Het domein van een website moet SSL/TLS-codering hebben als het bezoekers wil trekken. SSL/TLS-certificaten zorgen voor een sterke verbinding tussen webservers en browsers. Vroeger was veiligheid geen groot probleem. Het was relatief gebruikelijk dat websites gegevens aanleverden via het gevestigde HTTP-protocol. Tegenwoordig moet het kanaal dat wordt gebruikt om met de server te communiceren echter worden beveiligd, omdat cybercriminaliteit, waaronder identiteitsdiefstal, creditcardfraude en spionage, toeneemt.
Een certificeringsinstantie (CA) genaamd Let's Encrypt biedt gratis SSL/TLS-certificaten, die HTTPS-codering op webservers mogelijk maken. Het is domein geverifieerd, dus een speciaal IP-adres is niet nodig. Het wordt meestal geadviseerd om een SSL-certificaat op uw website te hebben ingeschakeld om uw SEO-ranking te verbeteren, met name op Google.
Werking van Let's Encrypt
Let's Encrypt bevestigt het eigendom van het domein voordat een certificaat wordt verstrekt. Wanneer het token is gevalideerd, doet de Let's Encrypt-validatieserver een HTTP-verzoek om het bestand te verkrijgen en zorgt ervoor dat het DNS-record van het domein verwijst naar de server die de Let's Encrypt-client host.
Vereisten
U moet het volgende doen voordat u Let's Encrypt gebruikt:
Volg de instructies in deze eerste serverconfiguratie voor Ubuntu 20.04-zelfstudie, zodra de Ubuntu 20.04-server is ingesteld, compleet met een firewall en een niet-rootgebruiker met sudo-toegang.
Een domeinnaam met registratie. In dit artikel wordt myfirstproject1.com gebruikt. U kunt een domein kopen.
De volgende twee DNS-records zijn geconfigureerd op uw server.
- Een 'myproject1'-record met myfirstproject1.com die verwijst naar het openbare IP-adres van uw server
- Een 'myproject2'-record met myfirstproject2.com die verwijst naar het openbare IP-adres van uw server.
Nginx moet zijn geïnstalleerd en u moet ervoor zorgen dat uw domein een serverblokkering heeft.
Stappen voor het installeren van Let's Encrypt op Digital Ocean
De belangrijkste stappen voor het installeren van Let's Encrypt op de digitale oceaan zijn:
Certbot installeren
De Certbot-software is de primaire behoefte voor het gebruik van Let's Encrypt om een SSL-certificaat te verkrijgen. Voor het installeren van Certbot en zijn Nginx-plug-in gebruiken we de volgende opdracht:
De meeste shared hostingbedrijven en sommige cloudhostingbedrijven nemen Certbot of een vergelijkbare plug-in op in het websitehostingpaneel waarmee u SSL/TLS-certificaten kunt kopen, verlengen en beheren met een paar klikken.
Terwijl 'python3-certbot-nginx' een pakket is dat wordt gebruikt om:
Laat direct aan de Let's Encrypt CA zien dat jij de baas bent over de website.
- Houd bij wanneer uw licentie moet worden geüpgraded en wanneer deze bijna verloopt.
- Verkrijg en installeer een browser-vertrouwd certificaat op elke webserver.
- Indien nodig assisteren bij het intrekken van het certificaat.
Certbot is nu klaar voor gebruik, maar sommige instellingen moeten worden bevestigd voordat het SSL voor Nginx automatisch kan instellen.
De configuratie van Nginx verifiëren
Certbot moet SSL automatisch kunnen configureren. Het moet het juiste serverblok in je Nginx-configuratie kunnen vinden. Om precies te zijn, wordt dit bereikt door te zoeken naar een servernaamrichtlijn die overeenkomt met het domein waarvoor u een certificaat aanvraagt.
Het zou de servernaamrichtlijn al correct moeten hebben geconfigureerd in een serverblok voor het domein, dat we zullen gebruiken op '/etc/nginx/sites-available/myfirstproject1.com'.
Open het domeinconfiguratiebestand in nano of uw andere teksteditor om te controleren of uw bestand wordt geopend als het bestaat, sluit uw editor en ga naar de volgende actie. De servernaam ziet eruit als 'server_name domain_name www.domain_name.com ', zoals weergegeven in het onderstaande fragment.
Als het niet verandert, komt het overeen. Controleer de syntaxis van uw configuratiewijzigingen nadat u het bestand hebt opgeslagen en uw editor hebt gesloten. Gebruik de volgende instructie om te controleren:
$ sudo nginx –tLaad Nginx opnieuw om de bijgewerkte configuratie te laden nadat u ervoor heeft gezorgd dat de syntaxis van uw configuratiebestand correct is:
$ sudo systemctl herlaad nginxNu kan Certbot automatisch het juiste serverblok lokaliseren en bijwerken. Een systemctl is belast met het inspecteren en beheren van het systemd systeem en het servicemanagement. Het dient als de vervanging van de System V init-daemon en bestaat uit verschillende systeembeheerbibliotheken, tools en daemons.
HTTPS inschakelen via de firewall
De vereiste aanbevelingen adviseren u om de UFW-firewall in te schakelen. U moet de instellingen wijzigen om HTTPS-verkeer toe te staan.
Met de UFW-statusoptie kunnen we de meest recente toestand van UFW bekijken. De UFW-status geeft een lijst met voorschriften weer als UFW is geactiveerd. Als u over de nodige inloggegevens beschikt, kunt u de opdracht natuurlijk alleen uitvoeren als de rootgebruiker of door deze vooraf te laten gaan met sudo.
Schakel het Nginx Full-profiel in en verwijder de onnodige Nginx HTTP-profieltoeslag om ook HTTPS-verkeer toe te staan:
Het vorige fragment toont de methode om volledig verkeer van Nginx toe te staan en het tweede fragment laat zien hoe het andere verkeer dat we hebben toegestaan, kan worden verwijderd.
Hoe een SSL-certificaat te krijgen
Met behulp van plug-ins biedt Certbot verschillende manieren om SSL-certificaten te verkrijgen. De configuratie van Nginx en het opnieuw laden van de configuratie wordt indien nodig afgehandeld door de Nginx-plug-in.
Gebruik de Certbot om meteen het SSL-certificaat van het domein te krijgen. Om het domein aan te geven, is een '-d' -argument nodig. Eén certificaat wordt uitgegeven door Let's Encrypt voor het www-subdomein en de root. Het is noodzakelijk om het certificaat voor beide versies te verkrijgen, aangezien het hebben van slechts één voor beide versies resulteert in een waarschuwing in de browser als een bezoeker de andere versie bekijkt. Voor nieuwe gebruikers vraagt certbot u om voor de eerste keer uw e-mailadres op te geven en te bevestigen dat u akkoord gaat met de servicevoorwaarden.
Als dit gelukt is, wordt u gevraagd uw keuze te maken en op ENTER te drukken. Na het updaten van de configuratie zal Nginx opnieuw laden en de nieuwe instellingen overwegen. Na voltooiing laat certbot u weten dat de procedure is geslaagd.
Conclusie
In deze handleiding hebben we laten zien hoe u de Let's Encrypt-softwarecertbot installeert en gebruikt, een SSL-certificaat krijgt, uw automatische update voor een SSL-certificaat instelt en Nginx configureert. Daarnaast hebben we u ook enkele voorbeelden gegeven van situaties die kunnen leiden tot compilatieproblemen bij het gebruik van Let's Encrypt Digital Ocean.