Let’s Encrypt ir Linux Foundation sadarbības projekts, atvērta sertifikātu pārvalde, kuru nodrošina interneta drošības pētījumu grupa. Ikvienam, kam pieder domēna vārds, var izmantot Let’s Encrypt, lai iegūtu uzticamu sertifikātu. Spēja automatizēt atjaunošanas procesu, kā arī strādāt, lai atvieglotu instalēšanu un konfigurēšanu. Palīdziet saglabāt vietņu drošību un veiciniet TLS drošības praksi. Uzturiet pārredzamību, visi sertifikāti ir publiski pieejami pārbaudei. Ļaujiet citiem izmantot savus izsniegšanas un atjaunošanas protokolus kā atvērtu standartu.
Būtībā “Let’s Encrypt” cenšas panākt, lai drošība nebūtu atkarīga no smieklīgiem lokiem, ko peļņas gūšanas organizācijas izveidojuši lieli. (Var teikt, ka es ticu atvērtajam avotam, un tas vislabāk ir atvērtais kods).
Ir divas iespējas: lejupielādēt pakotni un instalēt no krātuvēm vai instalēt certbot-auto iesaiņotāju (agrāk letsencrypt-auto) no letsencrypt tieši.
Lai lejupielādētu no krātuvēm
sudo apt-get instalēt letsencrypt -y
Kad instalēšana ir pabeigta, laiks iegūt sertifikātu! Mēs izmantojam certonly autonomo metodi, nārstojot servera instanci tikai sertifikāta iegūšanai.
sudo ļauj šifrēt certonly - standalone –d example.com -d apakšdomēns.example.com -d othersubdomain.example.com
Ievadiet savu e-pasta adresi un piekrītiet pakalpojumu sniegšanas noteikumiem. Tagad jums vajadzētu būt sertifikātam par labu katram ievadītajam domēnam un apakšdomēnam. Katrs domēns un apakšdomēns tiek apstrīdēts, tādēļ, ja jums nav DNS ieraksta, kas norāda uz jūsu serveri, pieprasījums neizdosies.
Ja vēlaties pārbaudīt procesu, pirms faktiskā sertifikāta saņemšanas pēc certonly kā argumentu varat pievienot –test-cert. Piezīme: –test-cert instalē nederīgu sertifikātu. To var izdarīt neierobežotu reižu skaitu, tomēr, ja izmantojat dzīvos seriālus, ir spēkā likmes ierobežojums.
Wild card domēni netiek atbalstīti, un nešķiet, ka tie tiks atbalstīti. Norādītais iemesls ir tāds, ka, tā kā sertifikātu process ir bezmaksas, varat pieprasīt tik daudz, cik nepieciešams. Tajā pašā sertifikātā var būt arī vairāki domēni un apakšdomēni.
Pāreja uz NGINX konfigurāciju, lai izmantotu mūsu jauniegūto sertifikātu! Ceļam uz sertifikātu es izmantoju faktisko ceļu, nevis regulāru izteiksmi.
Mums ir SSL, tikpat labi mēs varētu novirzīt visu savu datplūsmu uz to. Pirmā servera sadaļa tieši to dara. Man tas ir iestatīts, lai novirzītu visu datplūsmu, ieskaitot apakšdomēnus, uz primāro domēnu.
Ja izmantojat pārlūku Chrome un neatspējojat iepriekš uzskaitītos ssl šifrus, jūs saņemsit err_spdy_inadequate_transport_security. Jums arī jārediģē nginx conf fails, lai tas izskatītos apmēram tāds, lai apietu gzip drošības kļūdu
Ja atklājat, ka jums tiek liegta piekļuve, piemēram, piekļuve tiek liegta, jums vēlreiz jāpārbauda, vai servera_nosaukums (un sakne) ir pareizs. Es tikko pabeidzu dauzīt galvu pret sienu, līdz izgāju. Par laimi manos serveru murgos līdzās nāca atbilde - jūs aizmirsāt iestatīt saknes direktoriju! Asiņaini un izplūduši, es ieliku sakni, un tur tas ir, mans jaukais rādītājs.
Ja vēlaties iestatīt atsevišķus apakšdomēnus, varat tos izmantot
Jums tiks piedāvāts izveidot lietotājvārda paroli (divreiz).
sudo servisa nginx restartēšana
Tagad jūs varēsit piekļūt savai vietnei no jebkuras vietas, izmantojot lietotājvārdu un paroli, vai lokāli bez. Ja vēlaties vienmēr izaicināt paroli, noņemiet atļauju 10.0.0.0/24; # Pārslēdzieties uz vietējā tīkla līniju.
Ievērojiet atstarpi, kas attiecas uz auth_basic, ja tā nav pareiza, tiks parādīta kļūda.
Ja jums ir nepareiza parole, jūs saņemat trāpījumu ar 403
Vēl viens pēdējais elements, kas mums jādara, jāiestata SSL sertifikātu automātiska atjaunošana.
Šim vienkāršam cron darbam ir piemērots rīks šim darbam, mēs to noliksim kā galveno lietotāju, lai novērstu kļūdas atļaujās
(sudo crontab -l 2> / dev / null; atbalss ‘0 0 1 * * ļauj šifrēt atjaunot’) | sudo crontab -
/ Dev / null izmantošanas iemesls ir nodrošināt, lai jūs varētu rakstīt uz crontab, pat ja tāds iepriekš nebija.
3 minūtes lasīts
