In den alten Zeiten war es für Websites ganz normal, Inhalte über das herkömmliche HTTP -Protokoll zu bedienen, da die Sicherheit kein großes Problem war. Heutzutage aufgrund des Anstiegs von Cyberkriminalität wie Diebstahl, Kreditkartendiebstählen und Abhören ist es wirklich wichtig, den Kanal zu sichern, der mit dem Server kommuniziert. Let's Encrypt ist eine Zertifikatsbehörde, die SSL/TLS -Zertifikate kostenlos zur Verfügung stellt. Die von ihnen ausgestellten Zertifikate sind 3 Monate gültig, dh 90 Tage im Vergleich zu einem Jahr oder mehr von Commercial-Grade-Zertifikatbehörden. Es bietet jedoch den gleichen Schutz wie bezahlte Zertifikate. Daher wird es oft von vielen Bloggern und kleinen Website -Eigentümern gegen Cyberkriminelle ausgewählt. Dieser Artikel soll demonstrieren.

Anforderungen

Dieser Leitfaden verwendet Ubuntu 16.04 als Betriebssystem, auf dem der Webserver ausgeführt wird. Die gleichen Schritte können jedoch für andere Ubuntu -Versionen verwendet werden, solange es keinen Unterschied in den Einstellungen gibt. In dieser Handbuch wird davon ausgegangen, dass der Benutzer bereits über einen Webserver installiert ist und Nginx ist. Als SSH -Client wird Putty verwendet, und wie der Datei -Editor Nano empfohlen wird.

Lösung

1. Auf das auf den Tröpfchen erstellte Webserver kann über das SSH-Protokoll zugegriffen werden. Laden Sie Putty von seiner offiziellen Website herunter und installieren Sie sie. Die Anwendung ist völlig kostenlos.

sudo apt-get putty installieren

2. Nach dem Herunterladen von Putty laden Sie den Nano herunter. Der Zweck von Putty besteht darin.

sudo apt-get nano installieren

3. Starten Sie den Putty und navigieren Sie zur Sitzungsregisterkarte.

4. Geben Sie im Feld des Hostnamens die IP-Adresse des Digitalocean-Tröpfchens ein, in dem der Webserver installiert ist. Die IP -Adresse der Tröpfchen finden Sie in https: // cloud.Digitalocean.com/tropfen. Im Bereich Port 22 22.

5. Nachdem Sie alle oben angegebenen Felder übermittelt haben, drücken Sie in Ordnung, um die Änderungen anzuwenden und sich am Tröpfchen anzumelden. Wenn Sie sich beim System anmelden, wird der Benutzername und das Passwort des Tröpfchens gefragt. Sowohl der Benutzername als auch das Passwort werden beim Erstellen des Tröpfchens per E -Mail an die registrierte E -Mail in Digitalocean gesendet.

6. Dieser Leitfaden verwendet Certbot, ein Tool von Drittanbietern. Certbot hat eine eigene Website, an der die zu verwendenden Befehle mit Leichtigkeit generiert werden können. Gemäß Certbot sind die richtigen Befehle für die Installation von Certbot auf Ubuntu diese. Zuerst aktualisiert es die Paketinformationen im lokalen Repository und installiert dann das gemeinsame Paket für Software -Eigenschaften, das einige nützliche Skripte in der Handhabung persönlicher Paket (PPA) bietet. Python certbot nginx Paket. Stellen Sie sicher, dass alle diese Pakete ordnungsgemäß installiert sind, bevor Sie zum nächsten Schritt gehen.

$ sudo apt-Get-Update
$ sudo apt-Get Installieren Sie Software-Properties-Common
$ sudo add-apt-Repository PPA: certbot/certbot
$ sudo apt-Get-Update
$ sudo apt-Get Installieren Sie Python-CertBot-Nginx

7. Navigieren Sie zur Website, von der die Domain gekauft wurde. Diese Anleitung verwendet Porkbun als Domain -Registrar und füge dann den A -Datensatz zur Domäne hinzu. Typ ist ein Datensatz, der Host ist leer, wenn die IP der Stammdomäne zugeordnet ist. Verwenden Sie sonst den Subdometernamen ohne die Root -Domäne, beispielsweise wenn es sich um Nucuta handelt.com, benutze einfach www. Als Antwort geben Sie die IP -Adresse des Tröpfchens ein.

8. Auf die gleiche Weise leiten Sie den WWW -Verkehr wie folgt auf die Root -Domäne um. Typ ist "cname", Host ist "www", Antwort lautet "nucuta".com ”oder deine Domain. Dieser Schritt ist wichtig, da er den gesamten WWW -Verkehr in die Root Domain weiterleitet.

9. Verwenden Sie den folgenden Befehl auf Putty, um auf die Standarddatei von Nginx zuzugreifen. Die Standarddatei verwendet standardmäßig einen Serverblock, in dem sich die primäre Domäne befindet. Der Nano -Editor wird sehr empfohlen, da es im Vergleich zu anderen sehr bequem zu bedienen ist.

sudo nano/etc/nginx/sites-verfügbare/standardmäßig

10. Navigieren Sie in der Standarddatei zu Server Block und leiten Sie den HTTP -Datenverkehr auf HTTPS und ändern Sie im anderen Serverblock, wo der gesicherte Datenverkehr behandelt wird

server_name nucuta.com www.Nucuta.com

11. Geben Sie den folgenden Befehl ein, um den NGINX -Webserver neu zu starten. Immer wenn in der Standarddatei eine Änderung vorgenommen wurde, muss der gesamte Nginx -Server neu gestartet werden, damit neue Änderungen einen Effekt haben.

sudo systemctl neu laden nginx

12. Standardmäßig blockiert die Firewall den gesamten Verkehr mit Ausnahme von Port 80 und 22. Die HTTPS verwendet den Port 443; Daher muss man manuell geöffnet werden, um von der Client -Seite vom Webserver zuzugreifen. Das Öffnen des Hafens hängt von der Firewall ab.
    

    In CSF (konfigurierte Server -Firewall)

    1. Öffnet die CSF -Konfigurationsdatei, indem er den folgenden Befehl eingreift.

    Nano/etc/csf/csf.Conf

    2. Fügen Sie die folgenden Ports zu TCP ein und aus.

    Tcp_in = "20,21,22,25,53,80,443"
    Tcp_out = "20,21,22,25,53,80,443"

    3. Starten Sie das CSF durch Eingabe neu CSF -r

    In USF (unkomplizierte Firewall)

    1. Geben Sie die folgenden zwei Befehle ein, um HTTPS zur Ausnahmsliste hinzuzufügen. "Nginx Full" Paket hat sowohl HTTP- als auch HTTPS -Ports. Das Hinzufügen des vollständigen Pakets ermöglicht daher sowohl den Verkehr ein- als auch außen.

    sudo ufw erlauben 'nginx full'
    sudo ufw delete 'nginx http' zulassen

    2. Geben Sie den folgenden Befehl ein, um den Status anzuzeigen

UFW -Status

13. Überprüfen Sie den 443 -Port von einer externen Website, um sicherzustellen, dass er sicher geöffnet wird. Wenn der Port geöffnet ist, heißt es "443 Port ist geöffnet"

14. Verwenden Sie nun den CertBot, um das SSL -Zertifikat an der Domäne abzurufen. D Parameter ist erforderlich, um die Domäne anzugeben. Verschlüsseln wir ein Zertifikat sowohl für Root als auch für die WWW -Subdomain veröffentlicht. Wenn Sie nur eine für beide Versionen haben, wird eine Warnung im Browser ausgegeben, wenn ein Besucher auf die andere Version zugreift. Daher ist es wichtig, das Zertifikat für beide Versionen zu erhalten.

    sudo certbot -nginx -d nucuta.com -d www.Nucuta.com

15. Certbot bitten darum, den gesamten HTTP -Verkehr auf HTTPS umzuleiten, aber es ist nicht erforderlich, da er bereits in einem der vorherigen Schritte durchgeführt wird.

16. Navigieren Sie nun zur SSL Lab -Website und überprüfen Sie die Qualität oder andere Probleme des Zertifikats und seiner Konfiguration. https: // www.SSlllabs.com/ssltest/

17. Wenn die aktuelle Konfiguration nicht genug gesichert ist, navigieren Sie zu Mozilla SSL -Konfigurationsgenerator und generieren Sie die Einstellungen für Ihren Webserver. https: // Mozilla.Github.IO/Server-Side-TLS/SSL-Config-Generator/. Verwenden Sie NGINX als Webserver, da hier Nginx verwendet wird. Es bietet drei Optionen, mittlerer, alt und modern. Die alte Option macht die Website mit praktisch jedem Browser kompatibel, einschließlich super alter Browser wie IE 6, während die Zwischenoption es ideal für durchschnittliche Benutzer macht. Die moderne Option generiert Konfiguration, die für die maximale Sicherheit erforderlich sind, aber als Kompromiss die Website wird die Website nicht funktionieren richtig auf älteren Browsern. Es ist also dringend empfohlen für Websites, auf denen die Sicherheit ein großes Problem ist.

18. Navigieren Sie zu Ihrer Website und klicken Sie mit der rechten Maustast.

19. Wenn es einen zukünftigen Datum nach der Option in Gültigkeit zeigt, was bedeutet, dass der Zertifikat erfasst wurde. Es ist jedoch wichtig, den Verkehr auf die relevante Version der Domäne umzuleiten, beispielsweise können HTTP- und WWW -Verkehr die HTTPS -Root -Domäne umgeleitet werden, wie in diesem Handbuch zu sehen ist. Das Zertifikat wird automatisch per Certbot erneuert. Daher ist es dem Website -Eigentümer kostenlos kostenlos zur Verfügung.