Dapat mayroong SSL/TLS encryption ang domain ng website kung nilalayon nitong makakuha ng mga bisita. Nagbibigay ang mga SSL/TLS certificate ng malakas na koneksyon sa mga web server at browser. Mas maaga, ang seguridad ay hindi isang pangunahing alalahanin. Ito ay medyo karaniwan para sa mga website na maghatid ng data sa pamamagitan ng itinatag na HTTP protocol. Sa ngayon, ang channel na ginamit upang makipag-ugnayan sa server ay dapat na secure, gayunpaman, dahil ang mga cybercrime kabilang ang pagnanakaw ng pagkakakilanlan, pandaraya sa credit card, at espiya ay tumataas.
Nag-aalok ang Certificate Authority (CA) na tinatawag na Let’s Encrypt ng mga libreng SSL/TLS certificate, na nagpapagana ng HTTPS encryption sa mga web server. Ito ay na-verify ng domain, kaya hindi kinakailangan ang isang nakalaang IP Address. Karaniwang pinapayuhan na magkaroon ng SSL certificate na pinagana sa iyong website upang mapabuti ang iyong SEO ranking, partikular sa Google.
Mga Paggawa ng Let's Encrypt
Kinukumpirma ng Let's Encrypt ang pagmamay-ari ng domain bago magbigay ng certificate. Kapag na-validate ang token, ang Let's Encrypt validation server ay gumagawa ng HTTP na kahilingan para makuha ang file at tinitiyak na ang DNS record ng domain ay tumuturo sa server na nagho-host ng Let's Encrypt client.
Mga kinakailangan
Dapat mong gawin ang sumusunod bago gamitin ang Let's Encrypt:
Kasunod ng mga tagubilin sa unang pag-setup ng server na ito para sa Ubuntu 20.04 na tutorial, kapag na-set up ang Ubuntu 20.04 server, kumpleto sa isang firewall at isang non-root na user na may sudo access.
Isang domain name na may pagpaparehistro. Sa buong artikulong ito, gagamitin ang myfirstproject1.com. Maaari kang bumili ng domain.
Ang sumusunod na dalawang tala ng DNS ay na-configure sa iyong server.
- Isang “myproject1” record na may myfirstproject1.com na tumuturo sa pampublikong IP address ng iyong server
- Isang “myproject2” record na may myfirstproject2.com na tumuturo sa pampublikong IP address ng iyong server.
Dapat na naka-install ang Nginx, at dapat mong tiyakin na ang iyong domain ay may block ng server.
Mga Hakbang Para sa Pag-install ng Let's Encrypt sa Digital Ocean
Ang mga pangunahing hakbang para sa pag-install ng Let's Encrypt sa digital na karagatan ay:
Pag-install ng Certbot
Ang Certbot software ay ang pangunahing pangangailangan para sa paggamit ng Let's Encrypt para makakuha ng SSL certificate. Para sa pag-install ng Certbot at ng Nginx plugin nito, ginagamit namin ang sumusunod na command:
Karamihan sa mga shared hosting company at ilang cloud hosting company ay nagsasama ng Certbot o isang katulad na plugin sa website hosting panel na nagbibigay-daan sa iyong bumili, mag-renew, at mangasiwa ng mga SSL/TLS certificate sa pamamagitan ng pagkakaroon ng ilang mga pag-click.
Samantalang ang 'python3-certbot-nginx' ay isang pakete na ginagamit upang:
Ipakita kaagad sa Let's Encrypt CA na ikaw ang namamahala sa website.
- Panatilihin ang mga talaan kung kailan kailangang i-upgrade ang iyong lisensya at kung kailan ito malapit nang mag-expire.
- Kumuha at mag-install ng certificate na pinagkakatiwalaan ng browser sa anumang web server.
- Tulungan ka sa pagbawi ng sertipiko kung sakaling kailanganin.
Ang Certbot ay handa na para sa paggamit, ngunit ang ilan sa mga setting nito ay kailangang kumpirmahin bago ito awtomatikong makapag-set up ng SSL para sa Nginx.
Pag-verify ng Configuration ng Nginx
Dapat na awtomatikong ma-configure ng Certbot ang SSL. Dapat nitong mahanap ang tamang server block sa iyong configuration ng Nginx. Mas tiyak, nagagawa nito ito sa pamamagitan ng paghahanap ng direktiba ng pangalan ng server na naaayon sa domain kung saan ka humiling ng sertipiko.
Dapat ay mayroon na itong direktiba ng pangalan ng server nang maayos na na-configure sa isang bloke ng server para sa domain, na gagamitin namin sa '/etc/nginx/sites-available/myfirstproject1.com'.
Buksan ang file ng configuration ng domain sa nano o sa iyong iba pang text editor upang i-verify na bubuksan ang iyong file kung mayroon ito, isara ang iyong editor at pumunta sa susunod na pagkilos. Ang pangalan ng server ay magmumukhang 'server_name domain_name www.domain_name.com “, gaya ng ipinapakita sa snippet sa ibaba.
Kung hindi ito magbabago, tumutugma ito. I-verify ang syntax ng iyong mga pagbabago sa configuration pagkatapos i-save ang file at isara ang iyong editor. Gamitin ang kasunod na tagubilin upang suriin:
$ sudo nginx –tI-reload ang Nginx para i-load ang na-update na configuration pagkatapos matiyak na tama ang syntax ng iyong configuration file:
$ sudo systemctl reload nginxNgayon, maaaring awtomatikong mahanap ng Certbot ang tamang server block at i-update ito. Ang isang systemctl ay namamahala sa pag-inspeksyon at pamamahala sa systemd system at pamamahala ng serbisyo. Ito ay nagsisilbing kapalit ng System V init daemon at binubuo ng ilang system administration library, tool, at daemon.
Paganahin ang HTTPS Sa pamamagitan ng Firewall
Pinapayuhan ka ng mga kinakailangang rekomendasyon na paganahin ang UFW firewall. Dapat mong baguhin ang mga setting upang payagan ang trapiko ng HTTPS.
Ang opsyon sa katayuan ng UFW ay nagbibigay-daan sa amin na tingnan ang pinakabagong kundisyon ng UFW. Ang katayuan ng UFW ay nagpapakita ng isang listahan ng mga regulasyon kung ang UFW ay isinaaktibo. Siyempre, kung mayroon kang mga kinakailangang kredensyal, maaari mo lamang patakbuhin ang command bilang root user o sa pamamagitan ng pag-prefix nito sa sudo.
Paganahin ang Nginx Buong profile at alisin ang hindi kinakailangang Nginx HTTP profile allowance upang payagan din ang trapiko ng HTTPS:
Ang nakaraang snippet ay nagpapakita ng paraan upang payagan ang kumpletong Trapiko mula sa Nginx at ang pangalawa ay nagpapakita kung paano tanggalin ang iba pang trapiko na aming pinahintulutan.
Paano Kumuha ng SSL Certificate
Sa tulong ng mga plugin, nag-aalok ang Certbot ng ilang paraan para makakuha ng mga SSL certificate. Ang pagsasaayos at pag-reload ng Nginx ng configuration ay hahawakan ng Nginx plugin kung kinakailangan.
Gamitin ang Certbot upang makuha kaagad ang SSL certificate ng domain. Upang ipahiwatig ang domain, kailangan ng argumentong '-d'. Isang certificate ang ibinigay ng Let's Encrypt para sa www subdomain at ang root. Kinakailangang makuha ang certificate para sa parehong bersyon dahil ang pagkakaroon lamang ng isa para sa alinmang bersyon ay magreresulta sa babala sa browser kung titingnan ng bisita ang ibang bersyon. Para sa mga bagong user, hinihiling sa iyo ng certbot na ibigay ang iyong email para sa una at kumpirmahin na sumasang-ayon ka sa mga tuntunin ng serbisyo.
Kung ito ay matagumpay, hihilingin sa iyo na gawin ang iyong pagpili at pindutin ang ENTER. Pagkatapos i-update ang configuration, magre-reload ang Nginx at isasaalang-alang ang mga bagong setting. Pagkatapos ng pagtatapos, ipapaalam sa iyo ng certbot na matagumpay ang pamamaraan.
Konklusyon
Sa gabay na ito, ipinakita namin kung paano i-install at gamitin ang Let's Encrypt software certbot, kumuha ng SSL certificate, i-set up ang iyong auto-update para sa SSL certificate, at i-configure ang Nginx. Bilang karagdagan, binigyan ka rin namin ng ilang halimbawa ng mga sitwasyon na maaaring magresulta sa mga isyu sa compilation kapag ginagamit ang Let's Encrypt Digital Ocean.