Cara Mengamankan Nginx Dengan Let's Enrypt pada CentOS 8
- 4439
- 1179
- Dana Hammes
Ditubuhkan pada April 2016 oleh Yayasan Frontier Elektronik (EFF), Mari enkripsi adalah sijil digital percuma dan automatik yang menyediakan TLS penyulitan untuk laman web sama sekali tidak ada kos sama sekali.
Objektif Mari enkripsi Sijil adalah untuk mengautomasikan pengesahan, penciptaan, penandatanganan serta pembaharuan auto sijil keselamatan. Sijil ini membolehkan sambungan yang disulitkan ke webservers menggunakan Https protokol dengan cara yang mudah dan mudah tanpa kerumitan. Sijil ini sah untuk sahaja 90 hari di mana autorenewal dapat diaktifkan.
Baca yang disyorkan: Cara Mengamankan Apache Dengan Let's Enrypt Sijil SSL di CentOS 8
Dalam artikel ini, kami akan menunjukkan bagaimana anda boleh memasang Mari enkripsi untuk mendapatkan sijil SSL percuma untuk menjamin Nginx pelayan web dihidupkan Centos 8 (Arahan yang sama juga berfungsi RHEL 8). Kami juga akan menjelaskan kepada anda bagaimana memperbaharui sijil SSL anda secara automatik.
Prasyarat
Sebelum kita meneruskan untuk memastikan bahawa anda mempunyai yang berikut dalam pemeriksaan.
1. A Nama domain yang berkelayakan sepenuhnya (FQDN) menunjuk ke alamat IP yang berdedikasi dari webserver. Ini perlu dikonfigurasikan di kawasan pelanggan penyedia web hosting dns anda. Untuk tutorial ini, kami menggunakan nama domain LinuxtechWhiz
yang menunjuk ke alamat IP 34.70.245.117.
2. Anda juga boleh mengesahkan ini dengan melakukan carian ke hadapan menggunakan arahan penggali seperti yang ditunjukkan.
$ Dig LinuxtechWhiz.maklumatSemak maklumat DNS menggunakan arahan penggali
3. Nginx dipasang dan berjalan di webserver. Anda boleh mengesahkannya dengan melog masuk ke terminal dan menjalankan arahan di bawah. Jika Nginx tidak dipasang, ikuti artikel kami untuk memasang Nginx pada CentOS 8.
$ sudo status status nginxSahkan status nginx
4. Anda juga boleh mengesahkan dengan melawat URL pelayan web pada penyemak imbas web.
http: // server-ip-or-hostnameSemak laman web nginx
Dari URL, kita dapat melihat dengan jelas bahawa laman web ini tidak selamat, dan dengan itu tidak disulitkan. Ini menunjukkan bahawa sebarang permintaan yang dibuat kepada webserver boleh dipintas bahawa ini termasuk maklumat kritikal dan sulit seperti nama pengguna, kata laluan, nombor keselamatan sosial, dan maklumat kad kredit untuk menyebut beberapa.
Sekarang mari kita dapatkan tangan kita kotor dan pasang Mari enkripsi.
Langkah 1. Pasang Certbot di CentOS 8
Untuk memasang Mari enkripsi sijil, anda perlu mempunyai Certbot dipasang. Ini adalah pelanggan yang boleh diperpanjang yang mengambil sijil keselamatan dari Mari enkripsi kuasa dan membolehkan anda mengautomasikan pengesahan dan konfigurasi sijil untuk digunakan oleh webserver.
Muat turun Certbot Menggunakan perintah curl.
$ sudo curl -o https: // dl.eff.org/certbot-autoMuat turun Certbot di CentOS 8
Seterusnya, gerakkan sijil ke /usr/tempatan/bin direktori.
$ sudo mv certbot-auto/usr/local/bin/certbot-auto
Seterusnya, berikan kebenaran fail ke fail certbot seperti yang ditunjukkan.
$ chmod 0755/usr/local/bin/certbot-auto
Langkah 2. Konfigurasikan blok pelayan nginx
Blok pelayan di Nginx adalah bersamaan dengan tuan rumah maya di Apache. Menyediakan blok pelayan bukan sahaja membolehkan anda menyediakan beberapa laman web dalam satu pelayan tetapi juga membolehkan CertBot membuktikan pemilikan domain untuk Pihak Berkuasa Sijil - CA.
Untuk membuat blok pelayan, jalankan arahan yang ditunjukkan.
$ sudo vim/etc/nginx/conf.D/www.LinuxtechWhiz.maklumat
Pastikan anda mengganti nama domain dengan nama domain anda sendiri. Kemudian tampal konfigurasi di bawah.
pelayan server_name www.LinuxtechWhiz.maklumat; root/opt/nginx/www.LinuxtechWhiz.maklumat; lokasi / indeks indeks.Indeks HTML.Indeks HTM.PHP; akses_log/var/log/nginx/www.LinuxtechWhiz.maklumat.akses.log; error_log/var/log/nginx/www.LinuxtechWhiz.maklumat.ralat.log; Lokasi ~ \.php $ termasuk/etc/nginx/fastcgi_params; fastcgi_pass 127.0.0.1: 9000; indeks fastcgi_index.PHP; fastcgi_param script_filename $ document_root $ fastcgi_script_name;
Simpan fail dan keluar dari editor teks.
Langkah 3: Pasang Sijil Hubungi Sulit pada CentOS 8
Sekarang gunakan Certbot perintah untuk memulakan pengambilan dan konfigurasi sijil keselamatan Let's Encrypt.
$ sudo/usr/local/bin/certbot-auto --nginx
Perintah ini akan menjalankan dan memasang pelbagai pakej python dan kebergantungan mereka seperti yang ditunjukkan.
Pasang Lets Sijil Sulit pada CentOS 8Ini selepas itu akan diikuti dengan prompt interaktif seperti yang ditunjukkan:
Membolehkan menyulitkan maklumat sijilSekiranya semuanya berjalan lancar, anda sepatutnya dapat melihat mesej ucapan tahniah pada akhirnya.
Pengesahan Pemasangan Lets EncryptUntuk mengesahkan bahawa laman nginx anda disulitkan, muat semula laman web dan perhatikan simbol padlock pada permulaan URL. Ini menunjukkan bahawa laman web ini dijamin menggunakan SSL/TLS penyulitan.
Sahkan mari enkripsi sijilUntuk mendapatkan lebih banyak maklumat mengenai sijil keselamatan, klik pada simbol padlock dan pilih 'Sijil'Pilihan.
Dapatkan Maklumat Sijil SulitMaklumat lanjut mengenai sijil keselamatan akan dipaparkan seperti yang ditunjukkan di bawah.
Membolehkan menyulitkan maklumat sijilDi samping itu, untuk menguji kekuatan sijil keselamatan, pergi ke https: // www.ssllabs.com/ ssltest/ dan cari analisis yang lebih tepat dan mendalam mengenai status sijil keselamatan.
Sahkan LETS INCRYPT Penilaian Keselamatan SijilLangkah 4. Memperbaharui sijil menyulitkan
Seperti yang kita lihat sebelum ini, sijil keselamatan hanya sah untuk tempoh 90 hari dan perlu diperbaharui sebelum tamat tempoh.
Anda boleh mensimulasikan atau menguji proses pembaharuan sijil dengan menjalankan arahan:
$ sudo/usr/local/bin/certbot-auto renew--dry-runMemperbaharui sijil menyulitkan
Kesimpulan
Ini membungkus tutorial ini untuk mendapatkan Nginx dengan Mari enkripsi pada Centos 8. Mari enkripsi menawarkan cara yang berkesan dan mudah untuk mendapatkan webserver nginx anda yang sebaliknya akan menjadi urusan yang rumit untuk dilakukan secara manual.
Laman web anda sekarang harus disulitkan sepenuhnya. Beberapa minggu ke tarikh luput sijil, Eff Akan memberi amaran kepada anda melalui e -mel untuk memperbaharui sijil untuk mengelakkan gangguan yang mungkin timbul akibat sijil yang tamat tempoh. Itu semua lelaki untuk hari ini!
- « Yum -Cron - Pasang kemas kini keselamatan secara automatik di CentOS 7
- Cara Membuat Jilid VDO pada Peranti Penyimpanan di RHEL 8 »