Et websteds domæne skal have SSL/TLS-kryptering, hvis det har til hensigt at få besøgende. SSL/TLS-certifikater giver en stærk forbindelse mellem webservere og browsere. Tidligere var sikkerheden ikke en stor bekymring. Det var relativt almindeligt, at hjemmesider leverede data via den etablerede HTTP-protokol. I dag skal den kanal, der bruges til at kommunikere med serveren, dog sikres, fordi cyberkriminalitet, herunder identitetstyveri, kreditkortsvindel og spionage, er stigende.
En certifikatmyndighed (CA) kaldet Let's Encrypt tilbyder gratis SSL/TLS-certifikater, der muliggør HTTPS-kryptering på webservere. Det er domæneverificeret, så en dedikeret IP-adresse er ikke nødvendig. Det anbefales normalt at have et SSL-certifikat aktiveret på dit websted for at forbedre din SEO-rangering, især på Google.
Funktioner af Let's Encrypt
Let's Encrypt bekræfter domæneejerskab, før du giver et certifikat. Når tokenet er valideret, laver Let's Encrypt-valideringsserveren en HTTP-anmodning for at hente filen og sikrer, at domænets DNS-record peger på serveren, der hoster Let's Encrypt-klienten.
Krav
Du skal gøre følgende, før du bruger Let's Encrypt:
Følg instruktionerne i denne første serveropsætning til Ubuntu 20.04 tutorial, når Ubuntu 20.04-serveren er konfigureret, komplet med en firewall og en ikke-rootbruger med sudo-adgang.
Et domænenavn med registrering. Igennem denne artikel vil myfirstproject1.com blive brugt. Du kan købe et domæne.
De følgende to DNS-poster er konfigureret på din server.
- En 'myproject1'-record med myfirstproject1.com, der peger på den offentlige IP-adresse på din server
- En 'myproject2'-record med myfirstproject2.com, der peger på den offentlige IP-adresse på din server.
Nginx skal være installeret, og du skal sikre dig, at dit domæne har en serverblok.
Trin til installation af Let's Encrypt on Digital Ocean
De vigtigste trin til installation af Let's Encrypt på det digitale hav er:
Installation af Certbot
Certbot-softwaren er det primære behov for at bruge Let's Encrypt til at opnå et SSL-certifikat. Til installation af Certbot og dets Nginx-plugin bruger vi følgende kommando:
De fleste delte hostingvirksomheder og nogle cloud-hostingvirksomheder inkorporerer Certbot eller et lignende plugin i webstedets hostingpanel, der gør det muligt for dig at købe, forny og administrere SSL/TLS-certifikater ved at have nogle klik.
Mens 'python3-certbot-nginx' er en pakke, der bruges til at:
Vis straks til Let's Encrypt CA, at du er ansvarlig for webstedet.
- Hold fortegnelser over, hvornår din licens skal opgraderes, og hvornår den er ved at udløbe.
- Få og installer et browser-betroet certifikat på enhver webserver.
- Hjælpe dig med at tilbagekalde certifikatet, hvis behovet skulle opstå.
Certbot er nu klar til brug, men nogle af dens indstillinger skal bekræftes, før den automatisk kan konfigurere SSL til Nginx.
Bekræftelse af Nginx's konfiguration
Certbot bør automatisk kunne konfigurere SSL. Det skal være i stand til at finde den korrekte serverblok i din Nginx-konfiguration. Mere præcist opnår den dette ved at søge efter et servernavndirektiv svarende til det domæne, du anmoder om et certifikat for.
Det burde allerede have servernavnedirektivet korrekt konfigureret i en serverblok for domænet, som vi vil bruge på '/etc/nginx/sites-available/myfirstproject1.com'.
Åbn domænekonfigurationsfilen i nano eller din anden teksteditor for at bekræfte, at din fil vil blive åbnet, hvis den findes, luk din editor og gå til næste handling. Servernavnet vil se ud som 'server_navn domænenavn www.domain_name.com ', som vist i uddraget nedenfor.
Hvis det ikke ændrer sig, svarer det. Bekræft syntaksen for dine konfigurationsændringer efter at have gemt filen og lukket din editor. Brug den efterfølgende instruktion til at kontrollere:
$ sudo nginx –tGenindlæs Nginx for at indlæse den opdaterede konfiguration efter at have sikret dig, at din konfigurationsfils syntaks er korrekt:
$ sudo systemctl genindlæs nginxNu kan Certbot automatisk finde den rigtige serverblok og opdatere den. En systemctl er ansvarlig for at inspicere og administrere systemets system og servicestyring. Det fungerer som System V init-dæmonens erstatning og består af flere systemadministrationsbiblioteker, værktøjer og dæmoner.
Aktivering af HTTPS via firewallen
De påkrævede anbefalinger råder dig til at aktivere UFW-firewallen. Du skal ændre indstillingerne for at tillade HTTPS-trafik.
UFW-statusindstillingen gør det muligt for os at se UFWs seneste tilstand. UFW-status viser en liste over regler, hvis UFW er aktiveret. Selvfølgelig, hvis du har de nødvendige legitimationsoplysninger, kan du kun køre kommandoen som root-bruger eller ved at præfikse den med sudo.
Aktiver Nginx Full-profilen, og fjern den unødvendige Nginx HTTP-profiltilladelse for også at tillade HTTPS-trafik:
Det forrige uddrag viser metoden til at tillade komplet trafik fra Nginx, og det andet viser, hvordan man sletter den anden trafik, vi tillod.
Sådan får du et SSL-certifikat
Ved hjælp af plugins tilbyder Certbot flere måder at få SSL-certifikater på. Nginx's konfiguration og genindlæsning af konfigurationen vil blive håndteret af Nginx-plugin'et efter behov.
Brug Certbot til at få domænets SSL-certifikat med det samme. For at angive domænet kræves et '-d'-argument. Et certifikat udstedes af Let's Encrypt for www-underdomænet og roden. Det er nødvendigt at indhente certifikatet for begge versioner, da kun én for begge versioner vil resultere i en advarsel i browseren, hvis en besøgende ser den anden version. For nye brugere beder certbot dig om at give din e-mail til det første og bekræfte, at du accepterer servicevilkårene.
Hvis dette lykkedes, ville det bede dig om at foretage dit valg og trykke på ENTER. Efter opdatering af konfigurationen vil Nginx genindlæse og overveje de nye indstillinger. Når du er færdig, vil certbot fortælle dig, at proceduren var vellykket.
Konklusion
I denne vejledning demonstrerede vi, hvordan du installerer og bruger Let's Encrypt-software-certboten, får et SSL-certifikat, opsætter din automatiske opdatering til et SSL-certifikat og konfigurerer Nginx. Derudover har vi også givet dig nogle eksempler på situationer, der kan resultere i kompileringsproblemer, når du bruger Let's Encrypt Digital Ocean.