Let’s Encrypt je Linux Foundation Collaborative Project, otvoreno tijelo za izdavanje certifikata, koje pruža Internet Security Research Group. Besplatno za svakoga tko posjeduje ime domene može koristiti Let’s Encrypt za dobivanje pouzdanog certifikata. Sposobnost automatizacije postupka obnove, kao i rad na lakšoj instalaciji i konfiguriranju. Pomozite zaštititi web lokacije i unaprijedite sigurnosne prakse TLS-a. Održavajte transparentnost, tako da su svi certifikati javno dostupni na uvid. Dopustite drugima da koriste svoje protokole izdavanja i obnavljanja kao otvoreni standard.
U osnovi, Let’s Encrypt pokušava osigurati da se sigurnost ne oslanja na smiješne obruče koje su napravile velike profitne organizacije. (Moglo bi se reći da vjerujem u otvoreni izvor, a ovo je u najboljem slučaju otvoreni izvor).
Dvije su mogućnosti: preuzmite paket i instalirajte ga iz spremišta, ili izravno instalirajte omot certbot-auto (prije letsencrypt-auto) s letsencrypt.
Za preuzimanje iz spremišta
sudo apt-get instaliraj letsencrypt -y
Kad je instalacija gotova, vrijeme je da nabavite svoj certifikat! Koristimo certonly samostalnu metodu, rezultirajući instancom poslužitelja samo za stjecanje vašeg certifikata.
sudo letsencrypt certonly –standalone –d example.com -d poddomena.example.com -d drugipoddomena.example.com
Unesite svoju e-adresu i pristanite na uvjete usluge. Sada biste trebali imati certifikat dobar za svaku od unesenih domena i poddomena. Svaka domena i poddomena dobivaju izazov, pa ako nemate dns zapis koji pokazuje na vaš poslužitelj, zahtjev neće uspjeti.
Ako želite testirati postupak, prije nego što dobijete svoj stvarni certifikat, možete dodati –test-cert kao argument nakon certonly. Napomena: –test-cert instalira nevaljani certifikat. To možete učiniti neograničen broj puta, no ako koristite potvrde uživo, postoji ograničenje cijene.
Wild kartice nisu podržane niti se čini da će biti podržane. Navedeni je razlog taj što budući da je postupak izdavanja certifikata besplatan, možete zatražiti koliko god vam treba. Također, na istom certifikatu možete imati više domena i poddomena.
Prelazak na konfiguraciju NGINX-a kako bismo koristili naš novostečeni certifikat! Za put do certifikata koristim stvarni put, a ne regularni izraz.
Imamo SSL, možda bi i sav promet preusmjerio na njega. Prvi odjeljak poslužitelja čini upravo to. Postavio sam da sav promet, uključujući poddomene, preusmjerava na primarnu domenu.
Ako upotrebljavate Chrome i ne onemogućite gore navedene ssl šifre, dobit ćete err_spdy_inadequate_transport_security. Također trebate urediti datoteku nginx conf kako bi izgledala ovako nekako da biste zaobišli sigurnosnu manu u gzipu
Ako otkrijete da dobivate nešto poput odbijenog pristupa - trebate još jednom provjeriti je li ime_poslužitelja (i root) točno. Upravo sam završio lupanjem glavom o zid dok nisam onesvijestio. Srećom u mojim noćnim morama poslužitelja, uslijedio je odgovor - zaboravili ste postaviti svoj root direktorij! Krvav i izmrcvaren, stavio sam korijen i eto, moj ljupki indeks.
Ako palicom namjestite zasebne poddomene, možete ih koristiti
Od vas će se zatražiti da stvorite lozinku za korisničko ime (dva puta).
sudo servis nginx restart
Sada ćete moći pristupiti svojoj web lokaciji s bilo kojeg mjesta s korisničkim imenom i lozinkom ili lokalno bez. Ako želite uvijek imati izazov s lozinkom, uklonite dozvolu 10.0.0.0/24; # Promijenite na liniju lokalne mreže.
Pazite na razmak za auth_basic, ako nije u redu, dobit ćete pogrešku.
Ako ste pogriješili zaporku, dobit ćete 403
Još jedna zadnja stvar koju moramo učiniti, postaviti automatsku obnovu SSL certifikata.
Za ovo je jednostavan cron posao pravi alat za posao, stavit ćemo ga kao korijenskog korisnika kako bismo spriječili pogreške u dopuštenju
(sudo crontab -l 2> / dev / null; odjek '0 0 1 * * letsencrypt obnovi') | sudo crontab -
Razlog korištenja / dev / null je osiguravanje da možete pisati u crontab, čak i ako prethodno nije postojao.
3 minute čitanja
