אם קראת מאמרים רבים על עצות הפרטיות, אתה בוודאי נתקל עצה המבקשת ממך להתקין את התוסף "HTTPS בכל מקום", כך שהוא יהיה באופן אוטומטי להפנות אותך לגרסה HTTPS של האתר בכל הזדמנות אפשרית . הדבר הרע הוא תוסף בכל מקום HTTPS עובד רק כאשר האתר שאתה מבקר יישמה SSL, ועל רוב מנהלי אתרים, זה יכול להיות משימה קשה (ויקר) על ידי עצמו. למרבה המזל, עם תנועת הצפנה של Let, קל יותר למנהלי אתרים להוסיף אישורי SSL לאתרים שלהם כעת.

בעבר (וכעת), הגדרת אישור SSL דורשת ממך ליצור תחילה מפתח פרטי בשרת שלך, ולאחר מכן לקנות אישור SSL מרשות האישורים (אשר יכול להיות יקר), ולבסוף, להגדיר אותו בשרת . יש הרבה טכניים מעורב בתהליך, ולא עושה את זה נכון יהפוך את תעודת SSL חסר תועלת. בעזרת פרויקט 'הצפן', ניתן להוסיף במהירות אישור SSL לאתרים שלהם ללא עלות. ו להיות מגובה על ידי שחקנים בתעשייה גדולה כמו מוזילה, Akamai, סיסקו, EFFIf לך ו- Google, הוא נתמך על ידי רוב הדפדפנים ומערכות ההפעלה.

במדריך זה נעבור את השלבים כדי להגדיר את ההצפנה בוא SSL אישור שרת Nginx. אנו משתמשים בשרת Ubuntu 14.04 עבור ערכת לימוד זו ונניח כי הם משתמשים בשרת Nginx Ubuntu עובד. ההוראה עשויה להיות שונה עבור שרת אובונטו 16.04.

התקן בואו להצפין

ראשית, כדי להתקין את ההצפנה, תצטרך git לשכפל אותו מן המאגר git שלה. התקן את git עם הפקודה הבאה:

 sudo apt-get להתקין git bc 

לאחר ההתקנה, לשכפל את המאגר של Let's Encrypt:

 git שיבוט https://github.com/letsencrypt/letsencrypt / opt / letsencrypt 

הגדרת הסביבה

לפני שנמשיך להתקין ולהגדיר את אישור SSL, חשוב לאפשר גישה לתיקייה. כברירת מחדל, כל הקבצים והתיקיות עם "." לפני שם הקובץ מוסתרים ואינם נגישים לציבור. עם זאת, במקרה זה נצטרך לספק הרשאה לציבור לגשת לתיקיה. .well-known, שכן זה המקום שבו בואו להצפין יהיה לאחסן קובץ מיוחד לאימות.

המשך לתיקיית תצורת האתר Nginx ופתח אותה (אם יש לך קובץ תצורה מותאם אישית עבור האתר שלך) או השתמש בברירת מחדל:

 cd / etc / nginx / אתרים זמין ברירת המחדל של sudo nano 

הוסף את השורות הבאות בבלוק השרתים:

 מיקום ~ /\.well-known {לאפשר לכל; } 

שמור (Ctrl + O) וסגור (Ctrl + x) את קובץ התצורה.

בדוק את תצורת Nginx שלך:

 sudo nginx -t 

אם כל התצורה פועלת בסדר, טען מחדש את התצורה:

 שירות - - 

צור תעודת SSL

עכשיו לאחר שתסיים עם תצורת Nginx, הדבר הבא הוא להתקין את אישור SSL.

עבור אל התיקייה Let's Encrypt:

 cd / opt / 

הפעל את הפקודה הבאה כדי ליצור את האישור:

 ./letencrypt -auto certonly-webroot --webroot-path = / usr / share / nginx / html -d example.com 

יש כמה דברים שכדאי לשנות כאן:

  • שנה את webroot-path ה- webroot-path השורש של האתר שלך. ברירת המחדל היא "/ user / share / nginx / html", אך ייתכן שהתצורה שלך שונה.
  • שנה את "example.com" לשם הדומיין שלך. שים לב ש- example.com ו- "www.example.com" הם שני דומיינים שונים. אם אתה רוצה שהאישור יתמוך בדומיינים מרובים, פשוט הוסף את -d example1.com לסוף הפקודה. לדוגמה, כדי להגדיר אישור SSL עבור הדומיינים "example.com", "www.example.com", "example1.com" ו- "www.example1.com", השתמש בפקודה הבאה:
 ./letencrypt -auto certonly-webroot --webroot-path = / usr / share / nginx / html -d example.com -d www.example.com -d example1.com -d www.example1.com 

ב הפעלה הראשונה את התסריט יהיה להתקין חבורה של קבצים Python במערכת שלך. ברגע שזה נעשה, זה יתחיל את תהליך יצירת התעודה. ראשית הוא יבקש את כתובת הדוא"ל שלך:

לאחר מכן תתבקש לקרוא את התנאים וההגבלות על פני האתר 'בואו להצפין'. בחר "מסכים".

אם אתה רואה את ההודעה הבאה:

 חשוב הערות: - מזל טוב! האישור והרשת שלך נשמרו בכתובת /etc/letsencrypt/live/example.com/fullchain.pem. האישור שלך יפוג בתאריך 2016-10-02. כדי לקבל גרסה חדשה או tweaked של אישור זה בעתיד, פשוט להפעיל letencrypt אוטומטי שוב. כדי לא לחדש באופן אינטראקטיבי * את כל * של האישורים שלך, להפעיל "letencrypt אוטומטי לחדש" - אם אתה אוהב Certbot, אנא שקול לתמוך בעבודתנו על ידי: לתרום ISRG / בואו להצפין: https://letsencrypt.org/donate תרומה ל EFF: https://eff.org/donate-le 

פירוש הדבר שיצרת בהצלחה אישור SSL עבור האתר שלך. אם במקום זה מופיעה הודעת שגיאה, תקן את השגיאה ונסה שוב.

הפעלת אישור ה- SSL עבור האתר שלך

כעת, לאחר שיצרת את אישור ה- SSL, הגיע הזמן להפעיל אותו עבור האתר שלך.

חזור לתיקיית התצורה של Nginx ופתח את קובץ התצורה של האתר:

 cd / etc / nginx / אתרים זמין ברירת המחדל של sudo nano 

צור בלוק שרת חדש והוסף את התצורה הבאה בתוך הבלוק:

 שרת {server_name example.com www.example.com; להקשיב 443 ssl; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; } 

שמור וסגור את הקובץ.

הערה : האמור לעיל הוא גרסה פשוטה של ​​בלוק תצורת Nginx. עליך להוסיף את התצורה המותאמת אישית שלך לבלוק.

לבסוף, בדוק את התצורה:

 sudo nginx -t 

אם הכל בסדר, טען מחדש את Nginx:

 שירות - - 

זהו זה. הגדרת בהצלחה אישור SSL עבור האתרים שלך. עכשיו אתה יכול לטעון את "https" גרסה של כתובת האתר שלך כדי לראות את זה בפעולה.

Auto-Renewing בואו להצפין תעודת SSL

שלא כמו רוב אישורי SSL מסחריים תקפים למשך שנה אחת לפחות, אישור SSL של הצפנה תקף רק לשלושה חודשים. לאחר זמן זה יהיה עליך לחדש להמשיך להשתמש בו. בואו להצפין מגיע עם אפשרות renew כך שתוכל בקלות לחדש את האישורים שלך מבלי לעבור את כל ההתקנה שוב. ההנחיות הבאות מראות כיצד להגדיר עבודת cron כדי לחדש את אישור ה- SSL שלך באופן אוטומטי.

עדיין בשרת שלך, לפתוח את crontab:

 sudo crontab -e 

הוסף את השורות הבאות:

 00 0 * * 1 / opt / letencrypt / letsencrypt-auto חידוש >> /var/log/le-renew.log 05 0 * * 1 /etc/init.d/nginx טען מחדש 

השורות הנ"ל יבדקו את תאריך התפוגה של אישורי ה- SSL שלך בכל יום שני בשעה 12:00 וחידשו אותן אם הוא קרוב לתוקף. זה יהיה גם לטעון Nginx (בשעה 12.05) כדי להבטיח את האישור מחודש נמצא בשימוש.

שמור וסגור את crontab.

סיכום

אם אתה מפעיל אתר אינטרנט קטן והם להוטים על הוספת SSL לאתר שלך, בואו להצפין היא אפשרות מצוינת להוסיף אמינות לאתר שלך. זה (יחסית) קל להגדיר עולה כלום (חינם, כמו בירה), ולכן אין סיבה לא לעשות את זה. עם זאת, מכיוון שהיא מספקת רק אישור אימות (Domain Validated) (סוג בסיסי ביותר של אישור SSL) עבור חברות המחייבות אישורי SSL מאומתים (OV) או אימותים מורחבים (EV), תעודת SSL מסחרית היא ככל הנראה הדרך ללכת.

אינטרנט 2 - HTTPS