Let’s Encrypt je Linux Foundation Collaborative Project, odprt overitelj, ki ga zagotavlja Internet Security Research Group. Brezplačno za vse, ki imajo v lasti domensko ime, lahko s pomočjo Let’s Encrypt pridobijo zaupanja vredno potrdilo. Sposobnost avtomatiziranja postopka obnove ter lažje nameščanje in konfiguriranje. Pomagajte varovati spletna mesta in pospešite varnostne prakse TLS. Ohranite preglednost, tako da so vsa potrdila javno dostopna za pregled. Omogočite drugim, da uporabljajo svoje protokole izdaje in podaljšanja kot odprt standard.
V bistvu Let’s Encrypt poskuša preprečiti, da bi se varnost opirala na smešne obroče velikih profitnih organizacij. (Lahko bi rekli, da verjamem v odprto kodo, in to je v najboljšem primeru odprtokodna).
Obstajata dve možnosti: prenos paketa in namestitev iz repozitorijev ali namestitev ovojnice certbot-auto (prej letsencrypt-auto) iz letsencrypt
Za prenos iz skladišč
sudo apt-get namestite letsencrypt -y
Ko je namestitev končana, je čas, da dobite certifikat! Uporabljamo samostojno samostojno metodo, ki ustvarja primerek strežnika samo za pridobitev vašega potrdila.
sudo letsencrypt certonly - samostojno - d example.com -d poddomena.example.com -d drugi poddomena.example.com
Vnesite svoj e-poštni naslov in se strinjate s pogoji storitve. Zdaj bi morali imeti potrdilo za vsako od vnesenih domen in poddomen. Vsaka domena in poddomena sta izzvani, zato, če nimate zapisa dns, ki kaže na vaš strežnik, zahteva ne bo uspela.
Če želite preizkusiti postopek, lahko pred pridobivanjem dejanskega potrdila dodate –test-cert kot argument za certonly. Opomba: –test-cert namesti neveljavno potrdilo. To lahko storite neomejeno število krat, vendar če uporabljate potrdila v živo, obstaja omejitev stopnje.
Nadomestne domene niso podprte in tudi ni videti, da bodo podprte. Navedeni razlog je ta, da ker je postopek potrjevanja brezplačen, lahko zahtevate toliko, kolikor potrebujete. Na istem potrdilu lahko imate tudi več domen in poddomen.
Prehod na konfiguracijo NGINX za uporabo našega novo pridobljenega potrdila! Za pot do potrdila namesto regularnega izraza uporabim dejansko pot.
Imamo SSL, lahko tudi preusmerimo ves promet nanjo. Prvi odsek strežnika počne prav to. Nastavil sem, da ves promet, vključno s poddomenami, preusmeri na primarno domeno.
Če uporabljate Chrome in zgoraj naštetih ssl šifer ne onemogočite, boste dobili err_spdy_inadequate_transport_security. Prav tako morate urediti datoteko konfiguracije nginx, da bo videti nekako tako, da bo zaobšel varnostno napako v gzipu
Če ugotovite, da prejemate nekaj takega, kot da je dostop zavrnjen - morate še enkrat preveriti, ali je ime_strežnika (in root) pravilno. Ravno sem končal z udarci z glavo v zid, dokler nisem omedlel. Na srečo v mojih nočnih morah strežnika je prišel odgovor - pozabili ste nastaviti svoj korenski imenik! Krvav in zabrisan sem dal v koren in tu je, moj ljubki kazalo.
Če želite pripraviti ločene poddomene, jih lahko uporabite
Pozvani boste, da ustvarite geslo za uporabniško ime (dvakrat).
sudo service nginx znova zaženi
Zdaj boste lahko do svojega spletnega mesta dostopali od koder koli z uporabniškim imenom in geslom ali lokalno brez. Če želite vedno izzivati geslo, odstranite dovoljeno 10.0.0.0/24; # Preklopite na lokalno omrežno linijo.
Upoštevajte razmik za auth_basic, če ni pravi, boste dobili napako.
Če imate napačno geslo, vas zadene s 403
Še zadnji element, ki ga moramo narediti, je nastavitev samodejne obnove certifikatov SSL.
Za to je preprosto opravilo cron pravo orodje za delo, postavili ga bomo kot korenskega uporabnika, da preprečimo napake pri dovoljenjih
(sudo crontab -l 2> / dev / null; odmev '0 0 1 * * letsencrypt obnovi') | sudo crontab -
Razlog za uporabo / dev / null je zagotoviti, da lahko pišete v crontab, tudi če prej še ni obstajal.
3 minute branja
