Követelmények
Ez az útmutató az Ubuntu 16 rendszert használja.04, mint az operációs rendszer, amelyen a webkiszolgáló fut. Ugyanazok a lépések azonban használhatók bármely más Ubuntu verzió esetében, mindaddig, amíg nincs különbség a beállításokban. Ez az útmutató feltételezi, hogy a felhasználónak már van webkiszolgálója, és ez Nginx. SSH kliensként a Putty-t használják, és a Nano fájlszerkesztőként ajánlott.
Megoldás
- A Cseppeken létrehozott webszerver SSH protokollon keresztül érhető el. Töltse le és telepítse a Putty-t a hivatalos weboldaláról. Az alkalmazás teljesen ingyenes.
- A Putty letöltése után folytassa a Nano letöltését. A Putty célja a Linux konzol elérése shell parancsok beírására, míg a Nano belső fájlok, például az Nginx alapértelmezett fájl szerkesztésére szolgál.
- Indítsa el a Putty elemet, és lépjen a Session fülre.
- A Gazdanév mezőbe írja be annak a DigitalOcean-cseppnek az IP-címét, ahová a webkiszolgáló telepítve van. A Cseppek IP-címe a https: // felhőben található.digitalocean.com / cseppek. A port mezőbe írja be a 22 parancsot.
- Miután elküldte az összes kötelező mezőt, amint fent látható, nyomja meg az OK gombot a változtatások alkalmazásához és a bejelentkezéshez a Cseppbe. A rendszerbe való bejelentkezéskor a csepp felhasználónevét és jelszavát kéri. A csepp létrehozásakor a felhasználónevet és a jelszót is elküldik a regisztrált e-mailbe a DigitalOcean programban.
- Ez az útmutató a Certbot-ot használja, egy harmadik fél eszközével a digitális tanúsítványok lekérésének és megújításának teljes folyamatának automatizálására. A Certbot-nak saját weboldala van, ahonnan a használandó parancsok könnyedén előállíthatók. A Certbot szerint a Certbot Ubuntu telepítéséhez megfelelő parancsok ezek. Először frissíti a csomag adatait a helyi adattárban, majd telepíti a szoftver tulajdonságainak közös csomagját, amely néhány hasznos szkriptet biztosít a személyes csomag elérések (PPA) kezelésében, majd telepíti a certbotot, majd újra frissíti a helyi adattárat, majd végül a python certbot nginx csomag. Mielőtt továbblépne a következő lépésre, ellenőrizze, hogy ezek a csomagok megfelelően vannak-e telepítve.
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa: certbot / certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-nginx
- Navigáljon arra a webhelyre, ahonnan a domaint vásárolták. Ez az útmutató a Porkbun programot használja tartományregisztrálóként, majd adja hozzá az A rekordot a tartományhoz. A típus rekord: rekord, a gazdagép üres, ha az IP a gyökértartományhoz van társítva, különben használja az aldomain nevét a gyökértartomány nélkül, például, ha magja.com, csak használja a www-t. Válaszként írja be a csepp IP-címét.
- Ugyanígy irányítsa át a WWW-forgalmat a gyökértartományra az alábbiak szerint. A típus „CNAME”, a gazdagép „WWW”, a válasz „nucuta.com ”vagy a domainje. Ez a lépés fontos, mivel az összes www forgalmat átirányítja a gyökértartományba.
- Használja a következő parancsot a Putty-n az Nginx alapértelmezett fájljának eléréséhez. Az alapértelmezett fájl alapértelmezés szerint egy kiszolgálóblokkot használ, ahol az elsődleges tartomány található. A Nano Editor nagyon ajánlott, mivel másokkal összehasonlítva nagyon kényelmes használni.
- Az alapértelmezett fájlban keresse meg a kiszolgálót blokkolja, és irányítsa át a HTTP forgalmat HTTP-re, és a másik kiszolgálóblokkban, ahol a biztonságos forgalmat kezelik, módosítsa például a kiszolgáló_nevét tartománynévre
- Írja be a következő parancsot az Nginx webkiszolgáló újraindításához. Amikor az alapértelmezett fájlban módosítás történik, az egész Nginx kiszolgálót újra kell indítani, hogy az új változtatások bármi hatással legyenek.
- Alapértelmezés szerint a tűzfal az összes forgalmat blokkolja, kivéve a 80-as és 22-es portot. A HTTPS a 443 portot használja; ezért kézzel kell megnyitni, hogy kliens oldalról érje el a webszervert. A port megnyitása a tűzfalon múlik.
CSF-ben (konfigurált kiszolgáló tűzfal)
- Megnyitja a CSF konfigurációs fájlt a következő parancs beírásával.
- Adja hozzá a következő portokat a TCP ki- és bemenetéhez.
TCP_OUT = "20,21,22,25,53,80,443"- Gépeléssel indítsa újra a CSF-et
csf -r
USF-ben (bonyolult tűzfal)
- Írja be a következő két parancsot a HTTPS hozzáadásához a kivétellistához. A „Nginx Full” csomag HTTP és HTTPS portokkal is rendelkezik; ezért a teljes csomag hozzáadása lehetővé teszi a be- és kimenő forgalmat egyaránt.
sudo ufw delete 'Nginx HTTP' engedélyezése- Írja be a következő parancsot az állapot megtekintéséhez
ufw állapot
- Ellenőrizze a 443 portot egy külső webhelyről, hogy biztosan megnyíljon-e. Ha a port nyitva van, a „443 port nyitva van” felirat jelenik meg
- Most használja a Certbot-ot az SSL-tanúsítvány lekéréséhez a tartományhoz. D paraméter szükséges a tartomány megadásához. Titkosítsuk egy tanúsítvány kiadását mind a root, mind a www aldomain számára. Ha valamelyik verzióhoz csak egy van, figyelmeztetést küld a böngészőben, ha a látogató hozzáfér a másik verzióhoz; ezért fontos, hogy mindkét verzióhoz megszerezzük a tanúsítványt. sudo certbot --nginx -d nucuta.com -d www.nucuta.com
- A Certbot az összes HTTP forgalom HTTPS-re történő átirányítását kéri, de erre nincs szükség, mivel az előző lépések egyikében már megtörtént.
- Most keresse meg az SSL Lab webhelyét, és ellenőrizze a tanúsítvány és annak konfigurációjának minőségét vagy bármilyen más problémáját. https: // www.ssllabs.com / ssltest /
- Ha az aktuális konfiguráció nincs megfelelően biztonságban, keresse meg a Mozilla SSL konfigurációs generátort, és állítsa elő a webkiszolgáló beállításait. https: // mozilla.github.io / server-side-tls / ssl-config-generator /. Mivel itt az Nginx-et használja, ügyeljen arra, hogy az Nginx-et használja webszerverként. Három lehetőséget kínál, köztes, régi és modern. A Régi opció a weboldalt gyakorlatilag minden böngészővel kompatibilisvé teszi, beleértve az olyan szuper régi böngészőket is, mint az IE 6, míg a köztes opció ideális az átlagos felhasználók számára, a modern opció a maximális biztonság érdekében szükséges konfigurációt generálja, de mivel a webhelyen történő kereskedelem nem fog működni régebbi böngészőkön. Tehát nagyon ajánlott azoknak a webhelyeknek a számára, ahol a biztonság komoly aggodalomra ad okot.
- Navigáljon a webhelyére, és kattintson a jobb gombbal a zár ikonra, majd a „Tanúsítvány” opcióra a tanúsítvány megtekintéséhez.
- Ha a TO után egy jövőbeli dátum érvényes az opciótól, ami azt jelenti, hogy a tanúsítvány megszerzésének folyamata befejeződött. Fontos azonban a forgalom átirányítása a tartomány megfelelő verziójára, például a HTTP és a WWW forgalom átirányítható a HTTPS gyökértartományra, amint az ebben az útmutatóban látható. A tanúsítványt a certbot automatikusan megújítja; ezért örökre ingyenesen elérhető a weboldal tulajdonosa számára.