Mari Sulitkan

Konfigurasikan Let's Encrypt di Digital Ocean Droplet

Konfigurasikan Let's Encrypt di Digital Ocean Droplet
Dahulu, adalah perkara biasa bagi laman web untuk menyajikan kandungan melalui protokol HTTP tradisional kerana keselamatan bukanlah masalah besar. Namun, sekarang ini disebabkan oleh peningkatan jenayah siber seperti mengenal pasti kecurian, kecurian kad kredit, menguping sangat penting untuk melindungi saluran yang berkomunikasi dengan pelayan. Let's encrypt adalah pihak berkuasa sijil yang menyediakan sijil SSL / TLS secara percuma. Sijil yang dikeluarkan oleh mereka sah selama 3 bulan, yang bermaksud 90 hari berbanding satu tahun atau lebih oleh pihak berkuasa sijil bertaraf komersial. Walau bagaimanapun, ia memberikan perlindungan yang sama dengan sijil berbayar; oleh itu ia sering dipilih oleh banyak blogger dan pemilik laman web kecil terhadap penjenayah siber. Artikel ini bertujuan untuk menunjukkan cara melindungi titisan DigitalOcean dengan enkripsi mari.

Keperluan

Panduan ini menggunakan Ubuntu 16.04 sebagai sistem operasi di mana pelayan web berjalan. Namun, langkah yang sama dapat digunakan untuk versi Ubuntu lain juga selagi tidak ada perbezaan dalam pengaturannya. Panduan ini menganggap pengguna sudah memasang pelayan web, dan Nginx. Sebagai pelanggan SSH, Putty digunakan, dan sebagai penyunting fail Nano disyorkan.

Penyelesaian

  1. Pelayan web yang dibuat di Droplets dapat diakses melalui protokol SSH. Muat turun dan pasang Putty dari laman web rasminya. Aplikasi ini benar-benar percuma.
sudo apt-get install dempul
  1. Selepas memuat turun Putty, teruskan dan muat turun Nano. Tujuan Putty adalah mengakses konsol Linux untuk mengetik perintah shell, sedangkan Nano digunakan untuk mengedit fail dalaman seperti fail lalai Nginx.
sudo apt-get install nano
  1. Lancarkan Putty dan arahkan ke tab Sesi.
  1. Di medan Nama Host, taipkan alamat IP titisan DigitalOcean tempat pelayan web dipasang. Alamat IP Titisan boleh didapati di https: // cloud.digitalocean.com / titisan. Di medan pelabuhan, taip 22.
  1. Setelah mengirimkan semua bidang yang diperlukan seperti yang dilihat di atas, tekan oke untuk menerapkan perubahan dan log masuk ke Droplet. Semasa log ke sistem, ia akan meminta nama pengguna, dan kata laluan Droplet. Kedua-dua nama pengguna, dan kata laluan dihantar ke e-mel yang didaftarkan di DigitalOcean semasa membuat Droplet.
  1. Panduan ini menggunakan Certbot, alat pihak ketiga untuk mengautomasikan keseluruhan proses pengambilan dan pembaharuan sijil digital. Certbot mempunyai laman web sendiri dari mana perintah yang akan digunakan dapat dihasilkan dengan mudah. Seperti di Certbot, perintah yang tepat untuk memasang Certbot di Ubuntu adalah berikut. Mula-mula ia mengemas kini maklumat paket di repositori tempatan, kemudian memasang pakej biasa sifat perisian yang menyediakan beberapa skrip berguna dalam menangani pencapaian pakej peribadi (PPA), kemudian memasang certbot, kemudian mengemas kini lagi repositori tempatan, dan akhirnya memasang pakej python certbot nginx. Pastikan semua pakej ini dipasang dengan betul sebelum menuju ke langkah seterusnya.
$ sudo apt-get kemas kini
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa: certbot / certbot
$ sudo apt-get kemas kini
$ sudo apt-get install python-certbot-nginx
  1. Navigasi ke laman web dari mana domain tersebut dibeli. Panduan ini menggunakan Porkbun sebagai pendaftar domain, kemudian tambahkan rekod A ke domain. Type is A record, host kosong jika IP dikaitkan dengan domain root, jika tidak, gunakan nama subdomain tanpa domain root, misalnya jika itu nucuta.com, hanya gunakan www. Sebagai jawapannya taipkan alamat IP Droplet.
  1. Dengan cara yang sama, ubah arah lalu lintas WWW ke domain root seperti berikut. Jenisnya adalah "CNAME", tuan rumah adalah "WWW", jawapannya adalah "nucuta.com ”atau domain anda. Langkah ini penting kerana mengalihkan semua trafik www ke domain root.
  1. Gunakan arahan berikut pada Putty untuk mengakses Fail Nginx lalai. Fail lalai secara lalai menggunakan satu blok Server di mana domain utama berada. Nano Editor sangat disyorkan kerana ia senang digunakan berbanding yang lain.
sudo nano / etc / nginx / sites-available / default
  1. Dalam fail lalai, arahkan ke pelayan blok dan ubah arah lalu lintas HTTP ke HTTP, dan di blok pelayan lain di mana lalu lintas aman ditangani, ubah nama pelayan ke nama domain, misalnya
nama_pelayan nucuta.com www.nucuta.com
  1. Taipkan arahan berikut untuk memulakan semula pelayan web Nginx. Setiap kali perubahan dibuat dalam fail lalai, keseluruhan pelayan Nginx harus dimulakan semula agar perubahan baru dapat memberi kesan.
sudo systemctl muat semula nginx
  1. Secara lalai, Firewall menyekat semua lalu lintas kecuali ke port 80 dan 22. HTTPS menggunakan port 443; oleh itu ia harus dibuka secara manual untuk mengakses pelayan web dari sisi pelanggan. Membuka port bergantung pada Firewall.

    Dalam CSF (firewall pelayan yang dikonfigurasi)

    1. Membuka fail konfigurasi CSF dengan mengetik perintah berikut.
    nano / etc / csf / csf.pengesahan
    1. Tambahkan port berikut ke TCP In and Out.
    TCP_IN = "20,21,22,25,53,80,443"
    TCP_OUT = "20,21,22,25,53,80,443"
    1. Mulakan semula CSF dengan menaip csf -r

    Di USF (Firewall Tanpa Komplikasi)

    1. Ketik dua arahan berikut untuk menambahkan HTTPS ke senarai pengecualian. Pakej "Nginx Full" mempunyai port HTTP dan HTTPS; dengan itu menambahkan pakej lengkap membolehkan lalu lintas masuk dan keluar.
    sudo ufw membenarkan 'Nginx Full'
    sudo ufw delete membenarkan 'Nginx HTTP'
    1. Taipkan arahan berikut untuk melihat statusnya
    2. status ufw
  1. Periksa port 443 dari laman web luaran untuk memastikannya terbuka. Sekiranya port terbuka, ia akan mengatakan "443 port terbuka"
  1. Sekarang gunakan Certbot untuk mendapatkan sijil SSL ke domain. Parameter D diperlukan untuk menentukan domain. Mari kita enkripsi melepaskan satu sijil untuk subdomain root dan www. Memiliki hanya satu untuk kedua-dua versi akan mengeluarkan amaran di penyemak imbas jika pelawat mengakses versi lain; oleh itu penting untuk mendapatkan sijil untuk kedua-dua versi. sudo certbot --nginx -d nucuta.com -d www.nucuta.com
  1. Certbot akan meminta untuk mengalihkan semua lalu lintas HTTP ke HTTPS, tetapi tidak diperlukan kerana sudah dilakukan pada salah satu langkah sebelumnya.
  1. Sekarang pergi ke laman web Makmal SSL dan periksa kualiti atau masalah lain dari sijil dan konfigurasinya. https: // www.suku kata.com / ssltest /
  1. Sekiranya konfigurasi semasa tidak cukup aman, arahkan ke penjana konfigurasi SSL Mozilla, dan buat tetapan untuk pelayan web anda. https: // mozilla.github.io / pelayan-sisi-tls / ssl-config-generator /. Oleh kerana di sini menggunakan Nginx, pastikan untuk menggunakan Nginx sebagai pelayan web. Ia menawarkan tiga pilihan, pertengahan, lama dan moden. Pilihan lama menjadikan laman web serasi dengan hampir semua penyemak imbas, termasuk penyemak imbas super lama seperti IE 6, sedangkan pilihan perantaraan menjadikannya sesuai untuk pengguna rata-rata, pilihan moden menghasilkan konfigurasi yang diperlukan untuk keselamatan maksimum, tetapi sebagai pertukaran laman web tidak akan berfungsi dengan betul pada penyemak imbas lama. Oleh itu, sangat digalakkan untuk laman web yang keselamatannya menjadi perhatian utama.
  1. Navigasikan ke laman web anda, dan klik kanan pada ikon kunci, kemudian pilihan "Sijil" untuk melihat sijil.
  1. Sekiranya ia menunjukkan tarikh masa depan selepas TO berlaku dari pilihan, yang bermaksud proses pemerolehan sijil telah selesai. Namun, penting untuk mengalihkan lalu lintas ke versi domain yang relevan, misalnya lalu lintas HTTP dan WWW dapat dialihkan domain akar HTTPS seperti yang terlihat dalam panduan ini. Sijil akan diperbaharui secara automatik oleh certbot; oleh itu ia tersedia untuk pemilik laman web secara percuma.
Permainan Cara Menggunakan Mesin Cheat GameConqueror di Linux
Cara Menggunakan Mesin Cheat GameConqueror di Linux
Artikel ini merangkumi panduan mengenai penggunaan mesin cheat GameConqueror di Linux. Ramai pengguna yang bermain permainan di Windows sering menggun...
Permainan Emulator Konsol Permainan Terbaik untuk Linux
Emulator Konsol Permainan Terbaik untuk Linux
Artikel ini akan menyenaraikan perisian emulasi konsol permainan popular yang tersedia untuk Linux. Emulation adalah lapisan keserasian perisian yang ...
Permainan Distro Linux Terbaik untuk Permainan pada tahun 2021
Distro Linux Terbaik untuk Permainan pada tahun 2021
Sistem operasi Linux telah jauh dari tampilan asal, ringkas dan berasaskan pelayan. OS ini telah berkembang pesat dalam beberapa tahun kebelakangan in...