Nginxi tasuta SSL-sertifikaadi installimine Debian 10-le

Veebisaidi seadistamisel on teie saidi turvalisus üks peamisi kaalutlusi. SSL-sertifikaat on digitaalne sertifikaat, mis krüpteerib andmeid, mis saadetakse kasutaja brauserist veebiserverisse. Nii on saadetud andmed konfidentsiaalsed ja turvalised häkkerite eest, kes kasutavad teie suhtluse pealtkuulamiseks ja pealtkuulamiseks pakettnarkureid nagu Wireshark.

Krüptitud saidil on URL-i ribal tabaluku sümbol, millele järgneb akronüüm https, nagu on näidatud järgmisel ekraanipildil.

Krüptimata saidil on URL-i ribal tavaliselt märge „Pole turvaline”.

Enne alustamist veenduge, et järgmised nõuded oleksid täidetud:

  1. Debiani 10 minimaalse serveri töötav eksemplar.
  2. Nginxi veebiserveri töötav eksemplar koos domeeni seadistusega Debian 10-s.
  3. Registreeritud täielikult kvalifitseeritud domeeninimi (FQDN) koos kirjega A , mis osutab teie domeenipakkujal Debian 10 IP-aadressile.

Selle õpetuse jaoks oleme linux-console.net osutanud IP-aadressile 192.168.0.104.

Selles artiklis uurime, kuidas saate installida Let’s Encrypt SSL Debian 10-sse, et saada Nginxi hostitud saidi jaoks tasuta SSL-sertifikaat.

Krüpteerime SSL on EFF-i (Electronic Frontier Foundation) tasuta sertifikaat, mis kehtib 3 kuud ja mida pikendatakse automaatselt. See on lihtne ja odav viis oma saidi krüptimiseks, kui teie taskud on kitsad.

Ilma pikema jututa sukeldume ja installime Let’s Encrypt Nginxi veebiserverisse:

1. samm: installige Certbot Debian 10-sse

Alustuseks peame installima Certboti - see on tarkvara, mis tõmbab digitaalse sertifikaadi Let’s krüpteerimise ja hiljem veebiserverisse juurutamise. Selle saavutamiseks peame installima paketi python3-certbot-nginx. Kuid enne seda värskendame kõigepealt süsteemipakette.

$ sudo apt update

Järgmine samm on paketi python3-certbot-nginx nõutavate sõltuvuste installimine.

$ sudo apt install python3-acme python3-certbot python3-mock python3-openssl python3-pkg-resources python3-pyparsing python3-zope.interface

Nüüd installime paketi python3-certbot-nginx.

$ sudo apt install python3-certbot-nginx

Samm 2. Nginxi serveriploki konfiguratsiooni kontrollimine

Selleks, et certbot krüptiks SSL-i sertifikaadi Nginxi veebiserveris automaatselt, tuleb seadistada serveriplokk. Nginxi serveriplokkide konfiguratsiooni käsitlesime eelmise artikli viimases jaotises.

Kui jälgisite tähelepanelikult, peaks teil olema serveriplokk aadressil/etc/nginx/sites-available/some_domain. Meie puhul saab Nginxi serveriplokk olema

/etc/nginx/sites-available/linux-console.net

Lisaks veenduge, et server_name-direktiiv vastab teie domeeninimele.

server_name linux-console.net linux-console.net;

Kõigi Nginxi konfiguratsioonide korrasoleku kinnitamiseks käivitage:

$ sudo nginx -t

Ülaltoodud väljund näitab, et kõik on hästi.

3. samm: konfigureerige tulemüür HTTPS-pordi avamiseks

Kui olete ufw konfigureerinud ja lubanud, nagu alati soovitatakse, peame lubama HTTPS-protokolli kogu tulemüüris, nii et veebiserver oleks kõigile juurdepääsetav.

$ sudo ufw allow 'Nginx Full'

Järgmisena laadige muudatuste rakendamiseks tulemüür uuesti.

$ sudo ufw reload

Kontrollimaks, kas oleme lubanud protokolli tulemüüri kaudu.

$ sudo ufw status

4. samm: krüpteerime domeeni SSL-sertifikaadi

Kui kõik seaded ja konfiguratsioonid on kontrollitud, on aeg domeeni saidil tuua ja krüpteerida SSL-i sertifikaat.

$ sudo certbot --nginx -d domain-name  -d www.domain-name.com 

Meie puhul on see nii

$ sudo certbot --nginx -d linux-console.net -d linux-console.net

Esimesel sammul palutakse teil sisestada oma e-posti aadress. Sisestage oma aadress ja vajutage sisestusklahvi.

Järgmisena palutakse teil nõustuda teenusetingimustega. Tüüp A jätkamiseks.

Certbot küsib teie nõusolekut teie e-posti aadressi kasutamiseks, et saata teile teateid EFFi viimaste arengute kohta. Siin saate valida kas lubada või loobuda, lubada, tippida Y (jah) ja vajutada sisestusklahvi. Osalusest keeldumiseks vajuta N (Ei).

Seejärel võtab Certbot ühendust krüptimisega, laadime alla SSL-sertifikaadi ja juurutame selle juba loodud Nginxi serveriplokki.

Järgmises jaotises tippige tavaline HTTP-liiklus HTTPS-i suunamiseks 2 .

Sertifikaat juurutatakse teie Nginxi serverisse ja saate õnnitlusteate, mis kinnitab, et teie veebiserver on nüüd krüpteeritud, kasutades Let’s Encrypt SSL-i.

5. samm: kontrollige HTTPS-i Nginxi veebisaidil

Veebibrauseri kaudu muudatuste kinnitamiseks värskendage brauseri vahekaarti ja märkage kindlasti tabaluku sümbolit.

SSL-sertifikaadi üksikasjade kuvamiseks klõpsake tabalukuikoonil ja valige suvand „Sertifikaat”.

Kuvatakse kõik sertifikaadi üksikasjad.

Veebiserveri olekut saate täiendavalt kontrollida, testides saidi URL-i aadressil https://www.ssllabs.com/ssltest/. Kui veebiserver krüpteeritakse SSL-sertifikaadi abil, saate A-skoori, nagu näidatud.

Oleme jõudnud selle õpetuse lõpuni. Juhendis õppisite installima Nginxi jaoks tasuta SSL-sertifikaadi Debian 10-sse.