לדומיין של אתר אינטרנט חייב להיות הצפנת SSL/TLS אם הוא מתכוון למשוך מבקרים. אישורי SSL/TLS מספקים חיבור חזק בין שרתי אינטרנט ודפדפנים. קודם לכן, האבטחה לא הייתה דאגה גדולה. זה היה נפוץ יחסית שאתרים מספקים נתונים באמצעות פרוטוקול HTTP שנקבע. עם זאת, כיום, הערוץ המשמש לתקשורת עם השרת חייב להיות מאובטח, מכיוון שפשעי סייבר, כולל גניבת זהות, הונאה בכרטיסי אשראי וריגול, נמצאים במגמת עלייה.
רשות אישורים (CA) בשם Let's Encrypt מציעה תעודות SSL/TLS בחינם, המאפשרות הצפנת HTTPS בשרתי אינטרנט. זה מאומת דומיין, כך שאין צורך בכתובת IP ייעודית. בדרך כלל מומלץ להפעיל אישור SSL באתר שלך כדי לשפר את דירוג ה-SEO שלך, במיוחד בגוגל.
פעולות של Let's Encrypt
Let's Encrypt מאשר בעלות על דומיין לפני מתן אישור. כאשר האסימון מאומת, שרת האימות של Let's Encrypt מבצע בקשת HTTP כדי להשיג את הקובץ ומבטיח שרשומת ה-DNS של הדומיין מצביעה על השרת המארח את לקוח Let's Encrypt.
דרישות
עליך לבצע את הפעולות הבאות לפני השימוש ב-Let's Encrypt:
בצע את ההוראות בהגדרת שרת ראשונה זו עבור אובונטו 20.04, לאחר הגדרת שרת Ubuntu 20.04, עם חומת אש ומשתמש שאינו שורש עם גישת sudo.
שם מתחם עם רישום. לאורך מאמר זה, ייעשה שימוש ב-myfirstproject1.com. אתה יכול לקנות דומיין.
שתי רשומות ה-DNS הבאות מוגדרות בשרת שלך.
- רשומת 'myproject1' עם myfirstproject1.com מצביע על כתובת ה-IP הציבורית של השרת שלך
- רשומת 'myproject2' עם myfirstproject2.com מצביע על כתובת ה-IP הציבורית של השרת שלך.
יש להתקין את Nginx, ואתה חייב לוודא שלדומיין שלך יש חסימת שרת.
שלבים להתקנת Let's Encrypt באוקיינוס הדיגיטלי
השלבים העיקריים להתקנת Let's Encrypt באוקיינוס הדיגיטלי הם:
התקנת Certbot
תוכנת Certbot היא הצורך העיקרי בשימוש ב- Let's Encrypt כדי להשיג תעודת SSL. להתקנת Certbot והתוסף Nginx שלו, אנו משתמשים בפקודה הבאה:
רוב חברות האחסון המשותף וכמה חברות אירוח בענן משלבות Certbot או תוסף דומה בפאנל אירוח האתר המאפשר לך לרכוש, לחדש ולנהל תעודות SSL/TLS על ידי כמה קליקים.
בעוד 'python3-certbot-nginx' היא חבילה המשמשת ל:
הדגימו מיד ל- Let's Encrypt CA שאתם אחראים על האתר.
- שמור תיעוד של מתי יש לשדרג את הרישיון שלך ומתי הוא עומד לפוג.
- השג והתקן אישור מהימן של דפדפן בכל שרת אינטרנט.
- לסייע לך בביטול האישור במקרה הצורך.
Certbot מוכן כעת לשימוש, אך יש לאשר חלק מההגדרות שלו לפני שהוא יוכל להגדיר SSL עבור Nginx באופן אוטומטי.
אימות התצורה של Nginx
Certbot אמור להיות מסוגל להגדיר SSL באופן אוטומטי. זה חייב להיות מסוגל לאתר את בלוק השרת המתאים בתצורת ה-Nginx שלך. ליתר דיוק, הוא משיג זאת על ידי חיפוש הנחיית שם שרת התואמת לדומיין שאתה מבקש אישור עבורו.
ההנחיה של שם השרת כבר אמורה להיות מוגדרת כראוי בבלוק שרת עבור הדומיין, שבו נשתמש בכתובת '/etc/nginx/sites-available/myfirstproject1.com'.
פתח את קובץ תצורת הדומיין בננו או בעורך הטקסט האחר שלך כדי לוודא שהקובץ שלך ייפתח אם הוא קיים, סגור את העורך ועבור לפעולה הבאה. שם השרת ייראה כמו 'server_name domain_name www.domain_name.com ', כפי שמוצג בקטע למטה.
אם זה לא משתנה, זה מתאים. אמת את התחביר של שינויי התצורה שלך לאחר שמירת הקובץ וסגירת העורך. השתמש בהוראות הבאות כדי לבדוק:
$ סודו nginx –tטען מחדש את Nginx כדי לטעון את התצורה המעודכנת לאחר שתוודא שהתחביר של קובץ התצורה שלך נכון:
$ סודו systemctl טען מחדש את nginxכעת, Certbot יכול לאתר באופן אוטומטי את בלוק השרת הנכון ולעדכן אותו. מערכת systemctl אחראית על בדיקה וניהול של מערכת המערכת וניהול השירות. הוא משמש כתחליף של System V init daemon ומורכב ממספר ספריות ניהול מערכת, כלים ודמונים.
הפעלת HTTPS דרך חומת האש
ההמלצות הנדרשות מייעצות לך להפעיל את חומת האש של UFW. עליך לשנות את ההגדרות כדי לאפשר תעבורת HTTPS.
אפשרות סטטוס UFW מאפשרת לנו לראות את המצב האחרון של UFW. סטטוס UFW מציג רשימה של תקנות אם UFW מופעל. כמובן, אם יש לך את האישורים הדרושים, תוכל להריץ את הפקודה רק כמשתמש השורש או על ידי הקדמת sudo.
הפעל את הפרופיל Nginx Full והסר את הקצבה המיותרת של פרופיל Nginx HTTP כדי לאפשר גם תעבורת HTTPS:
הקטע הקודם מראה את השיטה לאפשר תנועה מלאה מ-Nginx והשני מראה כיצד למחוק את התנועה האחרת שהרשינו.
כיצד לקבל תעודת SSL
בעזרת תוספים, Certbot מציע מספר דרכים לקבל תעודות SSL. התצורה של Nginx וטעינה מחדש של התצורה תטופל על ידי התוסף Nginx לפי הצורך.
השתמש ב-Certbot כדי לקבל את אישור ה-SSL של הדומיין מיד. כדי לציין את הדומיין, יש צורך בארגומנט '-d'. אישור אחד מונפק על ידי Let's Encrypt עבור תת-הדומיין www והשורש. יש צורך להשיג את האישור עבור שתי הגרסאות מכיוון שיש רק אחת עבור כל אחת מהגרסאות תגרום לאזהרה בדפדפן אם מבקר יראה את הגרסה השנייה. עבור משתמשים חדשים, certbot מבקש ממך לספק את האימייל שלך בפעם הראשונה ולאשר שאתה מסכים לתנאי השירות.
אם זה היה מוצלח, זה יבקש ממך לבצע את הבחירה שלך וללחוץ על ENTER. לאחר עדכון התצורה, Nginx יטען מחדש וישקול את ההגדרות החדשות. לאחר סיום, certbot יודיע לך שההליך הצליח.
סיכום
במדריך זה, הדגמנו כיצד להתקין ולהשתמש בתוכנת Let's Encrypt certbot, לקבל אישור SSL, להגדיר את העדכון האוטומטי שלך לאישור SSL ולהגדיר את Nginx. בנוסף, סיפקנו לך גם כמה דוגמאות למצבים שעלולים לגרום לבעיות קומפילציה בעת השימוש ב-Let's Encrypt Digital Ocean.