راه اندازی اجازه می دهد تا با Nginx در اوبونتو 16.04 رمزگذاری شود

• پیش نیازها
• Certbot را نصب کنید
• پیکربندی Nginx
• اخذ گواهی نامه Letter Encrypt SSL
• تجدید خودکار
• پیکربندی پیشرفته

Let's Encrypt یک مجوز صدور گواهینامه (CA) است که گواهینامه های SSL رایگان را با یک مشتری خودکار فراهم می کند. با استفاده از گواهی Letry Encrypt SSL می توانید ترافیک بین وب سایت و بازدید کنندگان خود را رمزگذاری کنید. کل فرایند ساده است ، و تمدیدها می توانند به صورت خودکار انجام شوند. همچنین توجه داشته باشید که نصب یا تمدید گواهینامه ها هیچ گونه خرابی ایجاد نمی کند.

در این آموزش از Certbot برای بدست آوردن ، نصب و تمدید خودکار گواهینامه SSL شما استفاده خواهیم کرد. Certbot به طور فعال توسط بنیاد الکترونیکی مرز (EFF) در حال توسعه است و مشتری پیشنهادی برای Letry Encrypt است.

پیش نیازها

• نمونه Vultr که اوبونتو 16.04 را اجرا می کند
• نام دامنه ثبت شده ای که به سرور شما نشان می دهد
• نگینکس

Certbot را نصب کنید

برای به دست آوردن گواهی نامه Let Encrypt SSL ، باید مشتری Certbot را روی سرور خود نصب کنید.

مخزن را اضافه کنید. ENTERهنگامی که از شما خواسته شد قبول کنید ، کلید را فشار دهید .

add-apt-repository ppa:certbot/certbot

لیست بسته ها را به روز کنید.

apt-get update

با نصب بسته Nginx Certbot و Certbot ادامه دهید.

apt-get -y install python-certbot-nginx

پیکربندی Nginx

Certbot به طور خودکار SSL را برای Nginx پیکربندی می کند ، اما برای این کار نیاز به یافتن بلوک سرور در پرونده پیکربندی Nginx شما دارد. این کار را با تطبیق server_nameبخشنامه در پرونده پیکربندی با نام دامنه ای که درخواست گواهی می کنید انجام می دهد.

اگر از پرونده پیکربندی پیش فرض استفاده می کنید ، /etc/nginx/sites-available/defaultآنرا با ویرایشگر متن مانند آن باز nanoکنید و server_nameبخشنامه را پیدا کنید . زیرنویس را _با نام دامنه (های) خود جایگزین کنید :

nano /etc/nginx/sites-available/default

پس از ویرایش پرونده پیکربندی ، server_nameبخشنامه باید به شرح زیر باشد. در این مثال ، من فرض می کنم که دامنه شما shembull.com است و شما برای گواهینامه هایی به عنوان مثال.com و www.example.com درخواست می کنید.

server_name example.com www.example.com;

با تأیید نحو ویرایش های خود اقدام کنید.

nginx -t

اگر نحو صحیح است ، Nginx را مجدداً راه اندازی کنید تا از پیکربندی جدید استفاده کند. اگر پیام خطایی دریافت کردید ، پرونده پیکربندی را مجدداً باز کنید و هرگونه علامت گذاری را بررسی کنید ، سپس دوباره امتحان کنید.

systemctl restart nginx

اخذ گواهی نامه Letter Encrypt SSL

دستور زیر گواهی را برای شما دریافت می کند. برای استفاده از آن ، پیکربندی Nginx را ویرایش کنید و Nginx را بارگیری مجدد کنید.

certbot --nginx -d example.com -d www.example.com

همچنین می توانید یک گواهینامه SSL را برای دامنه های اضافی درخواست کنید. فقط کافی است -dبارها و بارها گزینه دلخواه خود را اضافه کنید .

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

در صورتی که فقط می خواهید گواهی را از Let Encrypt دریافت کنید بدون اینکه به طور خودکار نصب شود می توانید از دستور زیر استفاده کنید. این امر برای به دست آوردن گواهینامه تغییراتی موقتی در تنظیمات Nginx شما ایجاد می کند و پس از دریافت گواهی ، آنها را برمی گرداند.

certbot --nginx certonly -d example.com -d www.example.com

اگر برای اولین بار Certbot را اجرا می کنید ، از شما خواسته می شود که آدرس ایمیل را وارد کنید و با شرایط خدمات موافقت کنید. از این آدرس ایمیل برای اعلامیه های امنیتی و جدید استفاده می شود. هنگامی که آدرس ایمیل خود را ارائه کردید ، Certbot یک گواهی از Letry Encrypt را درخواست می کند و برای تأیید کنترل دامنه مورد نظر ، چالشی را اجرا می کند.

اگر Certbot بتواند گواهی SSL را بدست آورد ، از شما می پرسد که چگونه می خواهید تنظیمات خود را پیکربندی کنید HTTPS. می توانید بازدیدکنندگانی را که از طریق وب سایت شما از طریق اتصال نا امن بازدید می کنند تغییر دهید یا به آنها اجازه دهید از طریق اتصال نا امن به آن دسترسی پیدا کنند. این معمولاً باید فعال شود زیرا اطمینان حاصل می کند که بازدید کنندگان فقط به نسخه محافظت شده SSL از وب سایت شما دسترسی پیدا می کنند. انتخاب خود را انتخاب کنید ، سپس ضربه بزنید ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

سرانجام ، Certbot تأیید می کند که فرایند موفقیت آمیز بوده و گواهینامه های شما در کجا ذخیره می شود. گواهینامه های شما اکنون بارگیری و نصب شده اند.

تجدید خودکار

از آنجا که Let's Encrypt یک مجوز مجوز رایگان است و برای ترغیب کاربران به منظور اتوماسیون فرایند تجدید ، گواهینامه ها فقط 90 روز اعتبار دارند. Certbot از تمدید گواهینامه ها به طور خودکار مراقبت خواهد کرد. این کار را با certbot renewدو بار در روز از طریق انجام می دهد systemd.

با اجرای این دستور می توانید بررسی کنید که نوسازی خودکار در حال کار است.

certbot renew --dry-run

همچنین می توانید با اجرای دستور زیر ، گواهی خود را در هر زمان به صورت دستی تمدید کنید.

certbot renew

پیکربندی پیشرفته

دستورات فوق گواهی SSL را با پیکربندی مناسب و مناسب برای اکثر موارد دریافت و نصب می کنند. اگر می خواهید اقدامات امنیتی پیشرفته را برای وب سایت خود پیاده سازی کنید ، می توانید از دستور زیر برای به دست آوردن گواهینامه استفاده کنید.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

--rsa-key-size 4096با استفاده از یک کلید RSA 4096 بیتی به جای 2048 کلید کمی است که امن تر است. نکته منفی این است که یک کلید بزرگتر منجر به کارایی اندک در عملکرد بالا می شود. علاوه بر این ، مرورگرها و دستگاههای قدیمی ممکن است از کلیدهای RSA 4096 بیتی پشتیبانی نکنند.

--must-stapleمی افزاید: گسترش منگنه OCSP باید به گواهی و تنظیم nginx برای صتبلرس OCSP. این برنامه افزودنی به مرورگرها اجازه می دهد تا بررسی کنند که گواهی شما ابطال نشده است و می توان به آن اعتماد کرد. با این وجود همه مرورگرها از این ویژگی پشتیبانی نمی کنند.