Domain tapak web mesti mempunyai penyulitan SSL/TLS jika ia berhasrat untuk mendapatkan pelawat. Sijil SSL/TLS menyediakan sambungan yang kukuh antara pelayan web dan penyemak imbas. Terdahulu, keselamatan bukanlah kebimbangan utama. Ia agak biasa bagi tapak web untuk menghantar data melalui protokol HTTP yang telah ditetapkan. Pada masa kini, saluran yang digunakan untuk berkomunikasi dengan pelayan mesti dilindungi, walaupun, kerana jenayah siber termasuk kecurian identiti, penipuan kad kredit dan pengintipan semakin meningkat.
Pihak Berkuasa Sijil (CA) yang dipanggil Let’s Encrypt menawarkan sijil SSL/TLS percuma, mendayakan penyulitan HTTPS pada pelayan web. Ia adalah domain disahkan, jadi Alamat IP khusus tidak diperlukan. Biasanya dinasihatkan supaya sijil SSL didayakan di tapak web anda untuk meningkatkan kedudukan SEO anda, terutamanya di Google.
Kerja-kerja Let's Encrypt
Let's Encrypt mengesahkan pemilikan domain sebelum memberikan sijil. Apabila token disahkan, pelayan pengesahan Let's Encrypt membuat permintaan HTTP untuk mendapatkan fail dan memastikan bahawa rekod DNS domain menghala ke pelayan yang mengehos klien Let's Encrypt.
Keperluan
Anda mesti melakukan perkara berikut sebelum menggunakan Let's Encrypt:
Mengikuti arahan dalam persediaan pelayan pertama untuk tutorial Ubuntu 20.04 ini, sebaik sahaja pelayan Ubuntu 20.04 disediakan, lengkap dengan tembok api dan pengguna bukan root dengan akses sudo.
Nama domain dengan pendaftaran. Sepanjang artikel ini, myfirstproject1.com akan digunakan. Anda boleh membeli domain.
Dua rekod DNS berikut dikonfigurasikan pada pelayan anda.
- Rekod 'myproject1' dengan myfirstproject1.com menunjuk ke alamat IP awam pelayan anda
- Rekod 'myproject2' dengan myfirstproject2.com menunjuk ke alamat IP awam pelayan anda.
Nginx harus dipasang, dan anda mesti memastikan bahawa domain anda mempunyai blok pelayan.
Langkah Untuk Memasang Let's Encrypt on Digital Ocean
Langkah utama untuk memasang Let’s Encrypt di lautan digital ialah:
Memasang Certbot
Perisian Certbot adalah keperluan utama untuk menggunakan Let's Encrypt untuk mendapatkan sijil SSL. Untuk memasang Certbot dan pemalam Nginxnya, kami menggunakan arahan berikut:
Kebanyakan syarikat pengehosan kongsi dan beberapa syarikat pengehosan awan menggabungkan Certbot atau pemalam serupa dalam panel pengehosan tapak web yang membolehkan anda membeli, memperbaharui dan mentadbir sijil SSL/TLS dengan melakukan beberapa klik.
Manakala 'python3-certbot-nginx' ialah pakej yang digunakan untuk:
Segera tunjukkan kepada Let's Encrypt CA bahawa anda bertanggungjawab ke atas tapak web.
- Simpan rekod bila lesen anda perlu dinaik taraf dan bila ia akan tamat tempoh.
- Dapatkan dan pasang sijil yang dipercayai pelayar pada mana-mana pelayan web.
- Membantu anda membatalkan sijil sekiranya perlu.
Certbot kini sedia untuk digunakan, tetapi beberapa tetapannya perlu disahkan sebelum ia boleh menyediakan SSL untuk Nginx secara automatik.
Mengesahkan Konfigurasi Nginx
Certbot sepatutnya boleh mengkonfigurasi SSL secara automatik. Ia mesti dapat mencari blok pelayan yang betul dalam konfigurasi Nginx anda. Lebih tepat lagi, ia mencapai ini dengan mencari arahan nama pelayan yang sepadan dengan domain yang anda minta sijil.
Ia sepatutnya sudah mempunyai arahan nama pelayan yang dikonfigurasikan dengan betul dalam blok pelayan untuk domain, yang akan kami gunakan di '/etc/nginx/sites-available/myfirstproject1.com'.
Buka fail konfigurasi domain dalam nano atau editor teks anda yang lain untuk mengesahkan fail anda akan dibuka jika ia wujud, tutup editor anda dan pergi ke tindakan seterusnya. Nama pelayan akan kelihatan seperti 'nama_server domain_name www.domain_name.com “, seperti yang ditunjukkan dalam coretan di bawah.
Jika ia tidak berubah, ia sepadan. Sahkan sintaks pengubahsuaian konfigurasi anda selepas menyimpan fail dan menutup editor anda. Gunakan arahan seterusnya untuk menyemak:
$ sudo nginx –tMuat semula Nginx untuk memuatkan konfigurasi yang dikemas kini selepas memastikan sintaks fail konfigurasi anda betul:
$ sudo systemctl muat semula nginxKini, Certbot boleh mengesan blok pelayan yang betul secara automatik dan mengemas kininya. Systemctl bertanggungjawab memeriksa dan mengurus sistem dan pengurusan perkhidmatan sistem. Ia berfungsi sebagai pengganti daemon init Sistem V dan terdiri daripada beberapa perpustakaan pentadbiran sistem, alatan dan daemon.
Mendayakan HTTPS Melalui Firewall
Pengesyoran yang diperlukan menasihati anda untuk mendayakan tembok api UFW. Anda mesti menukar tetapan untuk membenarkan trafik HTTPS.
Pilihan status UFW membolehkan kami melihat keadaan terkini UFW. Status UFW memaparkan senarai peraturan jika UFW diaktifkan. Sudah tentu, jika anda mempunyai kelayakan yang diperlukan, anda hanya boleh menjalankan arahan sebagai pengguna root atau dengan memberi awalan dengan sudo.
Dayakan profil Penuh Nginx dan alih keluar elaun profil HTTP Nginx yang tidak diperlukan untuk membenarkan trafik HTTPS juga:
Coretan sebelumnya menunjukkan kaedah untuk membenarkan Trafik lengkap daripada Nginx dan yang kedua menunjukkan cara memadamkan trafik lain yang kami benarkan.
Cara Mendapatkan Sijil SSL
Dengan bantuan pemalam, Certbot menawarkan beberapa cara untuk mendapatkan sijil SSL. Konfigurasi Nginx dan muat semula konfigurasi akan dikendalikan oleh pemalam Nginx mengikut keperluan.
Gunakan Certbot untuk mendapatkan sijil SSL domain dengan segera. Untuk menunjukkan domain, hujah '-d' diperlukan. Satu sijil dikeluarkan oleh Let’s Encrypt untuk subdomain www dan akarnya. Anda perlu mendapatkan sijil untuk kedua-dua versi kerana hanya mempunyai satu untuk mana-mana versi akan menghasilkan amaran dalam penyemak imbas jika pelawat melihat versi lain. Untuk pengguna baharu, certbot meminta anda memberikan e-mel anda untuk yang pertama dan mengesahkan bahawa anda bersetuju menerima syarat perkhidmatan.
Jika ini berjaya, ia akan meminta anda membuat pilihan anda dan tekan ENTER. Selepas mengemas kini konfigurasi, Nginx akan memuat semula dan mempertimbangkan tetapan baharu. Selepas selesai, certbot akan memberitahu anda bahawa prosedur itu berjaya.
Kesimpulan
Dalam panduan ini, kami menunjukkan cara memasang dan menggunakan certbot perisian Let's Encrypt, dapatkan sijil SSL, sediakan kemas kini automatik anda untuk sijil SSL dan konfigurasikan Nginx. Di samping itu, kami juga memberikan anda beberapa contoh situasi yang mungkin mengakibatkan isu kompilasi apabila menggunakan Lautan Digital Let's Encrypt.