„Let’s Encrypt“ yra „Linux Foundation“ bendradarbiavimo projektas, atvira sertifikato institucija, kurią teikia interneto saugumo tyrimų grupė. Kiekvienas, turintis domeno vardą, gali nemokamai naudoti „Let’s Encrypt“, kad gautumėte patikimą sertifikatą. Galimybė automatizuoti atnaujinimo procesą, taip pat darbas, kad būtų lengviau įdiegti ir konfigūruoti. Padėkite apsaugoti svetaines ir plėtokite TLS saugumo praktiką. Išlaikykite skaidrumą ir visus sertifikatus galite viešai patikrinti. Leiskite kitiems naudoti jų išdavimo ir atnaujinimo protokolus kaip atvirą standartą.
Iš esmės „Let’s Encrypt“ stengiasi, kad saugumas nebūtų pasikliaujama juokingais, didelių, pelno siekiančių organizacijų žiedais. (Galima sakyti, kad aš tikiu atviruoju šaltiniu, o geriausiu atveju tai yra atvirasis šaltinis).
Yra dvi parinktys: atsisiųsti paketą ir įdiegti iš saugyklų arba įdiegti „certbot-auto“ pakuotę (buvusią „letsencrypt-auto“) tiesiogiai iš letencrypt.
Atsisiųsti iš saugyklų
sudo apt-get install letsencrypt -y
Baigę diegti, laikas gauti savo sertifikatą! Mes naudojame „Certonly“ atskirą metodą, neršdami serverio egzemplioriaus, kad gautume jūsų sertifikatą.
sudo leidžiašifruoti „ertertlyly “-„ standalone “- d example.com -d subdomain.example.com -d othersubdomain.example.com
Įveskite savo el. Pašto adresą ir sutikite su paslaugų teikimo sąlygomis. Dabar turėtumėte turėti gerą sertifikatą kiekvienam įvestam domenui ir padomeniui. Kiekvienas domenas ir padomenis yra užginčijami, todėl jei neturite DNS serverio, nukreipiančio į jūsų serverį, užklausa nepavyks.
Jei norite išbandyti procesą, prieš gaudami tikrąjį sertifikatą, galite pridėti –test-cert kaip argumentą po certonly. Pastaba: –test-cert įdiegia netinkamą sertifikatą. Tai galite padaryti neribotą skaičių kartų, tačiau jei naudojate gyvus sertifikatus, yra tarifų riba.
Laukinių kortelių domenai nepalaikomi, taip pat neatrodo, kad jie bus palaikomi. Pateikta priežastis yra ta, kad kadangi sertifikato procesas yra nemokamas, galite paprašyti tiek, kiek jums reikia. Be to, tame pačiame sertifikate galite turėti kelis domenus ir padomenius.
Pereinama prie NGINX konfigūracijos, kad būtų galima naudoti mūsų naujai įgytą sertifikatą! Pažymėjimo keliui naudoju tikrąjį kelią, o ne įprastą išraišką.
Mes turime SSL, taip pat galime nukreipti visą srautą į jį. Pirmasis serverio skyrius tai ir daro. Aš nustatiau, kad jis nukreiptų visą srautą, įskaitant padomenius, į pirminį.
Jei naudojate „Chrome“ ir neišjungiate aukščiau išvardytų SSL šifrų, gausite err_spdy_inadequate_transport_security. Taip pat turite redaguoti „nginx conf“ failą, kad atrodytumėte panašiai, kad pašalintumėte „gzip“ saugos trūkumą
Jei pastebėsite, kad jums uždrausta prieiga - turite dar kartą patikrinti, ar serverio_vardas (ir šaknis) yra teisingas. Aš ką tik baigiau daužyti galvą į sieną, kol neprailgo. Laimei, mano serverio košmaruose kartu atėjo atsakymas - jūs pamiršote nustatyti savo šakninį katalogą! Kruvinas ir apipiltas, įkišau šaknį ir štai, mano mielas rodyklė.
Jei norite nustatyti atskirus padomenius, galite naudoti
Būsite paraginti sukurti vartotojo vardo slaptažodį (du kartus).
sudo paslaugos nginx paleiskite iš naujo
Dabar galėsite pasiekti savo svetainę iš bet kurios vietos naudodami vartotojo vardą ir slaptažodį, arba vietoje be jos. Jei norite, kad slaptažodis visada būtų iššūkis, pašalinkite „allow 10.0.0.0/24“; # Pakeiskite vietinio tinklo liniją.
Atminkite, kad Auth_basic yra tarpai, jei jis neteisingas, gausite klaidą.
Jei turite neteisingą slaptažodį, jūs pateksite į 403
Paskutinis dalykas, kurį turime padaryti, nustatė SSL sertifikatų automatinį atnaujinimą.
Šiam darbui paprastas „cron“ darbas yra tinkamas įrankis, kurį ketiname įvesti kaip pagrindinį vartotoją, kad išvengtume leidimo klaidų
(sudo crontab -l 2> / dev / null; aidas ‘0 0 1 * * leidžia šifruoti atnaujinti’) | sudo crontab -
/ Dev / null naudojimo priežastis yra užtikrinti, kad galite rašyti į crontab, net jei jo anksčiau nebuvo.
3 minutes perskaityta
