En webbplatss domän måste ha SSL/TLS-kryptering om den har för avsikt att få besökare. SSL/TLS-certifikat ger en stark anslutning mellan webbservrar och webbläsare. Tidigare var säkerheten inget större problem. Det var relativt vanligt att webbplatser levererade data via det etablerade HTTP-protokollet. Nuförtiden måste kanalen som används för att kommunicera med servern dock säkras, eftersom cyberbrott inklusive identitetsstöld, kreditkortsbedrägerier och spionage ökar.
En certifikatutfärdare (CA) som heter Let's Encrypt erbjuder gratis SSL/TLS-certifikat, vilket möjliggör HTTPS-kryptering på webbservrar. Den är domänverifierad, så en dedikerad IP-adress är inte nödvändig. Det rekommenderas vanligtvis att ha ett SSL-certifikat aktiverat på din webbplats för att förbättra din SEO-rankning, särskilt på Google.
Funktioner av Let's Encrypt
Let's Encrypt bekräftar domänägandet innan ett certifikat tillhandahålls. När token är validerad gör Let's Encrypt-valideringsservern en HTTP-begäran för att erhålla filen och säkerställer att domänens DNS-post pekar till servern som är värd för Let's Encrypt-klienten.
Krav
Du måste göra följande innan du använder Let's Encrypt:
Följ instruktionerna i denna första serverinstallationshandledning för Ubuntu 20.04, när Ubuntu 20.04-servern är konfigurerad, komplett med en brandvägg och en icke-rootanvändare med sudo-åtkomst.
Ett domännamn med registrering. Under hela den här artikeln kommer myfirstproject1.com att användas. Du kan köpa en domän.
Följande två DNS-poster är konfigurerade på din server.
- En 'myproject1'-post med myfirstproject1.com som pekar på den offentliga IP-adressen för din server
- En 'myproject2'-post med myfirstproject2.com som pekar på din servers offentliga IP-adress.
Nginx bör installeras och du måste se till att din domän har ett serverblock.
Steg för att installera Let's Encrypt on Digital Ocean
De viktigaste stegen för att installera Let's Encrypt på det digitala havet är:
Installerar Certbot
Certbot-mjukvaran är det primära behovet för att använda Let's Encrypt för att få ett SSL-certifikat. För att installera Certbot och dess Nginx-plugin använder vi följande kommando:
De flesta delade värdföretag och vissa molnvärdföretag har Certbot eller liknande plugin i webbhotellpanelen som gör att du kan köpa, förnya och administrera SSL/TLS-certifikat genom att ha några klick.
Medan 'python3-certbot-nginx' är ett paket som används för att:
Visa omedelbart för Let's Encrypt CA att du är ansvarig för webbplatsen.
- Håll register över när din licens måste uppgraderas och när den är på väg att löpa ut.
- Skaffa och installera ett webbläsarbetrodd certifikat på vilken webbserver som helst.
- Hjälpa dig att återkalla certifikatet om det skulle behövas.
Certbot är nu redo för användning, men några av dess inställningar måste bekräftas innan den kan ställa in SSL för Nginx automatiskt.
Verifierar Nginxs konfiguration
Certbot ska kunna konfigurera SSL automatiskt. Den måste kunna hitta rätt serverblock i din Nginx-konfiguration. Mer exakt åstadkommer den detta genom att söka efter ett servernamnsdirektiv som motsvarar den domän du begär ett certifikat för.
Det bör redan ha servernamnsdirektivet korrekt konfigurerat i ett serverblock för domänen, som vi kommer att använda på '/etc/nginx/sites-available/myfirstproject1.com'.
Öppna domänkonfigurationsfilen i nano eller din andra textredigerare för att verifiera att din fil kommer att öppnas om den finns, stäng din redigerare och gå till nästa åtgärd. Servernamnet kommer att se ut som 'server_name domännamn www.domain_name.com ', som visas i utdraget nedan.
Om det inte ändras så stämmer det. Verifiera syntaxen för dina konfigurationsändringar efter att du har sparat filen och stängt redigeraren. Använd följande instruktion för att kontrollera:
$ sudo nginx –tLadda om Nginx för att ladda den uppdaterade konfigurationen efter att ha kontrollerat att din konfigurationsfils syntax är korrekt:
$ sudo systemctl ladda om nginxNu kan Certbot automatiskt hitta rätt serverblock och uppdatera det. En systemctl är ansvarig för att inspektera och hantera systemets system och servicehantering. Den fungerar som System V init-demonens ersättning och består av flera systemadministrationsbibliotek, verktyg och demoner.
Aktivera HTTPS via brandväggen
De nödvändiga rekommendationerna råder dig att aktivera UFW-brandväggen. Du måste ändra inställningarna för att tillåta HTTPS-trafik.
Alternativet UFW-status gör att vi kan se UFW:s senaste tillstånd. UFW-statusen visar en lista över föreskrifter om UFW är aktiverat. Naturligtvis, om du har de nödvändiga referenserna, kan du bara köra kommandot som root-användare eller genom att prefixa det med sudo.
Aktivera Nginx Full-profilen och ta bort den onödiga Nginx HTTP-profiltillåten för att även tillåta HTTPS-trafik:
Det föregående utdraget visar metoden för att tillåta fullständig trafik från Nginx och den andra visar hur man tar bort den andra trafiken vi tillät.
Hur man får ett SSL-certifikat
Med hjälp av plugins erbjuder Certbot flera sätt att få SSL-certifikat. Nginx konfiguration och omladdning av konfigurationen kommer att hanteras av Nginx-plugin efter behov.
Använd Certbot för att få domänens SSL-certifikat direkt. För att indikera domänen behövs ett '-d'-argument. Ett certifikat utfärdas av Let’s Encrypt för underdomänen www och roten. Det är nödvändigt att skaffa certifikatet för båda versionerna eftersom att endast ha ett för endera versionen kommer att resultera i en varning i webbläsaren om en besökare ser den andra versionen. För nya användare ber certbot dig att tillhandahålla din e-post för första gången och bekräfta att du godkänner användarvillkoren.
Om detta lyckades skulle du be dig göra ditt val och trycka på ENTER. Efter att ha uppdaterat konfigurationen kommer Nginx att ladda om och överväga de nya inställningarna. När du är klar kommer certbot att meddela dig att proceduren lyckades.
Slutsats
I den här guiden demonstrerade vi hur du installerar och använder Let's Encrypt-programvaran certbot, skaffar ett SSL-certifikat, ställer in din automatiska uppdatering för ett SSL-certifikat och konfigurerar Nginx. Dessutom gav vi dig också några exempel på situationer som kan resultera i kompileringsproblem när du använder Let's Encrypt Digital Ocean.