Hvis du har lest mange artikler om personverntips, vil du sikkert komme over et tips som ber deg om å installere utvidelsen "HTTPS overalt" slik at den automatisk omdirigerer deg til HTTPS-versjonen av nettstedet når det er mulig . Det dårlige er at HTTPS overalt-utvidelsen bare virker når nettsiden du besøker har implementert SSL, og for de fleste webmastere, som kan være en vanskelig (og kostbar) oppgave av seg selv. Heldigvis er det enklere for webmastere å legge til SSL-sertifikater til sine nettsteder nå, med let's Encrypt-bevegelsen.

Tidligere (og for øyeblikket) krever du å opprette et SSL-sertifikat først å generere en privat nøkkel på serveren din, og deretter kjøpe et SSL-sertifikat fra sertifikatmyndigheten (som kan være dyrt), og til slutt sette det opp på serveren . Det er mye teknisk involvert i prosessen, og hvis du ikke gjør det riktig, blir SSL-sertifikatet ubrukelig. Med Let's Encrypt-prosjektet kan man raskt legge til et SSL-sertifikat til sine nettsteder uten kostnad. Og støttes av store industriaktører som Mozilla, Akamai, Cisco, EFFIf du og Google, støttes det av de fleste nettlesere og operativsystemer.

I denne veiledningen vil vi gå gjennom trinnene for å konfigurere Let's Encrypt SSL-sertifikatet på Nginx-serveren. Vi bruker en Ubuntu 14.04-server for denne opplæringen og antar at du bruker en fungerende Nginx Ubuntu-server. Instruksjonen kan variere for Ubuntu 16.04-serveren.

Installer La oss kryptere

Først, for å installere La oss kryptere, må du git å klone den fra sitt git-repository. Installer git med følgende kommando:

 sudo apt-get install git bc

Når du er installert, klon let's Encrypt's repository:

 sudo git klon https://github.com/letsencrypt/letsencrypt / opt / letsencrypt

Sette opp miljøet

Før vi fortsetter å installere og konfigurere SSL-sertifikatet, er det viktig å tillate tilgang til den .well-known mappen i .well-known . Som standard er alle filer og mapper med en "." Foran filnavnet gjemt og ikke tilgjengelig for publikum. Men i dette tilfellet må vi gi tillatelse til at publikum får tilgang til den .well-known mappen, da dette er hvor La oss kryptere vil lagre en spesiell fil for validering.

Fortsett til din Nginx-konfigurasjonsmappe og åpne den (hvis du har en egendefinert konfigurasjonsfil for nettstedet ditt) eller bruk standard:

 cd / etc / nginx / sites-tilgjengelig sudo nano standard

Legg til følgende linjer i serverblokken:

 plassering ~ / \ .wellhknown {tillat alle; }

Lagre (Ctrl + O) og lukk (Ctrl + x) konfigurasjonsfilen.

Test din Nginx-konfigurasjon:

 sudo nginx -t

Hvis alle konfigurasjoner fungerer, må du laste inn konfigurasjonen på nytt:

 sudo service nginx reload

Generer et SSL-sertifikat

Nå som du er ferdig med konfigurasjonen Nginx, er det neste å installere SSL-sertifikatet.

Gå til La oss kryptere mappen:

 cd / opt / letsencrypt

Kjør følgende kommando for å generere sertifikatet:

 ./letsencrypt-auto certonly -a webroot - webroot-path = / usr / share / nginx / html -d eksempel.com

Det er noen ting å endre her:

  • Endre webroot-path til nettstedets dokumentrutebane. Standard er "/ user / share / nginx / html, " men konfigurasjonen din kan variere.
  • Endre "example.com" til ditt eget domenenavn. Legg merke til at "example.com" og "www.example.com" er to forskjellige domener. Hvis du vil at sertifikatet skal støtte flere domener, legger du til -d example1.com til slutten av kommandoen. Hvis du for eksempel skal konfigurere et SSL-sertifikat for domenene "example.com", "www.example.com", "example1.com" og "www.example1.com, " bruker du følgende kommando:
 ./letsencrypt-auto certonly -a webroot - webroot-path = / usr / share / nginx / html -d eksempel.com -d www.example.com -d eksempel1.com -d www.eksempel1.com

I første omgang vil skriptet installere en haug med Python-filer i systemet. Når det er gjort, vil det begynne sertifikatgenereringsprosessen. Først vil det be om din e-postadresse:

Deretter blir du bedt om å lese vilkårene for bruk over på La oss kryptere nettstedet. Velg "Godta".

Hvis du ser følgende melding:

 VIKTIGE NOTER: - Gratulerer! Sertifikatet ditt og kjeden har blitt lagret på /etc/letsencrypt/live/example.com/fullchain.pem. Certet ditt utløper 2016-10-02. For å få en ny eller finjustert versjon av dette sertifikatet i fremtiden, kjør du bare letsencrypt-auto igjen. For å ikke forny forny * alle * av sertifikatene dine, kjør "letsencrypt-auto renew". - Hvis du liker Certbot, vær så snill å vurdere å støtte vårt arbeid ved å: Donere til ISRG / La oss kryptere: https://letsencrypt.org/donate Donere til EFF: https://eff.org/donate-le

Det betyr at du har opprettet et SSL-sertifikat for ditt nettsted (er). Hvis du ser en feilmelding i stedet, må du fikse feilen og prøve på nytt.

Aktiverer SSL-sertifikatet for nettstedet ditt

Nå som du har generert SSL-sertifikatet, er det på tide å aktivere det for nettstedet ditt.

Gå tilbake til Nginx-konfigurasjonsmappen og åpne nettstedets konfigurasjonsfil:

 cd / etc / nginx / sites-tilgjengelig sudo nano standard

Opprett en ny serverblokk og legg til følgende konfigurasjon i blokken:

 server {server_name example.com www.example.com; hør 443 ssl; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; }

Lagre og lukk filen.

Merk : Ovenstående er en forenklet versjon av konfigurasjonsblokken Nginx. Du må legge til i din egen tilpassede konfigurasjon i blokken.

Til slutt, test konfigurasjonen:

 sudo nginx -t

Hvis alt er greit, legg på nytt Nginx:

 sudo service nginx reload

Det er det. Du har opprettet et SSL-sertifikat for nettstedene dine. Du kan nå laste "https" -versjonen av nettadressen din for å se den i aksjon.

Automatisk fornyelse av et la oss kryptere SSL-sertifikat

I motsetning til de fleste kommersielle SSL-sertifikater som er gyldige i minst ett år, er et Let's Encrypt SSL-sertifikat bare gyldig i tre måneder. Etter denne tiden må du fornye for å fortsette å bruke den. La oss kryptere kommer med en renew, slik at du enkelt kan fornye sertifikatene dine uten å gå gjennom hele installasjonen igjen. Følgende instruksjoner viser hvordan du konfigurerer en cron-jobb for automatisk fornyelse av SSL-sertifikatet.

Fortsatt på serveren din, åpne crontab:

 sudo crontab -e

Legg til følgende linjer:

 00 0 * * 1 / opt / letsencrypt / letsencrypt-auto renew> >> /var/log/le-renew.log 05 0 * * 1 /etc/init.d/nginx reload

Ovennevnte linjer vil sjekke utløpsdatoen for SSL-sertifikatene hver mandag kl 12 og forny dem dersom det er nær utløpet. Det vil også laste Nginx (kl 12.05) for å sikre at det fornyede sertifikatet er i bruk.

Lagre og lukk crontab.

Konklusjon

Hvis du kjører et lite nettsted og er ivrige etter å legge til SSL på nettstedet ditt, er La oss kryptere et godt alternativ for å legge til troverdighet på nettstedet ditt. Det er (relativt) lett å sette opp og koster ingenting (gratis, som i øl), så det er ingen grunn til ikke å bruke det. Men siden det bare gir et Domenevalidert (DV) sertifikat (den mest grunnleggende typen SSL-sertifikat) for de selskapene som krever SSL-sertifikater for organisasjonsstyrt (OV) eller Extended-Validation (EV), er et kommersielt SSL-sertifikat trolig veien å gå.

Internett2 - HTTPS