Налаштування дозволяє шифрувати за допомогою Nginx в Ubuntu 16.04

Let's Encrypt — це центр сертифікації (CA), який надає безкоштовні сертифікати SSL з автоматизованим клієнтом. Використовуючи сертифікат Let's Encrypt SSL, ви можете зашифрувати трафік між вашим веб-сайтом і відвідувачами. Весь процес простий, а поновлення можна автоматизувати. Також зверніть увагу, що встановлення або оновлення сертифікатів не призводить до простоїв.

У цьому посібнику ми будемо використовувати Certbot для отримання, встановлення та автоматичного поновлення вашого сертифіката SSL. Certbot активно розробляється Electronic Frontier Foundation (EFF), і він є рекомендованим клієнтом для Let's Encrypt.

Передумови

  • Примірник Vultr під керуванням Ubuntu 16.04
  • Зареєстроване доменне ім’я, яке вказує на ваш сервер
  • Nginx

Встановіть Certbot

Щоб отримати сертифікат Let's Encrypt SSL, вам потрібно встановити клієнт Certbot на вашому сервері.

Додайте репозиторій. Натисніть ENTERклавішу, коли буде запропоновано прийняти.

add-apt-repository ppa:certbot/certbot

Оновити список пакетів.

apt-get update

Встановіть Certbot і пакет Nginx від Certbot.

apt-get -y install python-certbot-nginx

Налаштування Nginx

Certbot автоматично налаштовує SSL для Nginx, але для цього йому потрібно знайти блок сервера у вашому файлі конфігурації Nginx. Це робиться шляхом поєднання server_nameдирективи у файлі конфігурації з іменем домену, для якого ви запитуєте сертифікат.

Якщо ви використовуєте файл конфігурації за замовчуванням, /etc/nginx/sites-available/defaultвідкрийте його за допомогою текстового редактора, наприклад, nanoі знайдіть server_nameдирективу. Замініть символ підкреслення _власними доменними іменами:

nano /etc/nginx/sites-available/default

Після редагування файлу конфігурації server_nameдиректива має виглядати наступним чином. У цьому прикладі я припускаю, що вашим доменом є example.com і що ви запитуєте сертифікат для example.com і www.example.com.

server_name example.com www.example.com;

Продовжуйте, перевіривши синтаксис ваших змін.

nginx -t

Якщо синтаксис правильний, перезапустіть Nginx, щоб використовувати нову конфігурацію. Якщо ви отримуєте повідомлення про помилку, знову відкрийте файл конфігурації та перевірте, чи немає помилок, а потім повторіть спробу.

systemctl restart nginx

Отримання сертифікату Let's Encrypt SSL

Наступна команда отримає сертифікат для вас. Відредагуйте конфігурацію Nginx, щоб використовувати її, і перезавантажте Nginx.

certbot --nginx -d example.com -d www.example.com

Ви також можете запросити сертифікат SSL для додаткових доменів. Просто додайте параметр " -d" скільки завгодно разів.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

Якщо ви хочете отримати лише сертифікат від Let's Encrypt, не встановлюючи його автоматично, ви можете скористатися наступною командою. Це вносить тимчасові зміни до вашої конфігурації Nginx, щоб отримати сертифікат, і скасовує їх після завантаження сертифіката.

certbot --nginx certonly -d example.com -d www.example.com

Якщо ви запускаєте Certbot вперше, вам буде запропоновано ввести адресу електронної пошти та погодитися з умовами обслуговування. Ця адреса електронної пошти використовуватиметься для оновлення та сповіщень про безпеку. Після того, як ви вкажете адресу електронної пошти, Certbot запитає сертифікат від Let's Encrypt і запустить завдання, щоб підтвердити, що ви контролюєте відповідний домен.

Якщо Certbot може отримати сертифікат SSL, він запитає, як ви хочете налаштувати свої HTTPSналаштування. Ви можете переспрямувати відвідувачів, які відвідують ваш веб-сайт через незахищене з’єднання, або дозволити їм отримати доступ до нього через незахищене з’єднання. Зазвичай це слід увімкнути, оскільки воно гарантує, що відвідувачі отримують доступ лише до захищеної SSL версії вашого веб-сайту. Виберіть свій вибір, а потім натисніть ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Нарешті, Certbot підтвердить, що процес пройшов успішно і де зберігаються ваші сертифікати. Тепер ваші сертифікати завантажено та встановлено.

Автоматизація оновлення

Оскільки Let's Encrypt — це безкоштовний центр сертифікації, і щоб заохотити користувачів автоматизувати процес оновлення, сертифікати дійсні лише 90 днів. Certbot подбає про оновлення сертифікатів автоматично. Це робиться, виконуючи certbot renewдвічі на день через systemd.

Ви можете перевірити, чи працює автоматичне оновлення, запустивши цю команду.

certbot renew --dry-run

Ви також можете вручну оновити свій сертифікат у будь-який час, виконавши таку команду.

certbot renew

Розширена конфігурація

Наведені вище команди отримують та встановлюють сертифікат SSL з конфігурацією, яка підходить для більшості випадків. Якщо ви хочете застосувати розширені заходи безпеки для свого веб-сайту, ви можете використовувати наступну команду, щоб отримати сертифікат.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

--rsa-key-size 4096Використовує 4096-бітний RSA ключ замість 2048 - бітного ключа, який є більш безпечним. Недоліком цього є те, що більша клавіша призводить до невеликих витрат на продуктивність. Крім того, старі браузери та пристрої можуть не підтримувати 4096-бітні ключі RSA.

До --must-stapleсертифікату додається розширення OCSP Must Staple і налаштовує Nginx для зшивання OCSP. Це розширення дозволяє браузерам перевіряти, що ваш сертифікат не було відкликано і чи можна довіряти. Однак не всі браузери підтримують цю функцію.


Встановіть Plesk на CentOS 7

Встановіть Plesk на CentOS 7

Використання іншої системи? Plesk — це власна панель керування веб-хостом, яка дозволяє користувачам адмініструвати свої персональні та/або клієнтські веб-сайти, бази даних

Установіть Lets Encrypt SSL у програму WordPress одним клацанням миші

Установіть Lets Encrypt SSL у програму WordPress одним клацанням миші

Вступ Lets Encrypt — це служба центру сертифікації, яка пропонує безкоштовні сертифікати TLS/SSL. Certbot спрощує процес встановлення,

Як налаштувати сервер Tekkit Classic на Ubuntu 16.10

Як налаштувати сервер Tekkit Classic на Ubuntu 16.10

Використання іншої системи? Що таке Tekkit Classic? Tekkit Classic — це модпак для гри, яку всі знають і люблять; Майнкрафт. Він містить деякі з вер

Як встановити та налаштувати PHP 7.0 або PHP 7.1 на Ubuntu 16.04

Як встановити та налаштувати PHP 7.0 або PHP 7.1 на Ubuntu 16.04

PHP та пов’язані з ним пакети є найбільш часто використовуваними компонентами під час розгортання веб-сервера. У цій статті ми дізнаємося, як налаштувати PHP 7.0 або PHP 7.1 o

Як встановити Lighttpd (LLMP Stack) на CentOS 6

Як встановити Lighttpd (LLMP Stack) на CentOS 6

Вступ Lighttpd — це форк Apache, який має набагато меншу ресурсомісткість. Він легкий, звідси його назва, і досить простий у використанні. Встановити

Три безкоштовні панелі керування сервером (швидке встановлення)

Три безкоштовні панелі керування сервером (швидке встановлення)

1. Virtualmin/Webmin Virtualmin — це потужна та гнучка панель керування веб-хостингом для систем Linux та UNIX на основі відомої веб-бази з відкритим вихідним кодом.

Налаштування програми Yii на Ubuntu 14.04

Налаштування програми Yii на Ubuntu 14.04

Yii — це PHP-фреймворк, який дозволяє розробляти програми швидше та легше. Установка Yii на Ubuntu проста, як ви дізнаєтеся

Використання Screen в Ubuntu 14.04

Використання Screen в Ubuntu 14.04

Screen — це програма, яка дозволяє багаторазово використовувати термінальні сеанси в одному вікні. Це дозволяє моделювати декілька вікон терміналу, де це ma

Використання Logrotate для керування файлами журналу

Використання Logrotate для керування файлами журналу

Вступ Logrotate — це утиліта для Linux, яка спрощує адміністрування файлів журналів. Зазвичай він запускається раз на день через завдання cron і керує базою журналів

Як встановити Apache Cassandra 3.11.x на Ubuntu 16.04 LTS

Як встановити Apache Cassandra 3.11.x на Ubuntu 16.04 LTS

Використання іншої системи? Apache Cassandra — це безкоштовна система керування базами даних NoSQL з відкритим вихідним кодом, яка розроблена для забезпечення масштабованості, високої

Як встановити Vanilla Forum на Ubuntu 16.04

Як встановити Vanilla Forum на Ubuntu 16.04

Використання іншої системи? Vanilla forum — це програма з відкритим вихідним кодом, написана на PHP. Це повністю настроюваний, простий у використанні та підтримує зовнішній вигляд

Як встановити Kanboard на Ubuntu 18.04 LTS

Як встановити Kanboard на Ubuntu 18.04 LTS

Використання іншої системи? Вступ Kanboard — це безкоштовна програма з відкритим вихідним кодом для управління проектами, яка призначена для полегшення та візуалізації

Як встановити Gitea на Ubuntu 18.04

Як встановити Gitea на Ubuntu 18.04

Використання іншої системи? Gitea — це альтернативна система контролю версій із відкритим вихідним кодом, яка працює на базі git. Gitea написана на Голанг і є

Встановлення Docker CE на Ubuntu 16.04

Встановлення Docker CE на Ubuntu 16.04

Використання іншої системи? Docker — це програма, яка дозволяє розгортати програми, які запускаються як контейнери. Це було написано в популярному програмі Go

Виправлення експлойту Dirty Cow на CentOS

Виправлення експлойту Dirty Cow на CentOS

Що таке Dirty Cow (CVE-2016-5195)? Уразливість Dirty Cow використовується через те, як Linux обробляє код. Це дозволяє непривілейованому користувачеві використовувати gai

Налаштуйте користувача без права root за допомогою Sudo Access в Ubuntu

Налаштуйте користувача без права root за допомогою Sudo Access в Ubuntu

Наявність лише одного користувача, який є root, може бути небезпечним. Тож давайте це виправимо. Vultr надає нам свободу робити з нашими користувачами та нашими серверами, що нам заманеться

Встановіть Adminer на Debian/Ubuntu

Встановіть Adminer на Debian/Ubuntu

Adminer — це легка альтернатива phpMyAdmin. Для порівняння, його загальний розмір пакета становить 400 КБ проти 4,2 МБ phpMyAdmin. На відміну від phpMyAdmin, який

Налаштуйте автентифікацію HTTP за допомогою Nginx на CentOS 7

Налаштуйте автентифікацію HTTP за допомогою Nginx на CentOS 7

У цьому посібнику ви дізнаєтеся, як налаштувати автентифікацію HTTP для веб-сервера Nginx, що працює на CentOS 7. Вимоги Щоб почати, вам знадобиться

Як встановити Nextcloud на Ubuntu 17.04

Як встановити Nextcloud на Ubuntu 17.04

У цьому посібнику ви навчитеся інсталювати програмне забезпечення NextCloud. Ми будемо використовувати Caddy для потреб нашого веб-сервера, оскільки це спрощує налаштування

Як встановити GoAccess на Ubuntu 16.04

Як встановити GoAccess на Ubuntu 16.04

Використання іншої системи? GoAccess — це аналізатор веб-журналів з відкритим вихідним кодом. Ви можете використовувати його для аналізу журналів у режимі реального часу в терміналі або

Повстання машин: застосування ШІ в реальному світі

Повстання машин: застосування ШІ в реальному світі

Штучний інтелект не в майбутньому, він тут прямо в сьогоденні У цьому блозі Прочитайте, як програми штучного інтелекту вплинули на різні сектори.

DDOS-атаки: короткий огляд

DDOS-атаки: короткий огляд

Ви також стали жертвою DDOS-атак і спантеличені методами запобігання? Прочитайте цю статтю, щоб вирішити свої запитання.

Ви коли-небудь замислювалися, як хакери заробляють гроші?

Ви коли-небудь замислювалися, як хакери заробляють гроші?

Можливо, ви чули, що хакери заробляють багато грошей, але чи замислювалися ви коли-небудь, як вони заробляють такі гроші? давайте обговоримо.

Революційні винаходи від Google, які полегшать ваше життя.

Революційні винаходи від Google, які полегшать ваше життя.

Ви хочете побачити революційні винаходи Google і як ці винаходи змінили життя кожної людини сьогодні? Тоді читайте в блозі, щоб побачити винаходи Google.

Friday Essential: Що сталося з автомобілями, керованими штучним інтелектом?

Friday Essential: Що сталося з автомобілями, керованими штучним інтелектом?

Концепція самокерованих автомобілів, щоб вирушати в дороги за допомогою штучного інтелекту, є мрією, яку ми давно мріємо. Але, незважаючи на кілька обіцянок, їх ніде не видно. Прочитайте цей блог, щоб дізнатися більше…

Технологічна сингулярність: віддалене майбутнє людської цивілізації?

Технологічна сингулярність: віддалене майбутнє людської цивілізації?

Оскільки наука розвивається швидкими темпами, бере на себе багато наших зусиль, ризики піддати себе незрозумілій Сингулярності також зростає. Читайте, що може означати для нас сингулярність.

Еволюція зберігання даних – інфографіка

Еволюція зберігання даних – інфографіка

Методи зберігання даних можуть розвиватися з моменту народження Даних. Цей блог висвітлює еволюцію зберігання даних на основі інфографіки.

Функціональні можливості шарів еталонної архітектури великих даних

Функціональні можливості шарів еталонної архітектури великих даних

Прочитайте блог, щоб дізнатися про різні шари архітектури великих даних та їх функціональні можливості найпростішим способом.

6 дивовижних переваг використання пристроїв розумного дому в нашому житті

6 дивовижних переваг використання пристроїв розумного дому в нашому житті

У цьому цифровому світі пристрої розумного дому стали важливою частиною життя. Ось кілька дивовижних переваг пристроїв розумного дому щодо того, як вони роблять наше життя гідним життя та спрощують його.

Оновлення доповнення macOS Catalina 10.15.4 спричиняє більше проблем, ніж вирішує

Оновлення доповнення macOS Catalina 10.15.4 спричиняє більше проблем, ніж вирішує

Нещодавно Apple випустила додаткове оновлення macOS Catalina 10.15.4, щоб виправити проблеми, але схоже, що оновлення викликає більше проблем, що призводять до блокування комп’ютерів Mac. Прочитайте цю статтю, щоб дізнатися більше