Миналата година Google ясно да знаят всички. че е време да се свържете с SSL сертификати на своите сайтове. Сега, предпочитанията по подразбиране ще бъде отделено на сайтове, които използват защитена връзка. В тази връзка, наскоро се появи свръх около безплатен сертификат за SSL (отдавна). С подкрепата на Фондацията Linux, и Mozilla, Facebook, Akamai, Cisco и много други известни гиганти на ИТ индустрията, видях светлината на проект, наречен Нека Encrypt.
Проектът е предназначен преди всичко за защита на мрежата, както и да улесни живота на обикновените уеб разработчици (всичко това суетене с генерирането на частни ключове, КСО, можете удостоверите собствеността на домейна, създаване на уеб сървър и така нататък отрича). Освен това, SSL сертификати. издаден Нека Encrypt, напълно безплатно. Има една истина в тях, но те са основен и периодът на валидност е ограничена до 3 месеца (но това не е проблем, тъй като разширяването може да се конфигурира автоматично).
Трябва да кажа, че в моя блог съм го постави на сертификат от Encrypt Нека.
Заслужава да се отбележи, че проектът в момента е в бета тестване, така че може да има грешки в техните скриптове.
Целият процес на работа с услугата се извършва с помощта на питон скрипт letsencrypt. в момента не всички дистрибуции там letsencrypt пакети, така че официалната документация препоръчва да се сложи по-рано клонирана Git хранилището от GitHub.
letsencrypt-автоматично е скрипт обвивка около letsencrypt. автоматизира процеса на внедряване. Казано по-просто, сценарият изтегля всички необходими зависимости, повдига отделна виртуална среда за Python, използвайки virtualenv, инсталиране на необходимите питон-модули, без запушване на питона система. Заслужава да се отбележи, че (Sudo), за да работи правилно, сценарият трябва да имате достъп за писане в системната директория.
Тъй като сценарият е предназначена да опрости работата на инсталиране на сертификат за сигурност, като поддържа система плъгин. Така например, в стандартната система има щепсел за използване с Apache (напълно функциониращ) и Nginx (все още само в експериментална фаза).
SSL сертификат Инсталация за Apache
Моят блог работи по един куп LAMP, т.е. Linux, Apache, MySQL и PHP. Шифроване на разработчиците Нека да са се опитали най-добрите и опростена конфигурацията им удостоверение за Apache за "по-лесно да никъде." Целият процес е сведен до следните стъпки:
- Проверете собствеността на домейна
- Тя ще издаде необходимия сертификат за срок от 90 дни
- Ще направим всички необходими настройки за уеб сървъра Apache
В края на краищата тази болка и аз само трябваше да се създаде пренасочване 301 (преместен за постоянно) от HTTP към HTTPS и рестартиране на уеб сървъра.
Конфигуриране на SSL сертификати за други уеб сървъри
В допълнение към предоставянето letsencrypt плъгин да работи с Apache Има редица от друга, а именно:
Самостоятелен
Същността на самостоятелния е, че сценарият ще се опита да вземе вашия собствен уеб сървър, за продължителността на процедурата за получаване на сертификата (за удостоверяване на собствеността на домейн), а за това ще бъде необходимо, за да забраните на вече работи, за да се освободи портове 80 и 443. За по-голямата част от уеб разработчици възможността неудобни поради необходимостта да забраните на сайта.
Този вариант е подходящ за тези, които не обичат самостоятелен. При задаване на ключови --webroot ще трябва да посочите директорията, в която се намират файловете, който обработва уеб сървъра.
Когато се работи с тази опция, трябва да конфигурирате уеб сървъра, за да прочетете файла правилно.
От името можете да се досетите, че конфигурацията и монтаж на SSL сертификат ще се извършва на ръка :-) Може би сега е най-удобният начин за конфигуриране на сертификат за Nginx заради "влага" letsencrypt Nginx плъгин.
След въвеждане на тази команда ще трябва самостоятелно да извършват манипулации, за да го потвърдите, като поставите файл с определено съдържание в правилната директория на сайта. Когато процедурата по създаване на сертификат е завършена, с всички необходими файлове ще бъдат на базата на следния път / и т.н. / letsencrypt / на живо / $ достояние. Живата поддиректорията съдържа всички най-актуалните сертификатите и ключовете, докато ключовете и архивът съдържа всички създадени по-рано файлове.
Конфигуриране на SSL в Nginx
Така че, ако процедурата е била успешна при създаването на сертификати в ръчен режим, в горната директория, ние откриваме всички файлове, необходими, за да изберете защитена връзка.
- privkey.pem - нашият частен ключ
- cert.pem - сертификат на сървъра
- chain.pem - корен (основата) и междинно съединение (междинно съединение)
- fullchain.pem - ние всички трябва да има сертификати за конфигуриране на уеб сървъра.
Как може в този случай ще изглежда като Nginx конфигурация?
Момчетата от letsencrypt не препоръчва да се преместите файлове, като при подновяване на стария сертификат ще бъде автоматично заменят с нови, по същия път, по-добре е в този случай, да създадете символна връзка.
Подновяване SSL сертификат
По-рано споменах, че свободните SSL сертификати "на живо" Само на 90 дни, така че след изтичане на срока им ще трябва да стартирате процеса на обновяване, ползата е твърде свободни :-)
Какво е искал да удължи процеса?
Според шифрова! Да, преди изтичането на срока, пощенската служба, посочена в създаването, идва съответното уведомително писмо, че е време за подновяване на сертификата. За да направите това ръчно започне команда:
И следвайте инструкциите на екрана. Автоматично удължаване на същото може да се конфигурира с помощта на конфигурационния файл и нормален кронтаб. Препоръчително е да се коригира короната по такъв начин, че подновяването състоя не повече от 1 път на месец.
Ако работите от Windows, можете letsencrypt могат да се изграждат с помощта на скитник или докер. Истината в този случай, всички файлове на сървъра, ще трябва да бъдат ръчно се премества в правилните настройки на уеб сървъра.
Каналът има повече от 1000 членове, така че се присъедините към нас и вас - DevBrain
Свързани статии