Phenquestions
A biztonságos internet most mindenki igénye. Mi a HTTPS-t részesítjük előnyben a HTTP helyett, mivel a HTTPS kapcsolatokat SSL biztosítja. A HTTPS-en keresztül küldött adatokat harmadik felek vagy középső felek nem láthatják. Az adatok titkosítva vannak, és csak az igazi ügyfél és a szerver láthatja az adatokat titkosítatlan eredeti formában. Manapság a keresőmotorok is nagyobb prioritást élveznek a biztonságos weboldalak számára, és ezáltal segítenek a SEO-ban.
Bárki létrehozhat SSL tanúsítványt néhány parancssorral vagy néhány kattintással. De ahhoz, hogy megbízható legyen a tanúsítvány, valamilyen elismert tanúsító hatóságnak kell megadnia. A tanúsítvány megszerzésének folyamatához időre és pénzre van szükség. Előfordul, hogy a költség nagyon magas, a tanúsító hatóságtól és az Ön igényeitől függően.
Titkosíthatja az adatokat a webalkalmazása és a végfelhasználók között, ha saját maga hoz létre tanúsítványokat. De a dolgok nem így mennek a tartományi és szerver rendszer világában. A tanúsítványt valamilyen megbízható harmadik félnek kell hitelesítenie. De a folyamatnak nem szabad bonyolultnak lennie, ha az internethez való hozzáférés nem. Nem vagyunk hajlandóak megfizetni ezeket a többletköltségeket a tanúsítvány megszerzéséért, amelyet saját kezűleg készíthetünk ingyen.
De a nap végén nem tudjuk megkerülni ezeket a harmadik feleket. A böngészők és más kliens alkalmazások nem bíznak a saját kezünkben készített tanúsítványokban. Bíznak azokban, amelyeket a tanúsító hatóságoknak nevezett harmadik felek nyújtottak és írtak alá. Van megoldás a problémánkra. Van egy Let's Encrypt nevű tanúsító hatóság (CA), amely problémamentesen (folyamatban) és költségmentesen biztosít TLS / SSL tanúsítványokat. Csak tanúsítványt kér a webhelyéhez, ebben az oktatóanyagban bemutatott különböző módszerekkel, hogy ingyenes tanúsítványokat szerezzen a domainjeihez, és készen áll. Másoktól eltérően a Let's Encrypt által biztosított tanúsítványokat három havonta (pontosabban 90 napig) frissíteni kell. Futtathat néhány szkriptet a kiszolgálón vagy a VPS-en, hogy a tanúsítvány bizonyos időközönként automatikusan frissüljön a megújítási probléma kezeléséhez.
Titkosítsuk a tanúsítványt
Ha webhelyét VPS-en vagy olyan platformon tárolja, ahol shell-hozzáféréssel rendelkezik, tanúsítványt szerezhet a hivatalos Certbot ACME kliensnél. Ha megosztott tárhely-környezetet használ, akkor a szolgáltatójának automatizált támogatást kell nyújtania a Let's Encrypt tanúsítványokhoz. A legnépszerűbb megosztott tárhely-szolgáltatók támogatják a Let's Encrypt tanúsítványokat, és automatikusan megújítják a tanúsítványt. Ha a tárhelyszolgáltató nem nyújt ehhez automatikus támogatást, akkor kapcsolatba léphet velük ennek érdekében. Ezenkívül a legtöbb tárhelyszolgáltató rendelkezik olyan helyekkel az adminisztrációs panelen, ahová feltöltheti tanúsítványfájljait. Ellenőrizze, hogy melyik kategóriába tartozik, és ennek megfelelően haladjon tovább.
Certbot Titkosítsuk az ügyfelet
A Certbot a legnépszerűbb Let's Encrypt kliens. Ez elérhető a legtöbb főbb Linux disztribúción. Itt bemutatom, hogyan kell telepíteni a Certbot-ot egy Ubuntu gépre. A certbot legújabb verziójának megszerzéséhez adja hozzá a ppa adattárat a következő paranccsal.
sudo add-apt-repository ppa: certbot / certbot
Frissítse az új változás csomaglistáját:
sudo apt-get frissítés
Most telepítse a certbot-ot az apache és az nginx bővítményekkel együtt:
sudo apt-get install certbot python-certbot-apache python-certbot-nginx
A Certbot automatikusan lekérheti és konfigurálhatja az Apache és az Nginx tanúsítványait. Tegyük fel, hogy be akarja szerezni a www tanúsítványt.példa.com és frissítse az Apache konfigurációt. Csak a következő parancsot kell végrehajtania.
sudo certbot --apache -d www.példa.com
A Certbot feltesz néhány szükséges kérdést, futtatja a kihívást és megszerzi az igazolást. Frissíteni fogja az Apache webszerver konfigurációját és újratölti az Apache-t. Ha szeretné ellenőrizni, hogy a dolgok megfelelően működnek-e, látogasson el a https: // www oldalra.példa.com.
Tanúsítványok megújítása
A Titkosítsuk a tanúsítványok csak 90 napig érvényesek. Tehát évente többször frissítenie kell a tanúsítványokat. Nagyon egyszerű a tanúsítványok frissítése a certbot segítségével. A kiszolgálón található összes tanúsítvány frissítéséhez futtassa az alábbi parancsokat:
sudo certbot megújítani
De ez nem jó módja annak manuális frissítésének. Ha felügyelt / megosztott tárhelyen van, és ez a platform beépített támogatást nyújt a Let Encrypt tanúsítványok frissítésére, akkor nem kell semmit tennie kézzel. Ha ezt egy VPS-en, dedikált szerveren vagy valamilyen rendszeren végzi, ahol héj hozzáféréssel rendelkezik, akkor a cron segítségével rendszeresen automatizálhatja ezt a feladatot.
Titkosítsunk más ügyfelekkel
Az ACME egy nyílt protokoll. Jó dokumentációval is rendelkezik. Számos kliens van a Let's Encrypt tanúsítványokra, és sokuk fejlesztés alatt áll. Ha érdekel egy ügyfél fejlesztése, akkor ezt könnyedén megteheti a maga módján. Ha ismer valamennyit a Pythonról, megnézheti a certbot forráskódját, és elkészíthet egy sajátot magának. A Let's Encrypt webhelyén megtalálható az ACME kliensek listája is.
Látogassa meg ezt a linket a lista megszerzéséhez, és döntse el, melyik alternatív megoldást kívánja használni. Szinte egyikük sem rendelkezik a certbot minden édességével. De némelyiküknek vannak olyan egyedi tulajdonságai, amelyek vonzhatják Önt. Továbbá, ha Ön programozó, és van néhány egyedi követelménye, akkor próbálja meg ezt saját maga megvalósítani.
Manuális módszer
Egyes tárhelyszolgáltatók csak a tanúsítványok kézi feltöltését engedélyezik. Ebben az esetben manuálisan kell beolvasnia a tanúsítványokat a Let's Encrypt alkalmazásból, és feltöltenie kell azokat a tárhely adminisztrátori irányítópultjára (vagy bármilyen általuk biztosított mechanizmusra). A tanúsítványfájl letöltéséhez a „manuális” certbot plugint kell használnia, és meg kell adnia a „certonly” paramétert. A manuális módszerrel igazolnia kell, hogy az a domain, amelyhez tanúsítványt kér, valóban a tiéd. A beépülő modul használhatja a http, a dns vagy a tls-sni kihívást. Használhatja a -preferált kihívások lehetőség, hogy kiválassza a kívánt kihívást. Ha inkább a http metódust, akkor arra fogja kérni, hogy tegyen egy meghatározott tartalmú fájlt a webhelye / web-szervere valamelyik könyvtárába. Igazolja tulajdonjogát és válaszoljon más kérdésekre a tanúsítvány megszerzéséhez.
certbot certonly - kézi
Parancssori paramétereket is megadhat a szolgáltatási feltételek elfogadásához és a tanúsítvány megújításához.
Amikor nincs szerencséd
Egyes tárhelyszolgáltatók nem tudják hozzáadni ezeket az extra-okat a "http" -hez - úgy értem, hogy semmilyen módon nem adhatnak hozzá ssl tanúsítványokat. Egyesek számára manuálisan kell feltölteni a tanúsítványfájlokat. Az egyik példa a Google App Engine, a másik pedig az OpenShift. De gondot jelent a tanúsítvány 90 naponta történő újratöltése. Néha elfelejtheti. Ismételten, ha több mint egy vagy két weboldala van, akkor valószínűbb, hogy el fogja felejteni. Továbbá, ha nem érzi jól magát a parancssor, vagy nem kényelmesen dolgozik a szerverekkel az SSH héjakon keresztül, akkor megint balszerencséje van.
Következtetés
A Let Encrypt megkönnyítette a webmesterek életét azáltal, hogy lehetőséget biztosított a tanúsítványok azonnali megszerzésére, ahelyett, hogy a kérelem benyújtása után várná az illetékes hatóságok jóváhagyását. További előny, hogy mindezt ingyen kapja meg. Minden jósággal, ne felejtse el frissíteni a tanúsítványt minden 90 nap előtt. Ellenkező esetben a felhasználók piros jelzést kaphatnak, és emiatt elveszíthet bizonyos közönségeket / ügyfeleket. Néhány naponta megújíthatja a tanúsítványt is, de ez elérheti a korlátot, és egy ideig nem újíthatja meg a tanúsítványt. Tehát vigyázzon egy ilyen nagyszerű szolgáltatás igénybevételére.
