Cài đặt chứng chỉ SSL miễn phí trên LEMP Stack với Let's Encrypt
Hãy mã hóa là một dự án hợp tác nền tảng Linux, cơ quan cấp chứng chỉ mở, được cung cấp bởi Nhóm nghiên cứu bảo mật Internet. Miễn phí cho bất kỳ ai sở hữu tên miền để sử dụng Let's Encrypt để có được chứng chỉ đáng tin cậy. Khả năng tự động hóa quy trình gia hạn, cũng như làm việc để dễ dàng cài đặt và định cấu hình hơn. Giúp giữ an toàn cho các trang web và thực hiện các biện pháp bảo mật TLS. Duy trì tính minh bạch, với tất cả các chứng chỉ có sẵn công khai để kiểm tra. Cho phép người khác sử dụng các giao thức phát hành và gia hạn của họ như là một tiêu chuẩn mở.
Về cơ bản, Let's Encrypt đang cố gắng làm cho an ninh không phụ thuộc vào các vòng lặp vô lý được tạo ra bởi các tổ chức lợi nhuận lớn. (Bạn có thể nói tôi tin vào nguồn mở, và đây là nguồn mở lúc tốt nhất).
Có hai tùy chọn: tải xuống gói và cài đặt từ kho lưu trữ hoặc cài đặt trình bao bọc certbot-auto (trước đây là allowencrypt-auto) từ allowencrypt trực tiếp.
Để tải xuống từ các kho lưu trữ
sudo apt-get cài đặt letencrypt -y
Sau khi cài đặt xong, thời gian để nhận chứng chỉ của bạn! Chúng tôi đang sử dụng phương pháp độc lập certonly, sinh ra một cá thể của một máy chủ chỉ để có được chứng chỉ của bạn.
sudo letsencrypt certonly –standalone –d example.com -d subdomain.example.com -d othersubdomain.example.com
Nhập email của bạn và đồng ý với các điều khoản dịch vụ. Bây giờ bạn sẽ có chứng chỉ tốt cho mỗi tên miền và tên miền phụ bạn đã nhập. Mỗi miền và miền phụ sẽ bị thách thức, vì vậy nếu bạn không có bản ghi dns trỏ đến máy chủ của mình, yêu cầu sẽ không thành công.
Nếu bạn muốn thử nghiệm quá trình này, trước khi nhận được chứng chỉ thực của bạn, bạn có thể thêm –test-cert làm đối số sau certonly. Lưu ý: –test-cert cài đặt chứng chỉ không hợp lệ. Bạn có thể làm điều này một số lần không giới hạn, tuy nhiên nếu bạn sử dụng certs sống có một giới hạn tốc độ.
Miền thẻ hoang dã không được hỗ trợ, dường như chúng không được hỗ trợ. Lý do được đưa ra là vì quá trình chứng chỉ là miễn phí, bạn có thể yêu cầu bao nhiêu tùy thích. Ngoài ra, bạn có thể có nhiều tên miền và tên miền phụ trên cùng một chứng chỉ.
Chuyển sang cấu hình NGINX để sử dụng chứng chỉ mới được mua của chúng tôi! Đối với đường dẫn đến chứng chỉ, tôi sử dụng đường dẫn thực tế, thay vì biểu thức chính quy.
Chúng tôi có SSL, cũng có thể chuyển hướng tất cả lưu lượng truy cập của chúng tôi đến nó. Phần máy chủ đầu tiên thực hiện điều đó. Tôi đã thiết lập để chuyển hướng tất cả lưu lượng truy cập, bao gồm tên miền phụ, đến tên miền chính.
Mẹo CHUYÊN NGHIỆP: Nếu vấn đề xảy ra với máy tính của bạn hoặc máy tính xách tay / máy tính xách tay, bạn nên thử sử dụng phần mềm Reimage Plus có thể quét các kho lưu trữ và thay thế các tệp bị hỏng và bị thiếu. Điều này làm việc trong hầu hết các trường hợp, nơi vấn đề được bắt nguồn do một tham nhũng hệ thống. Bạn có thể tải xuống Reimage Plus bằng cách nhấp vào đâyNếu bạn đang sử dụng Chrome và không tắt các thuật toán mã hóa ssl được liệt kê ở trên, bạn sẽ nhận được err_spdy_inadequate_transport_security. Bạn cũng cần chỉnh sửa tệp conf nginx để trông giống như thế này để khắc phục lỗ hổng bảo mật trong gzip
Nếu bạn thấy rằng bạn đang nhận được một cái gì đó như truy cập bị từ chối - bạn cần phải kiểm tra lại rằng server_name (và root) là chính xác. Tôi vừa đập đầu vào tường cho đến khi tôi ra ngoài. May mắn trong cơn ác mộng máy chủ của tôi, cùng đến câu trả lời - bạn quên đặt thư mục gốc của bạn! Đẫm máu và bludgeoned, tôi đặt trong thư mục gốc và có nó, chỉ số đáng yêu của tôi.
Nếu bạn muốn thiết lập các tên miền phụ riêng biệt, bạn có thể sử dụng
Bạn sẽ được nhắc tạo mật khẩu cho tên người dùng (hai lần).
dịch vụ sudo nginx khởi động lại
Bây giờ bạn sẽ có thể truy cập trang web của mình từ bất cứ đâu bằng tên người dùng và mật khẩu hoặc tại địa phương mà không cần. Nếu bạn muốn luôn luôn có một thách thức mật khẩu, loại bỏ các cho phép 10.0.0.0/24; # Thay đổi thành dòng mạng cục bộ của bạn.
Tâm trí khoảng cách cho auth_basic, nếu nó không đúng, bạn sẽ nhận được một lỗi.
Nếu bạn có sai mật khẩu, bạn sẽ bị trúng 403
Một mục cuối cùng chúng ta cần làm, thiết lập autorenewal của certs SSL.
Đối với một công việc cron đơn giản này là công cụ thích hợp cho công việc, chúng ta sẽ đặt nó làm người dùng root để ngăn chặn các lỗi quyền
(sudo crontab -l 2> / dev / null; echo '0 0 1 * * letsencrypt renew') | sudo crontab -
Lý do cho việc sử dụng / dev / null là để đảm bảo rằng bạn có thể ghi vào crontab, ngay cả khi trước đó không tồn tại.
Mẹo CHUYÊN NGHIỆP: Nếu vấn đề xảy ra với máy tính của bạn hoặc máy tính xách tay / máy tính xách tay, bạn nên thử sử dụng phần mềm Reimage Plus có thể quét các kho lưu trữ và thay thế các tệp bị hỏng và bị thiếu. Điều này làm việc trong hầu hết các trường hợp, nơi vấn đề được bắt nguồn do một tham nhũng hệ thống. Bạn có thể tải xuống Reimage Plus bằng cách nhấp vào đây