Домен веб-сайта должен иметь шифрование SSL/TLS, если он намерен получать посетителей. Сертификаты SSL/TLS обеспечивают надежное соединение между веб-серверами и браузерами. Раньше безопасность не была серьезной проблемой. Веб-сайты относительно часто доставляли данные по установленному протоколу HTTP. Однако в настоящее время канал, используемый для связи с сервером, должен быть защищен, поскольку растет число киберпреступлений, включая кражу личных данных, мошенничество с кредитными картами и шпионаж.
Центр сертификации (ЦС) под названием Let’s Encrypt предлагает бесплатные сертификаты SSL/TLS, обеспечивающие шифрование HTTPS на веб-серверах. Это подтвержденный домен, поэтому выделенный IP-адрес не требуется. Обычно рекомендуется включить SSL-сертификат на вашем веб-сайте, чтобы улучшить ваш SEO-рейтинг, особенно в Google.
Работа Let’s Encrypt
Let’s Encrypt подтверждает право собственности на домен перед предоставлением сертификата. Когда токен проверен, сервер проверки Let’s Encrypt отправляет HTTP-запрос на получение файла и гарантирует, что запись DNS домена указывает на сервер, на котором размещен клиент Let’s Encrypt.
Требования
Перед использованием Let’s Encrypt необходимо сделать следующее:
Следуя инструкциям в этом руководстве по настройке первого сервера для Ubuntu 20.04, после настройки сервера Ubuntu 20.04 в комплекте с брандмауэром и пользователем без полномочий root с доступом sudo.
Доменное имя с регистрацией. В этой статье будет использоваться myfirstproject1.com. Вы можете купить домен.
Следующие две записи DNS настроены на вашем сервере.
- Запись «myproject1» с myfirstproject1.com, указывающей на общедоступный IP-адрес вашего сервера.
- Запись «myproject2», где myfirstproject2.com указывает на общедоступный IP-адрес вашего сервера.
Должен быть установлен Nginx, и вы должны убедиться, что ваш домен имеет блокировку сервера.
Шаги по установке Let’s Encrypt в Digital Ocean
Основные шаги по установке Let’s Encrypt в цифровом океане:
Установка Сертбота
Программное обеспечение Certbot является основной необходимостью использования Let’s Encrypt для получения SSL-сертификата. Для установки Certbot и его плагина Nginx мы используем следующую команду:
Большинство компаний виртуального хостинга и некоторые компании облачного хостинга включают Certbot или аналогичный плагин в панель хостинга веб-сайта, которая позволяет вам приобретать, обновлять и администрировать сертификаты SSL/TLS с помощью нескольких щелчков мышью.
Принимая во внимание, что «python3-certbot-nginx» — это пакет, используемый для:
Немедленно продемонстрируйте ЦС Let’s Encrypt, что вы отвечаете за веб-сайт.
- Ведите записи о том, когда ваша лицензия должна быть обновлена, и когда она вот-вот истечет.
- Получите и установите доверенный браузером сертификат на любом веб-сервере.
- Помощь в отзыве сертификата в случае необходимости.
Теперь Certbot готов к использованию, но некоторые его настройки необходимо подтвердить, прежде чем он сможет автоматически настроить SSL для Nginx.
Проверка конфигурации Nginx
Certbot должен иметь возможность автоматически настраивать SSL. Он должен иметь возможность найти правильный блок сервера в вашей конфигурации Nginx. Точнее, это достигается путем поиска директивы имени сервера, соответствующей домену, для которого вы запрашиваете сертификат.
У него уже должна быть правильно настроена директива имени сервера в блоке сервера для домена, который мы будем использовать в «/etc/nginx/sites-available/myfirstproject1.com».
Откройте файл конфигурации домена в nano или другом текстовом редакторе, чтобы убедиться, что ваш файл будет открыт, если он существует, закройте редактор и перейдите к следующему действию. Имя сервера будет выглядеть как «server_name domain_name www.domain_name.com ', как показано во фрагменте ниже.
Если не меняется, значит соответствует. Проверьте синтаксис изменений конфигурации после сохранения файла и закрытия редактора. Используйте следующую инструкцию для проверки:
$ судо нгинкс –тПерезагрузите Nginx, чтобы загрузить обновленную конфигурацию, предварительно убедившись в правильности синтаксиса файла конфигурации:
$ судо systemctl перезагрузить nginxТеперь Certbot может автоматически находить нужный серверный блок и обновлять его. Systemctl отвечает за проверку и управление системой systemd и управление службами. Он служит заменой демона инициализации System V и состоит из нескольких библиотек системного администрирования, инструментов и демонов.
Включение HTTPS через брандмауэр
Необходимые рекомендации советуют включить брандмауэр UFW. Вы должны изменить настройки, чтобы разрешить HTTPS-трафик.
Параметр состояния UFW позволяет нам просматривать самое последнее состояние UFW. Статус UFW отображает список правил, если UFW активирован. Конечно, если у вас есть необходимые учетные данные, вы можете запустить команду только от имени пользователя root или с префиксом sudo.
Включите полный профиль Nginx и удалите ненужный профиль Nginx HTTP, чтобы также разрешить HTTPS-трафик:
В предыдущем фрагменте показан способ разрешить полный трафик из Nginx, а во втором показано, как удалить другой разрешенный нами трафик.
Как получить SSL-сертификат
С помощью плагинов Certbot предлагает несколько способов получения SSL-сертификатов. Конфигурация Nginx и перезагрузка конфигурации будут обрабатываться плагином Nginx по мере необходимости.
Используйте Certbot, чтобы сразу получить SSL-сертификат домена. Для указания домена необходим аргумент «-d». Let’s Encrypt выдает один сертификат для поддомена www и корня. Необходимо получить сертификат для обеих версий, поскольку наличие только одного сертификата для любой версии приведет к появлению предупреждения в браузере, если посетитель просматривает другую версию. Для новых пользователей certbot сначала попросит вас указать свой адрес электронной почты и подтвердить, что вы согласны с условиями обслуживания.
Если это было успешно, он попросит вас сделать свой выбор и нажать ENTER. После обновления конфигурации Nginx перезагрузится и учтет новые настройки. После завершения certbot сообщит вам, что процедура прошла успешно.
Вывод
В этом руководстве мы продемонстрировали, как установить и использовать certbot программного обеспечения Let’s Encrypt, получить SSL-сертификат, настроить автоматическое обновление для SSL-сертификата и настроить Nginx. Кроме того, мы также предоставили вам несколько примеров ситуаций, которые могут привести к проблемам компиляции при использовании Let’s Encrypt Digital Ocean.