Kuidas Nginxi turvaline keskuse 8 abil krüpteerida

Let’s Encrypt on 2016. aasta aprillis asutatud Electronic Frontier Foundationi (EFF) poolt loodud tasuta ja automatiseeritud digitaalne sertifikaat, mis pakub veebisaitidele TLS-krüpteerimist täiesti tasuta.

Let’s Encrypt sertifikaadi eesmärk on nii turvasertifikaadi valideerimine, loomine, allkirjastamine kui ka automaatne uuendamine. See sertifikaat võimaldab krüpteeritud ühendusi veebiserveritega, kasutades HTTPS-protokolli lihtsalt ja probleemivabalt ning ilma keerukusteta. Sertifikaat kehtib ainult 90 päeva, mille jooksul saab automaatse pikendamise aktiveerida.

Soovitatav lugemine: Kuidas Apache'i krüpteerida, krüpteerime SSL-sertifikaadi CentOS 8-s

Selles artiklis demonstreerime, kuidas saate Let’s Encrypt'i installida, et saada tasuta SSL-sertifikaat, et Nginxi veebiserver turvaliseks CentOS 8-s (samad juhised toimivad ka RHEL 8-l). Samuti selgitame teile, kuidas oma SSL-sertifikaati automaatselt uuendada.

Enne kui me veendume, et teil on alljärgnev kontroll.

1. Täielikult kvalifitseeritud domeeninimi (FQDN), mis osutab veebiserveri spetsiaalsele IP-aadressile. See tuleb konfigureerida oma DNS-i veebimajutusteenuse pakkuja kliendialal. Selle õpetuse jaoks kasutame domeeninime linuxtechwhiz , mis osutab IP-aadressile 34.70.245.117.

2. Seda saab kinnitada ka läbiotsimise abil käsuga dig, nagu näidatud.

$ dig linuxtechwhiz.info

3. Nginx on veebiserverisse installitud ja töötab. Seda saate kinnitada, logides terminali sisse ja käivitades alloleva käsu. Kui Nginxit pole installitud, järgige meie artiklit Nginxi installimiseks CentOS 8-le.

$ sudo systemctl status nginx

4. Kontrollida saate ka veebiserveri URL-i külastades veebibrauseris.

http://server-IP-or-hostname

URL-ist näeme selgelt, et sait pole turvaline ja seega krüptimata. See tähendab, et kõiki veebiserverile esitatud taotlusi saab kinni pidada, kuna see hõlmab kriitilist ja konfidentsiaalset teavet, nagu kasutajanimed, paroolid, sotsiaalkindlustusnumbrid ja krediitkaarditeave.

Nüüd laseme käed räpaseks ja installime Let’s Encrypt.

Samm 1. Installige Certbot CentOS 8-sse

Let’s Encrypt -sertifikaadi installimiseks peab kõigepealt olema installitud certbot. See on laiendatav klient, kes tõmbab Let’s Encrypt Authority turvasertifikaadi ja võimaldab teil veebiserveri kasutamiseks sertifikaadi kinnitamist ja konfigureerimist automatiseerida.

Laadige alla certbot käsu curl abil.

$ sudo curl -O https://dl.eff.org/certbot-auto

Järgmisena liigutage sertifikaat kataloogi/usr/local/bin.

$ sudo mv certbot-auto /usr/local/bin/certbot-auto

Seejärel määrake faililuba certboti failile, nagu näidatud.

$ chmod 0755 /usr/local/bin/certbot-auto

Samm 2. Konfigureerige Nginxi serveriplokk

Nginxis asuv serveriplokk on samaväärne virtuaalse hostiga Apache'is. Serveriblokkide seadistamine võimaldab mitte ainult ühes serveris seadistada mitu veebisaiti, vaid võimaldab ka Certbotil tõendada domeeni omandiõigust sertifikaadiasutusele - CA.

Serveriploki loomiseks käivitage näidatud käsk.

$ sudo vim /etc/nginx/conf.d/www.linuxtechwhiz.info

Asendage domeeninimi kindlasti oma domeeninimega. Seejärel kleepige allolev konfiguratsioon.

server {
   server_name www.linuxtechwhiz.info;
   root /opt/nginx/www.linuxtechwhiz.info;

   location / {
       index index.html index.htm index.php;
   }

   access_log /var/log/nginx/www.linuxtechwhiz.info.access.log;
   error_log /var/log/nginx/www.linuxtechwhiz.info.error.log;

   location ~ \.php$ {
      include /etc/nginx/fastcgi_params;
      fastcgi_pass 127.0.0.1:9000;
      fastcgi_index index.php;
      fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
   }
}

Salvestage fail ja väljuge tekstiredaktorist.

3. samm: installige Lets Encrypt Certificate CentOS 8-sse

Nüüd kasutage turvasertifikaadi Let’s Encrypt allalaadimise ja seadistamise lähtestamiseks käsku certbot.

$ sudo /usr/local/bin/certbot-auto --nginx

See käsk käivitab ja installib mitu Pythoni paketti ja nende sõltuvusi, nagu näidatud.

Sellele järgneb interaktiivne viip, nagu näidatud:

Kui kõik läks hästi, peaksite saama õnnitlussõnumit näha kõige lõpus.

Teie Nginxi saidi krüptimise kinnitamiseks laadige veebileht uuesti üles ja jälgige URL-i alguses tabaluku sümbolit. See näitab, et sait on kaitstud SSL/TLS-krüptimise abil.

Turvasertifikaadi kohta lisateabe saamiseks klõpsake tabaluku sümbolil ja valige suvand „Sertifikaat”.

Lisateavet turvasertifikaadi kohta kuvatakse nagu allpool näidatud.

Lisaks võite turvasertifikaadi tugevuse testimiseks minna aadressile https://www.ssllabs.com/ssltest/ ja leida turvasertifikaadi oleku täpsem ja põhjalikum analüüs.

Samm 4. Uuendame krüptimise sertifikaadi

Nagu varem nägime, kehtib turvasertifikaat ainult 90 päeva ja seda tuleb enne kehtivuse lõppemist uuendada.

Sertifikaadi uuendamise protsessi saate simuleerida või testida, käivitades käsu:

$ sudo /usr/local/bin/certbot-auto renew --dry-run

See koondab selle Nginxi turvamise õpetuse teenusega Let’s Encrypt saidil CentOS 8. Let’s Encrypt pakub tõhusat ja muretut viisi oma Nginxi veebiserveri turvamiseks, mis muidu oleks käsitsi keeruline asi.

Teie sait peaks olema nüüd täielikult krüptitud. Mõni nädal enne sertifikaadi kehtivusaja lõppu hoiatab EFF teid e-posti teel sertifikaadi uuendamise eest, et vältida katkestusi, mis võivad tekkida aegunud sertifikaadi tõttu. See on kõik poisid tänaseks!