Let's Encrypt הוא פרויקט שיתופי של קרן לינוקס, רשות אישורים פתוחה, הניתנת על ידי קבוצת המחקר לאבטחת אינטרנט. חינם לכל מי שבבעלותו שם דומיין להשתמש ב Let's Encrypt כדי להשיג אישור מהימן. היכולת להפוך את תהליך החידוש לאוטומטי, כמו גם לעבוד על מנת להקל על ההתקנה והתצורה. עזור לשמור על אבטחת אתרים, וקדם את נוהלי האבטחה של TLS. שמור על שקיפות, כאשר כל האישורים זמינים לציבור לבדיקה. אפשר לאחרים להשתמש בפרוטוקולי ההנפקה והחידוש שלהם כסטנדרט פתוח.
בעיקרו של דבר, Let's Encrypt מנסה לגרום לאבטחה לא להסתמך על חישוקים מגוחכים שנעשו על ידי ארגונים גדולים למטרות רווח. (אפשר לומר שאני מאמין בקוד פתוח, וזה קוד פתוח במקרה הטוב).
ישנן שתי אפשרויות: להוריד את החבילה ולהתקין ממאגרים, או להתקין את מעטפת certbot-auto (לשעבר letsencrypt-auto) מ- letsencrypt ישירות.
להורדה מהמאגרים
sudo apt-get install letsencrypt -y
לאחר סיום ההתקנה, הזמן לקבל את האישור שלך! אנו משתמשים בשיטה עצמאית בלבד, ומספידים מופע של שרת רק לצורך קבלת האישור שלך.
סודו מאפשר הצפנה רק באופן עצמאי –דוגמא.com - תת-דומיין.example.com -d othersubdomain.example.com
הזן את הדוא'ל שלך והסכים לתנאי השירות. כעת אמור להיות לך אישור טוב לכל אחד מהתחומים ותתי הדומיינים שהזנת. כל דומיין ותת-דומיין זוכים לאתגר, כך שאם אין לך רשומת dns המפנה לשרת שלך, הבקשה תיכשל.
אם ברצונך לבדוק את התהליך לפני שתקבל את האישור בפועל, תוכל להוסיף - test-cert כטיעון לאחר certonly בלבד. הערה: –test-cert מתקין אישור לא חוקי. אתה יכול לעשות זאת מספר בלתי מוגבל של פעמים, אולם אם אתה משתמש בשידור חי יש מגבלת תעריפים.
דומיינים של כרטיסי ברק אינם נתמכים, ולא נראה כי הם יתמכו. הסיבה שניתנה היא שמכיוון שתהליך האישור הוא בחינם, אתה יכול לבקש כמה שאתה צריך. כמו כן, אתה יכול לקבל מספר דומיינים ותתי דומיינים באותה תעודה.
עוברים לתצורה של NGINX לשימוש בתעודה שזה עתה נרכשנו! בשביל לתעודה אני משתמש בנתיב בפועל, ולא בביטוי רגיל.
יש לנו SSL, יכול גם להפנות אליו את כל התעבורה. קטע השרת הראשון עושה בדיוק את זה. מוגדר לי להפנות מחדש את כל התעבורה, כולל תת-דומיינים, לדומיין הראשי.
אם אתה משתמש ב- Chrome ולא מבטל את צופי ה- SSL הרשומים לעיל, תקבל err_spdy_inadequate_transport_security. אתה צריך גם לערוך את קובץ ה- nginx conf כדי להיראות בערך כזה כדי לעקוף פגם אבטחה ב- gzip
אם תגלה שאתה מקבל משהו כמו גישה שנדחתה - עליך לבדוק פעמיים ששרת_שם (והשורש) תקין. בדיוק סיימתי לדפוק את הראש בקיר עד שהתעלפתי. למזלי בסיוטי השרתים שלי, הגיעה התשובה - שכחת להגדיר את ספריית השורשים שלך! מדמם ומטושטש, שמתי את השורש והנה, האינדקס המקסים שלי.
אם אתה משוטט כדי להגדיר תת-דומיינים נפרדים, אתה יכול להשתמש בו
תתבקש ליצור סיסמה לשם משתמש (פעמיים).
שירות sudo הפעלה מחדש של nginx
כעת תוכל לגשת לאתר שלך מכל מקום עם שם משתמש וסיסמה, או באופן מקומי ללא. אם ברצונך לערוך תמיד אתגר בסיסמה, הסר את האפשרות 10.0.0.0/24; # שנה לקו הרשת המקומית שלך.
שים לב למרווח עבור auth_basic, אם זה לא תקין, תקבל שגיאה.
אם יש לך את הסיסמה שגויה אתה נפגע עם 403
פריט אחרון שעלינו לעשות, הגדרת חידוש אוטומטי של סרטי ה- SSL.
בשביל זה עבודת cron פשוטה היא הכלי המתאים לעבודה, אנו הולכים לשים אותה כמשתמש הבסיס כדי למנוע שגיאות הרשאה
(sudo crontab -l 2> / dev / null; הד '0 0 1 * * letsencrypt renew') | סודו קרונטאב -
הסיבה לשימוש ב- / dev / null היא להבטיח שתוכלו לכתוב לכרטיסייה, גם אם אחת לא הייתה קיימת בעבר.
3 דקות קריאה
