Régen nagyon normális volt, hogy a webhelyek a hagyományos HTTP protokollon keresztül szolgáltattak tartalmat, mivel a biztonság nem jelentett nagy problémát. Manapság azonban az olyan számítógépes bűnözés elterjedése miatt, mint például a lopások, hitelkártya-lopások, lehallgatások, nagyon fontos annak a csatornának a biztosítása, amelyen keresztül kommunikál a szerverrel. A Encrypt egy olyan tanúsító hatóság, amely ingyenesen nyújt SSL / TLS tanúsítványokat. Az általuk kiállított tanúsítványok 3 hónapig érvényesek, azaz 90 napot jelentenek, szemben a kereskedelmi minősítéssel rendelkező hatóságok által elért egy évvel vagy annál hosszabb idővel. Ugyanakkor ugyanolyan védelmet nyújt, mint a fizetett igazolások; ezért gyakran sok blogger és kis weboldal-tulajdonos választja az internetes bűnözők ellen. Ez a cikk bemutatni kívánja, hogyan lehet a DigitalOcean cseppeket titkosítani.

Követelmények

Ez az útmutató az Ubuntu 16 rendszert használja.04, mint az operációs rendszer, amelyen a webkiszolgáló fut. Ugyanazok a lépések azonban használhatók bármely más Ubuntu verzió esetében, mindaddig, amíg nincs különbség a beállításokban. Ez az útmutató feltételezi, hogy a felhasználónak már van webkiszolgálója, és ez Nginx. SSH kliensként a Putty-t használják, és a Nano fájlszerkesztőként ajánlott.

Megoldás

1. A Cseppeken létrehozott webszerver SSH protokollon keresztül érhető el. Töltse le és telepítse a Putty-t a hivatalos weboldaláról. Az alkalmazás teljesen ingyenes.

sudo apt-get install gitt

2. A Putty letöltése után folytassa a Nano letöltését. A Putty célja a Linux konzol elérése shell parancsok beírására, míg a Nano belső fájlok, például az Nginx alapértelmezett fájl szerkesztésére szolgál.

sudo apt-get install nano

3. Indítsa el a Putty elemet, és lépjen a Session fülre.

4. A Gazdanév mezőbe írja be annak a DigitalOcean-cseppnek az IP-címét, ahová a webkiszolgáló telepítve van. A Cseppek IP-címe a https: // felhőben található.digitalocean.com / cseppek. A port mezőbe írja be a 22 parancsot.

5. Miután elküldte az összes kötelező mezőt, amint fent látható, nyomja meg az OK gombot a változtatások alkalmazásához és a bejelentkezéshez a Cseppbe. A rendszerbe való bejelentkezéskor a csepp felhasználónevét és jelszavát kéri. A csepp létrehozásakor a felhasználónevet és a jelszót is elküldik a regisztrált e-mailbe a DigitalOcean programban.

6. Ez az útmutató a Certbot-ot használja, egy harmadik fél eszközével a digitális tanúsítványok lekérésének és megújításának teljes folyamatának automatizálására. A Certbot-nak saját weboldala van, ahonnan a használandó parancsok könnyedén előállíthatók. A Certbot szerint a Certbot Ubuntu telepítéséhez megfelelő parancsok ezek. Először frissíti a csomag adatait a helyi adattárban, majd telepíti a szoftver tulajdonságainak közös csomagját, amely néhány hasznos szkriptet biztosít a személyes csomag elérések (PPA) kezelésében, majd telepíti a certbotot, majd újra frissíti a helyi adattárat, majd végül a python certbot nginx csomag. Mielőtt továbblépne a következő lépésre, ellenőrizze, hogy ezek a csomagok megfelelően vannak-e telepítve.

$ sudo apt-get update
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa: certbot / certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-nginx

7. Navigáljon arra a webhelyre, ahonnan a domaint vásárolták. Ez az útmutató a Porkbun programot használja tartományregisztrálóként, majd adja hozzá az A rekordot a tartományhoz. A típus rekord: rekord, a gazdagép üres, ha az IP a gyökértartományhoz van társítva, különben használja az aldomain nevét a gyökértartomány nélkül, például, ha magja.com, csak használja a www-t. Válaszként írja be a csepp IP-címét.

8. Ugyanígy irányítsa át a WWW-forgalmat a gyökértartományra az alábbiak szerint. A típus „CNAME”, a gazdagép „WWW”, a válasz „nucuta.com ”vagy a domainje. Ez a lépés fontos, mivel az összes www forgalmat átirányítja a gyökértartományba.

9. Használja a következő parancsot a Putty-n az Nginx alapértelmezett fájljának eléréséhez. Az alapértelmezett fájl alapértelmezés szerint egy kiszolgálóblokkot használ, ahol az elsődleges tartomány található. A Nano Editor nagyon ajánlott, mivel másokkal összehasonlítva nagyon kényelmes használni.

sudo nano / etc / nginx / sites-available / default

10. Az alapértelmezett fájlban keresse meg a kiszolgálót blokkolja, és irányítsa át a HTTP forgalmat HTTP-re, és a másik kiszolgálóblokkban, ahol a biztonságos forgalmat kezelik, módosítsa például a kiszolgáló_nevét tartománynévre

szerver_név nucuta.com www.nucuta.com

11. Írja be a következő parancsot az Nginx webkiszolgáló újraindításához. Amikor az alapértelmezett fájlban módosítás történik, az egész Nginx kiszolgálót újra kell indítani, hogy az új változtatások bármi hatással legyenek.

sudo systemctl töltse be újra a nginx fájlt

12. Alapértelmezés szerint a tűzfal az összes forgalmat blokkolja, kivéve a 80-as és 22-es portot. A HTTPS a 443 portot használja; ezért kézzel kell megnyitni, hogy kliens oldalról érje el a webszervert. A port megnyitása a tűzfalon múlik.
    

    CSF-ben (konfigurált kiszolgáló tűzfal)

    1. Megnyitja a CSF konfigurációs fájlt a következő parancs beírásával.
    nano / etc / csf / csf.konf
    2. Adja hozzá a következő portokat a TCP ki- és bemenetéhez.
    TCP_IN = "20,21,22,25,53,80,443"
    TCP_OUT = "20,21,22,25,53,80,443"
    3. Gépeléssel indítsa újra a CSF-et csf -r

    USF-ben (bonyolult tűzfal)

    1. Írja be a következő két parancsot a HTTPS hozzáadásához a kivétellistához. A „Nginx Full” csomag HTTP és HTTPS portokkal is rendelkezik; ezért a teljes csomag hozzáadása lehetővé teszi a be- és kimenő forgalmat egyaránt.
    sudo ufw engedélyezi az 'Nginx Full' használatát
    sudo ufw delete 'Nginx HTTP' engedélyezése
    2. Írja be a következő parancsot az állapot megtekintéséhez
ufw állapot

13. Ellenőrizze a 443 portot egy külső webhelyről, hogy biztosan megnyíljon-e. Ha a port nyitva van, a „443 port nyitva van” felirat jelenik meg

14. Most használja a Certbot-ot az SSL-tanúsítvány lekéréséhez a tartományhoz. D paraméter szükséges a tartomány megadásához. Titkosítsuk egy tanúsítvány kiadását mind a root, mind a www aldomain számára. Ha valamelyik verzióhoz csak egy van, figyelmeztetést küld a böngészőben, ha a látogató hozzáfér a másik verzióhoz; ezért fontos, hogy mindkét verzióhoz megszerezzük a tanúsítványt. sudo certbot --nginx -d nucuta.com -d www.nucuta.com

15. A Certbot az összes HTTP forgalom HTTPS-re történő átirányítását kéri, de erre nincs szükség, mivel az előző lépések egyikében már megtörtént.

16. Most keresse meg az SSL Lab webhelyét, és ellenőrizze a tanúsítvány és annak konfigurációjának minőségét vagy bármilyen más problémáját. https: // www.ssllabs.com / ssltest /

17. Ha az aktuális konfiguráció nincs megfelelően biztonságban, keresse meg a Mozilla SSL konfigurációs generátort, és állítsa elő a webkiszolgáló beállításait. https: // mozilla.github.io / server-side-tls / ssl-config-generator /. Mivel itt az Nginx-et használja, ügyeljen arra, hogy az Nginx-et használja webszerverként. Három lehetőséget kínál, köztes, régi és modern. A Régi opció a weboldalt gyakorlatilag minden böngészővel kompatibilisvé teszi, beleértve az olyan szuper régi böngészőket is, mint az IE 6, míg a köztes opció ideális az átlagos felhasználók számára, a modern opció a maximális biztonság érdekében szükséges konfigurációt generálja, de mivel a webhelyen történő kereskedelem nem fog működni régebbi böngészőkön. Tehát nagyon ajánlott azoknak a webhelyeknek a számára, ahol a biztonság komoly aggodalomra ad okot.

18. Navigáljon a webhelyére, és kattintson a jobb gombbal a zár ikonra, majd a „Tanúsítvány” opcióra a tanúsítvány megtekintéséhez.

19. Ha a TO után egy jövőbeli dátum érvényes az opciótól, ami azt jelenti, hogy a tanúsítvány megszerzésének folyamata befejeződött. Fontos azonban a forgalom átirányítása a tartomány megfelelő verziójára, például a HTTP és a WWW forgalom átirányítható a HTTPS gyökértartományra, amint az ebben az útmutatóban látható. A tanúsítványt a certbot automatikusan megújítja; ezért örökre ingyenesen elérhető a weboldal tulajdonosa számára.