Kurulum Ubuntu 16.04 Üzerinde Nginx ile Şifreleme Sağlıyor

• Ön şartlar
• Certbot'u yükle
• Nginx'i Yapılandırma
• Let's Encrypt SSL sertifikası edinme
• Yenilemeyi otomatikleştirme
• Gelişmiş yapılandırma

Let's Encrypt, otomatik bir istemciyle ücretsiz SSL sertifikaları sağlayan bir Sertifika Yetkilisidir (CA). Let's Encrypt SSL sertifikası kullanarak web siteniz ve ziyaretçileriniz arasındaki trafiği şifreleyebilirsiniz. Tüm süreç basittir ve yenilemeler otomatikleştirilebilir. Ayrıca, sertifikaların yüklenmesi veya yenilenmesinin kesinti süresine neden olmadığını unutmayın.

Bu öğreticide, SSL sertifikanızı almak, yüklemek ve otomatik olarak yenilemek için Certbot'u kullanacağız. Certbot, Electronic Frontier Foundation (EFF) tarafından aktif olarak geliştirilmektedir ve Let's Encrypt için önerilen müşteridir.

Ön şartlar

• Ubuntu 16.04 çalıştıran bir Vultr örneği
• Sunucunuzu işaret eden kayıtlı bir alan adı
• nginx

Certbot'u yükle

Let's Encrypt SSL sertifikası almak için sunucunuza Certbot istemcisini kurmanız gerekir.

Depoyu ekleyin. ENTERKabul etmeniz istendiğinde tuşuna basın .

add-apt-repository ppa:certbot/certbot

Paket listesini güncelleyin.

apt-get update

Certbot ve Certbot'un Nginx paketini yükleyerek devam edin.

apt-get -y install python-certbot-nginx

Nginx'i Yapılandırma

Certbot, Nginx için SSL'yi otomatik olarak yapılandırır, ancak bunun için Nginx yapılandırma dosyanızda sunucu bloğunu bulması gerekir. Bunu server_name, yapılandırma dosyasındaki yönerge için sertifika istediğiniz etki alanı adıyla eşleştirerek yapar .

Varsayılan yapılandırma dosyasını kullanıyorsanız, dosyayı /etc/nginx/sites-available/defaultgibi bir metin düzenleyicisiyle açın nanove server_nameyönergeyi bulun . Alt çizgiyi, _kendi alan adınızla değiştirin :

nano /etc/nginx/sites-available/default

Yapılandırma dosyasını server_namedüzenledikten sonra yönerge aşağıdaki gibi görünmelidir. Bu örnekte, alan adınızın example.com olduğunu ve example.com ve www.example.com için sertifika istediğini varsayıyorum.

server_name example.com www.example.com;

Düzenlemelerinizin sözdizimini doğrulayarak devam edin.

nginx -t

Sözdizimi doğruysa, yeni yapılandırmayı kullanmak için Nginx'i yeniden başlatın. Herhangi bir hata mesajı alırsanız, yapılandırma dosyasını yeniden açın ve yazım hatası olup olmadığını kontrol edin, ardından tekrar deneyin.

systemctl restart nginx

Let's Encrypt SSL sertifikası edinme

Aşağıdaki komut sizin için bir sertifika alır. Kullanmak için Nginx yapılandırmanızı düzenleyin ve Nginx'i yeniden yükleyin.

certbot --nginx -d example.com -d www.example.com

Ek alan adları için bir SSL sertifikası da isteyebilirsiniz. " -d" Seçeneğini istediğiniz kadar eklemeniz yeterlidir.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

Sertifikayı yalnızca otomatik olarak yüklemeden Şifrelemeden almak istiyorsanız, aşağıdaki komutu kullanabilirsiniz. Bu, sertifikayı almak için Nginx yapılandırmanızda geçici değişiklikler yapar ve sertifika indirildikten sonra bunları geri alır.

certbot --nginx certonly -d example.com -d www.example.com

Certbot'u ilk kez çalıştırıyorsanız, bir e-posta adresi girmeniz ve hizmet şartlarını kabul etmeniz istenir. Bu e-posta adresi yenileme ve güvenlik bildirimleri için kullanılacaktır. Bir e-posta adresi girdikten sonra, Certbot Let's Encrypt'ten bir sertifika isteyecek ve söz konusu etki alanını kontrol ettiğinizi doğrulamak için bir meydan okuma gerçekleştirecektir.

Certbot bir SSL sertifikası alabilirse, HTTPSayarlarınızı nasıl yapılandırmak istediğinizi sorar . Web sitenizi güvenli olmayan bir bağlantı üzerinden ziyaret eden ziyaretçileri yönlendirebilir veya güvenli olmayan bağlantı üzerinden siteye erişmelerine izin verebilirsiniz. Bu genellikle etkinleştirilmelidir, çünkü ziyaretçilerin web sitenizin yalnızca SSL korumalı sürümüne erişmesini sağlar. Seçiminizi yapın, sonra düğmesine basın ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Son olarak, Certbot işlemin başarılı olduğunu ve sertifikalarınızın nerede saklandığını doğrulayacaktır. Sertifikalarınız şimdi indirilip yüklendi.

Yenilemeyi otomatikleştirme

Let's Encrypt ücretsiz bir sertifika yetkilisi olduğu ve kullanıcıları yenileme işlemini otomatikleştirmeye teşvik ettiği için, sertifikalar yalnızca 90 gün geçerlidir. Certbot sertifikaları otomatik olarak yenilemekle ilgilenecektir. Bunu certbot renewgünde iki kez çalıştırarak yapar systemd.

Bu komutu çalıştırarak otomatik yenilemenin çalışıp çalışmadığını kontrol edebilirsiniz.

certbot renew --dry-run

Aşağıdaki komutu çalıştırarak sertifikanızı istediğiniz zaman manuel olarak da yenileyebilirsiniz.

certbot renew

Gelişmiş yapılandırma

Yukarıdaki komutlar, çoğu durumda uygun bir yapılandırma ile SSL sertifikasını alır ve kurar. Web siteniz için gelişmiş güvenlik önlemleri uygulamak istiyorsanız, sertifikayı almak için aşağıdaki komutu kullanabilirsiniz.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

--rsa-key-size 4096Yerine daha güvenlidir 2048 bit anahtar, bir 4096-bit RSA anahtarı kullanır. Bunun dezavantajı, daha büyük bir anahtarın hafif bir performans yükü ile sonuçlanmasıdır. Ayrıca, eski tarayıcılar ve aygıtlar 4096 bit RSA anahtarlarını desteklemeyebilir.

--must-stapleSertifikaya OCSP Zorunluluk Zımba uzantısını ekler ve OCSP zımbalama için Nginx yapılandırır. Bu uzantı, tarayıcıların sertifikanızın iptal edilmediğini ve güvenilir olabileceğini doğrulamasını sağlar. Ancak, tüm tarayıcılar bu özelliği desteklemez.