
}

  • Endurræstu Nginx

þjónustu nginx endurræsa

Reyndu að fá aðgang að viðkomandi léni í gegnum HTTPS

Svo hérna ferðu, það er velgengni!

Næst gætirðu viljað prófa síðuna þína hvað varðar SSL / TLS varnarleysi og laga þau ef þau finnast.

Ég vona að þetta hjálpi þér. Ef þú hefur áhuga á að læra Nginx, þá myndi ég mæla með að taka þetta Rafræn fræðsla.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map