Installation af gratis SSL-certifikat på LEMP Stack med Lad os kryptere
Lad os kryptere er et Linux Foundation Collaborative Project, åben certificeringsmyndighed, der leveres af Internet Security Research Group. Gratis for alle, der ejer et domænenavn, der bruger Lad os kryptere for at få et betroet certifikat. Evnen til at automatisere fornyelsesprocessen, samt arbejde for at gøre det nemmere at installere og konfigurere. Hjælp med at holde websteder sikre og fremskynd TLS-sikkerhedspraksis. Opretholdelse af gennemsigtighed, med alle certifikater offentligt tilgængelige for inspektion. Tillad andre at bruge deres udstedelses- og fornyelsesprotokoller som en åben standard.
I det væsentlige, Lad os kryptere forsøger at gøre sikkerhed ikke afhængig af latterlige hoops lavet af store, for profit organisationer. (Du kan sige, at jeg tror på open source, og det er her åben kilde).
Der er to muligheder: Download pakken og installer fra repositorier, eller installer certbot-auto wrapper (tidligere letsencrypt-auto) fra letsencrypt direkte.
At downloade fra arkiverne
sudo apt-get install letsencrypt -y
Når installationen er færdig, tid til at få din cert! Vi bruger certonly standalone-metoden, gydning en forekomst af en server, bare for at erhverve dit certifikat.
sudo letsencrypt certonly -standalone -d example.com -d underdomæne.example.com -d andreunderdomæneeksempel.com
Indtast din email og accepter til vilkårene for service. Du skal nu have et certifikat godt for hver af de domæner og underdomæner, du har indtastet. Hvert domæne og underdomæne bliver udfordret, så hvis du ikke har en dns-post, der peger på din server, vil anmodningen mislykkes.
Hvis du vil teste processen, inden du får dit faktiske certifikat, kan du tilføje -test-cert som et argument efter certonly. Bemærk: -test-cert installerer et ugyldigt certifikat. Du kan gøre dette et ubegrænset antal gange, men hvis du bruger live certs er der en takstgrænse.
Vildt kortdomæner understøttes ikke, og det ser heller ikke ud til, at de vil blive understøttet. Årsagen er, at da certifikatprocessen er gratis, kan du anmode om så mange som du har brug for. Du kan også have flere domæner og underdomæner på samme certifikat.
Flytter til konfigurationen af NGINX for at bruge vores nyligt erhvervede certifikat! For stien til certifikatet bruger jeg den egentlige sti i stedet for et regulært udtryk.
Vi har SSL, kan lige så godt omdirigere al vores trafik til den. Den første server sektion gør netop det. Jeg har det indstillet til at omdirigere al trafik, herunder underdomæner, til det primære domæne.
PRO TIP: Hvis problemet er med din computer eller en bærbar computer / notesbog, skal du prøve at bruge Reimage Plus-softwaren, som kan scanne lagrene og udskifte korrupte og manglende filer. Dette virker i de fleste tilfælde, hvor problemet er opstået på grund af systemkorruption. Du kan downloade Reimage Plus ved at klikke herHvis du bruger Chrome og ikke deaktiverer de ovenfor anførte ssl-cifre, får du err_spdy_inadequate_transport_security. Du skal også redigere nginx conf-filen for at se sådan ud for at omgå en sikkerhedsfejl i gzip
Skulle du opdage, at du får noget som adgang nægtet - du skal dobbelttjekke, at servernavn (og root) er korrekt. Jeg er lige færdig med at slå mit hoved mod muren, indtil jeg gik ud. Heldigvis i min server mareridt, langs kom svaret - du har glemt at angive din rod mappe! Blodig og bludgeoned, jeg sætter i roden og der er det, mit dejlige indeks.
Hvis du stikker til at oprette for separate underdomæner, kan du bruge
Du bliver bedt om at oprette en adgangskode til brugernavn (to gange).
sudo service nginx genstart
Nu kan du få adgang til dit websted fra hvor som helst med et brugernavn og en adgangskode, eller lokalt uden. Hvis du altid vil have en adgangskodeudfordring, skal du fjerne tilladelsen 10.0.0.0/24; # Skift til din lokale netværkslinje.
Husk afstanden til auth_basic, hvis det ikke er korrekt, får du en fejl.
Hvis du har adgangskoden forkert, bliver du ramt af en 403
Et sidste emne, vi skal gøre, oprette autorenewal af SSL certs.
For dette er et simpelt cron-job det rigtige værktøj til jobbet, vi skal sætte det som rodbrugeren for at forhindre tilladelsesfejl
(sudo crontab -l 2> / dev / null; echo '0 0 1 * * letsencrypt forny') | sudo crontab -
Årsagen til at bruge / dev / null er at sikre, at du kan skrive til crontab, selvom man ikke tidligere eksisterede.
PRO TIP: Hvis problemet er med din computer eller en bærbar computer / notesbog, skal du prøve at bruge Reimage Plus-softwaren, som kan scanne lagrene og udskifte korrupte og manglende filer. Dette virker i de fleste tilfælde, hvor problemet er opstået på grund af systemkorruption. Du kan downloade Reimage Plus ved at klikke her