Domena web stranice mora imati SSL/TLS enkripciju ako namjerava privući posjetitelje. SSL/TLS certifikati pružaju snažnu vezu između web poslužitelja i preglednika. Ranije sigurnost nije bila glavna briga. Bilo je relativno uobičajeno da web stranice dostavljaju podatke putem uspostavljenog HTTP protokola. U današnje vrijeme kanal koji se koristi za komunikaciju s poslužiteljem ipak mora biti osiguran jer su kibernetički zločini, uključujući krađu identiteta, prijevare s kreditnim karticama i špijunažu, u porastu.
Izdavač certifikata (CA) pod nazivom Let’s Encrypt nudi besplatne SSL/TLS certifikate koji omogućuju HTTPS enkripciju na web poslužiteljima. Verificirana je domena, tako da namjenska IP adresa nije potrebna. Obično se savjetuje da imate omogućen SSL certifikat na svojoj web stranici kako biste poboljšali svoj SEO rang, posebno na Googleu.
Djelovanje Let’s Encrypt
Let’s Encrypt potvrđuje vlasništvo domene prije pružanja certifikata. Kada se token potvrdi, poslužitelj za provjeru valjanosti Let’s Encrypt šalje HTTP zahtjev za dobivanje datoteke i osigurava da DNS zapis domene pokazuje na poslužitelj koji hostira klijenta Let’s Encrypt.
Zahtjevi
Morate učiniti sljedeće prije korištenja Let’s Encrypt:
Slijedeći upute u ovom vodiču za postavljanje prvog poslužitelja za Ubuntu 20.04, nakon što je Ubuntu 20.04 poslužitelj postavljen, zajedno s vatrozidom i nekorijenskim korisnikom sa sudo pristupom.
Naziv domene s registracijom. U ovom članku koristit će se myfirstproject1.com. Možete kupiti domenu.
Sljedeća dva DNS zapisa konfigurirana su na vašem poslužitelju.
- Zapis “myproject1” s myfirstproject1.com koji upućuje na javnu IP adresu vašeg poslužitelja
- Zapis 'myproject2' s myfirstproject2.com koji upućuje na javnu IP adresu vašeg poslužitelja.
Nginx bi trebao biti instaliran i morate osigurati da vaša domena ima blok poslužitelja.
Koraci za instaliranje Let’s Encrypt na Digital Ocean
Glavni koraci za instaliranje Let’s Encrypt na digitalnom oceanu su:
Instaliranje Certbota
Softver Certbot primarna je potreba za korištenje Let’s Encrypt za dobivanje SSL certifikata. Za instaliranje Certbota i njegovog dodatka Nginx koristimo sljedeću naredbu:
Većina tvrtki za dijeljeni hosting i neke tvrtke za hosting u oblaku uključuju Certbot ili sličan dodatak u panel za hosting web stranice koji vam omogućuje kupnju, obnovu i administriranje SSL/TLS certifikata uz nekoliko klikova.
Dok je 'python3-certbot-nginx' paket koji se koristi za:
Odmah pokažite Let’s Encrypt CA da ste vi zaduženi za web mjesto.
- Vodite evidenciju o tome kada vaša licenca mora biti nadograđena i kada će uskoro isteći.
- Nabavite i instalirajte certifikat pouzdan preglednik na bilo koji web poslužitelj.
- Pomoći vam pri opozivu certifikata ako se ukaže potreba.
Certbot je sada spreman za korištenje, ali neke njegove postavke moraju biti potvrđene prije nego što može automatski postaviti SSL za Nginx.
Provjera Nginx konfiguracije
Certbot bi trebao moći automatski konfigurirati SSL. Mora moći locirati odgovarajući blok poslužitelja u vašoj Nginx konfiguraciji. Točnije, to postiže traženjem direktive naziva poslužitelja koja odgovara domeni za koju tražite certifikat.
Već bi trebala imati ispravno konfiguriranu direktivu o nazivu poslužitelja u bloku poslužitelja za domenu, koju ćemo koristiti na “/etc/nginx/sites-available/myfirstproject1.com”.
Otvorite konfiguracijsku datoteku domene u nano ili drugom uređivaču teksta kako biste provjerili hoće li se datoteka otvoriti ako postoji, zatvorite uređivač i idite na sljedeću radnju. Naziv poslužitelja izgledat će kao 'naziv_poslužitelja_naziv_domene www.domain_name.com “, kao što je prikazano u isječku ispod.
Ako se ne mijenja, odgovara. Provjerite sintaksu vaših konfiguracijskih izmjena nakon spremanja datoteke i zatvaranja uređivača. Koristite sljedeće upute za provjeru:
$ sudo nginx –tPonovno učitajte Nginx za učitavanje ažurirane konfiguracije nakon što provjerite je li sintaksa konfiguracijske datoteke ispravna:
$ sudo systemctl ponovno učitaj nginxSada Certbot može automatski locirati pravi blok poslužitelja i ažurirati ga. Systemctl je zadužen za pregled i upravljanje sustavom systemd i upravljanje uslugama. Služi kao zamjena za System V init daemon i sastoji se od nekoliko knjižnica, alata i demona za administraciju sustava.
Omogućavanje HTTPS-a putem vatrozida
Potrebne preporuke savjetuju vam da omogućite UFW vatrozid. Morate promijeniti postavke da biste dopustili HTTPS promet.
Opcija statusa UFW-a omogućuje nam pregled najnovijeg stanja UFW-a. Status UFW prikazuje popis propisa ako je UFW aktiviran. Naravno, ako imate potrebne vjerodajnice, naredbu možete pokrenuti samo kao root korisnik ili tako da joj dodate sudo kao prefiks.
Omogućite Nginx Full profil i uklonite nepotrebno dopuštenje Nginx HTTP profila kako biste omogućili i HTTPS promet:
Prethodni isječak prikazuje metodu za dopuštanje kompletnog prometa s Nginxa, a drugi pokazuje kako izbrisati drugi promet koji smo dopustili.
Kako dobiti SSL certifikat
Uz pomoć dodataka, Certbot nudi nekoliko načina za dobivanje SSL certifikata. Konfiguracijom Nginxa i ponovnim učitavanjem konfiguracije po potrebi će upravljati Nginx dodatak.
Upotrijebite Certbot da biste odmah dobili SSL certifikat domene. Za označavanje domene potreban je argument “-d”. Jedan certifikat izdaje Let’s Encrypt za www poddomenu i root. Potrebno je nabaviti certifikat za obje verzije budući da će posjedovanje samo jednog za bilo koju verziju rezultirati upozorenjem u pregledniku ako posjetitelj pogleda drugu verziju. Za nove korisnike, certbot od vas traži da navedete svoju e-poštu za prvog i potvrdite da se slažete s uvjetima usluge.
Ako je ovo uspješno, tražit će vas da odaberete i pritisnete ENTER. Nakon ažuriranja konfiguracije, Nginx će se ponovno učitati i razmotriti nove postavke. Nakon završetka, certbot će vas obavijestiti da je postupak bio uspješan.
Zaključak
U ovom smo vodiču pokazali kako instalirati i koristiti softverski certbot Let’s Encrypt, dobiti SSL certifikat, postaviti automatsko ažuriranje za SSL certifikat i konfigurirati Nginx. Osim toga, također smo vam pružili neke primjere situacija koje bi mogle dovesti do problema s kompilacijom kada koristite Let’s Encrypt Digital Ocean.