A Let’s Encrypt egy Linux Foundation Collaborative Project, nyílt tanúsító hatóság, amelyet az Internet Security Research Group biztosít. Bárki, aki domain névvel rendelkezik, ingyenesen használhatja a Let’s Encrypt programot egy megbízható tanúsítvány megszerzéséhez. A megújítási folyamat automatizálásának képessége, valamint a telepítés és konfigurálás megkönnyítése érdekében végzett munka. Segítsen a webhelyek biztonságában, és elősegítse a TLS biztonsági gyakorlatait. Az átláthatóság fenntartása, az összes tanúsítvány nyilvánosan hozzáférhetővé tétele céljából. Engedje meg, hogy mások a kiadási és megújítási protokolljaikat nyílt szabványként használják.
Lényegében a Let’s Encrypt megpróbálja elérni, hogy a biztonság ne a nagy, nyereséges szervezetek által készített nevetséges karikákra támaszkodjon. (Mondhatni, hogy hiszek a nyílt forráskódban, és ez a legjobb esetben is nyílt forráskódú).
Két lehetőség van: töltse le a csomagot és telepítse a tárakból, vagy telepítse a certbot-auto burkolót (korábban letsencrypt-auto) közvetlenül a letsencrypt-ből.
Letöltés a tárakból
sudo apt-get install letsencrypt -y
Miután a telepítés befejeződött, ideje beszerezni a tanúsítványt! A certonly önálló módszert alkalmazzuk, és egy tanúsítvány megszerzéséhez egy szerver egy példányát hozzuk létre.
sudo titkosítja a certonly –standalone –d example.com -d aldomain.example.com -d othersubdomain.example.com
Írja be e-mail címét, és fogadja el a szolgáltatási feltételeket. Mostantól rendelkeznie kell egy tanúsítvánnyal minden beírt tartományhoz és aldomainhez. Minden domaint és altartományt megtámadnak, így ha nem rendelkezik a szerverére mutató DNS-rekorddal, a kérés sikertelen lesz.
Ha ki akarja próbálni a folyamatot, a tényleges tanúsítvány megszerzése előtt hozzáadhatja a –test-cert argumentumot a certonly után. Megjegyzés: A –test-cert érvénytelen tanúsítványt telepít. Ezt korlátlan számú alkalommal megteheti, azonban ha élő tanúsítványokat használ, akkor ráta van.
A vadkártya-domainek nem támogatottak, és nem tűnik úgy, hogy támogatni fogják őket. Ennek oka az, hogy mivel a tanúsítvány folyamata ingyenes, annyit kérhet, amennyire szüksége van. Emellett ugyanazon tanúsítványon több tartomány és altartomány is szerepelhet.
Áttérünk az NGINX konfigurációjára az újonnan megszerzett tanúsítványunk használatához! A tanúsítvány elérési útjához a tényleges elérési utat használom, nem pedig reguláris kifejezést.
SSL-vel rendelkezünk, akár az egész forgalmunkat is átirányíthatja rá. Az első szerver szakasz éppen ezt teszi. Úgy állítottam be, hogy az összes forgalmat, beleértve az altartományokat is, átirányítsa az elsődleges tartományra.
Ha Chrome-ot használ, és nem tiltja le a fent felsorolt ssl-rejtjeleket, akkor az err_spdy_inadequate_transport_security fog kapni. Szintén szerkesztenie kell az nginx conf fájlt, hogy valami ilyennek tűnjön, hogy kiküszöbölje a gzip biztonsági hibáját
Ha úgy találja, hogy valami olyasmit kap, mint a hozzáférés megtagadása - akkor még egyszer ellenőriznie kell a kiszolgáló_neve (és a gyökér) helyességét. Most fejeztem be a fejemet a falnál, mire elájultam. Szerencsére a szerver rémálmaimban jött a válasz - elfelejtette beállítani a gyökérkönyvtárat! Véresen és foltosan betettem a gyökeret, és ott van, kedves indexem.
Ha arra törekszik, hogy külön aldomainekhez állítson be, használhatja
A rendszer kéri, hogy hozzon létre jelszót a felhasználónévhez (kétszer).
sudo service nginx indítsa újra
Most bárhonnan hozzáférhet webhelyéhez felhasználónévvel és jelszóval, vagy helyben anélkül. Ha azt szeretné, hogy mindig kérjen jelszót, akkor távolítsa el az allow 10.0.0.0/24; # Váltás a helyi hálózati vonalra.
Ne feledje az auth_basic távolságát, ha nem megfelelő, hibát fog kapni.
Ha rossz a jelszavad, akkor eltalálsz egy 403-at
Még egy utolsó elem, amit meg kell tennünk, beállítanunk kell az SSL-tanúsítványok automatikus megújítását.
Ehhez egy egyszerű cron feladat a megfelelő eszköz a jobhoz, gyökérfelhasználóként fogjuk feltüntetni az engedélyezési hibák megelőzésére
(sudo crontab -l 2> / dev / null; echo ’0 0 1 * * letsencrypt megújítani’) | sudo crontab -
A / dev / null használatának oka annak biztosítása, hogy írhasson a crontab-ra, még akkor is, ha korábban nem volt ilyen.
3 perc olvasás
