एसएसएल और सिक्योर सिफर का उपयोग करके अपने नगनेक्स-संचालित वेबसाइट को कैसे सुरक्षित करें

• परिचय
• पहचान

परिचय

एसएसएल ( सिक्योर सॉकेट्स लेयर के लिए खड़ा है ) और इसके उत्तराधिकारी, टीएलएस ( ट्रांसपोर्ट लेयर सिक्योरिटी के लिए खड़ा है ) इंटरनेट पर सुरक्षित संचार के लिए क्रिप्टोग्राफिक प्रोटोकॉल हैं। यह एक वेबसाइट के लिए एक सुरक्षित कनेक्शन बनाने के लिए इस्तेमाल किया जा सकता है।

पहचान

सुनिश्चित करें कि Nginx और OpenSSL आपके सर्वर पर स्थापित हैं। इस लेख में, हम एक स्व-हस्ताक्षरित एसएसएल प्रमाणपत्र उत्पन्न करके प्रक्रिया प्रदर्शित करेंगे।

चरण 1: प्रमाणपत्र और निजी कुंजी के लिए एक निर्देशिका बनाएं

हम एक निर्देशिका बनाएँ (और इसे दर्ज करेंगे) / etc / nginx (यह मानते हुए कि निर्देशिका Nginx की कॉन्फ़िगरेशन निर्देशिका है), द्वारा:

sudo mkdir /etc/nginx/ssl
cd /etc/nginx/ssl # we'll perform our next few steps in this dir

चरण 2: निजी कुंजी और सीएसआर बनाएं

आइए साइट की निजी कुंजी बनाकर शुरू करें। इस उदाहरण में, हम मजबूत सुरक्षा के लिए 4096-बिट कुंजी का उपयोग करेंगे। ध्यान दें कि 2048-बिट भी सुरक्षित है, लेकिन 1024-बिट निजी कुंजी का उपयोग न करें!

sudo openssl genrsa -out example.com.key 4096

अब, प्रमाण पत्र पर हस्ताक्षर करने के लिए प्रमाणपत्र (सीएसआर) पर हस्ताक्षर करने के लिए प्रमाणपत्र बनाएं। हम 512-बिट SHA-2 का उपयोग करेंगे। -sha512विकल्प पर ध्यान दें ।

sudo openssl req -new -key example.com.key -out example.com.csr -sha512

यह उन फ़ील्ड्स की सूचियों को संकेत देगा, जिन्हें भरने की आवश्यकता है। सुनिश्चित करें कि Common Nameआपके डोमेन नाम पर सेट है! इसके अलावा, खाली A challenge passwordऔर An optional company nameखाली।

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:LosAngeles
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:*.example.com
Email Address []:webmaster@example.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

चरण 3: अपने प्रमाणपत्र पर हस्ताक्षर करें

लगभग हो गया! अब हमें सिर्फ इस पर हस्ताक्षर करना है। उन दिनों की संख्या के लिए 365 (365 दिनों के बाद समाप्ति) को बदलना न भूलें जिन्हें आप पसंद करेंगे।

sudo openssl x509 -req -days 365 -in example.com.csr -signkey example.com.key -out example.com.crt -sha512

अब, हम एक स्व-हस्ताक्षरित प्रमाणपत्र बना रहे हैं।

चरण 4: स्थापित करें

Nginx का उदाहरण SSL कॉन्फ़िग फ़ाइल खोलें:

sudo nano /etc/nginx/conf.d/example_ssl.conf

लाइन HTTPS सर्वर के तहत सेक्शन के भीतर Uncomment । अपने डोमेन नाम या आईपी पते के साथ लाइन example.comमें प्रतिस्थापित करने के लिए, नीचे दी गई जानकारी के लिए अपने कॉन्फ़िगरेशन से मिलान करें server_name। अपनी रूट डायरेक्टरी भी सेट करें।

# HTTPS server

server {
    listen       443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ecdh_curve secp384r1;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4; # no RC4 and known insecure cipher
location / {
  root   /usr/share/nginx/html;
  index  index.html index.htm;
 }
}

फिर Nginx को पुनरारंभ करें।

service nginx restart

अब, एक httpsपते ( https://your.address.tld) के साथ अपनी वेबसाइट पर जाएँ । आपका वेब ब्राउज़र आपके स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग करके एक सुरक्षित कनेक्शन दिखाएगा।