Za starých čias bolo celkom bežné, že webové stránky poskytovali obsah prostredníctvom tradičného protokolu HTTP, pretože zabezpečenie nebol veľkým problémom. V dnešnej dobe je však kvôli nárastu počítačovej kriminality ako krádež totožnosti, krádež kreditnej karty, odpočúvanie skutočne dôležité zabezpečiť kanál, cez ktorý komunikuje so serverom. Let's encrypt je certifikačná autorita, ktorá poskytuje certifikáty SSL / TLS zadarmo. Osvedčenia, ktoré vydávajú, sú platné 3 mesiace, čo znamená 90 dní v porovnaní s rokom alebo viac, ktoré vykonávajú certifikačné autority komerčnej kvality. Poskytuje však rovnakú ochranu ako platené certifikáty; preto si ho často vyberá veľa blogerov a malých vlastníkov webových stránok proti počítačovým zločincom. Tento článok chce demonštrovať, ako zabezpečiť kvapôčky DigitalOcean šifrovaním.

Požiadavky

Táto príručka používa Ubuntu 16.04 ako operačný systém, na ktorom je spustený webový server. Rovnaké kroky však možno použiť pre všetky ostatné verzie systému Ubuntu, pokiaľ v nastaveniach nie je rozdiel. Táto príručka predpokladá, že používateľ už má nainštalovaný webový server a je ním Nginx. Ako klient SSH sa používa Putty a ako editor súborov sa odporúča Nano.

Riešenie

1. Webový server vytvorený na kvapkách je prístupný cez protokol SSH. Stiahnite a nainštalujte Putty z jeho oficiálnych webových stránok. Aplikácia je úplne zadarmo.

sudo apt-get install putty

2. Po stiahnutí Putty pokračujte a stiahnite si Nano. Účelom Putty je prístup k konzole Linuxu na zadávanie príkazov shell, zatiaľ čo Nano sa používa na úpravu interných súborov, ako je napríklad predvolený súbor Nginx.

sudo apt-get nainštalovať nano

3. Spustite tmel a prejdite na kartu Relácia.

4. Do poľa Názov hostiteľa zadajte adresu IP kvapky produktu DigitalOcean, kde je nainštalovaný webový server. IP adresu kvapiek nájdete v serveri https: // cloud.digitalocean.com / kvapky. Do poľa port zadajte 22.

5. Po zadaní všetkých povinných polí, ako je uvedené vyššie, stlačte tlačidlo OK, aby sa zmeny uplatnili a prihláste sa do kvapky. Pri prihlásení do systému sa zobrazí výzva na zadanie používateľského mena a hesla kvapôčky. Pri vytváraní kvapôčky sa používateľské meno aj heslo odošle e-mailom na registrovaný e-mail v aplikácii DigitalOcean.

6. Táto príručka používa Certbot, nástroj tretej strany na automatizáciu celého procesu načítania a obnovenia digitálnych certifikátov. Certbot má svoje vlastné webové stránky, z ktorých je možné ľahko generovať príkazy, ktoré sa majú použiť. Podľa Certbot sú to správne príkazy na inštaláciu Certbot na Ubuntu. Najskôr aktualizuje informácie o balíku v miestnom úložisku, potom nainštaluje softvérové ​​vlastnosti spoločného balíka, ktorý poskytuje niektoré užitočné skripty pri spracovávaní osobných úspechov balíka (PPA), potom nainštaluje certbot, potom znova aktualizuje miestne úložisko a nakoniec nainštaluje balík pygin certbot nginx. Pred prechodom na ďalší krok sa ubezpečte, že sú všetky tieto balíčky správne nainštalované.

$ sudo apt-get aktualizácia
$ sudo apt-get nainštalovať softvér-vlastnosti-bežné
$ sudo add-apt-repository ppa: certbot / certbot
$ sudo apt-get aktualizácia
$ sudo apt-get nainštalovať python-certbot-nginx

7. Prejdite na webovú stránku, z ktorej bola zakúpená doména. Táto príručka používa ako registrátor domén Porkbun a potom do domény pridáva záznam A. Typ je Záznam, hostiteľ je prázdny, ak je adresa IP spojená s koreňovou doménou, inak použite názov subdomény bez koreňovej domény, napríklad ak je to nucuta.sk, stačí použiť www. Ako odpoveď zadajte IP adresu kvapôčky.

8. Rovnakým spôsobom presmerujte prenos WWW na koreňovú doménu nasledujúcim spôsobom. Typ je „CNAME“, hostiteľ je „WWW“, odpoveď je „nucuta.com “alebo vaša doména. Tento krok je dôležitý, pretože presmeruje všetku návštevnosť www do koreňovej domény.

9. Pomocou nasledujúceho príkazu na Putty získate prístup k predvolenému súboru Nginx. Predvolený súbor štandardne používa jeden blok servera, kde je umiestnená primárna doména. Nano Editor sa veľmi odporúča, pretože je v porovnaní s ostatnými celkom pohodlný.

sudo nano / etc / nginx / sites-available / default

10. V predvolenom súbore prejdite na blokovanie servera a presmerovanie prenosu HTTP na HTTP. V druhom blokovaní servera, kde sa spracováva zabezpečený prenos, zmeňte napríklad názov_serveru na názov domény

názov_servera nucuta.com www.nucuta.com

11. Zadaním nasledujúceho príkazu reštartujte webový server Nginx. Kedykoľvek dôjde k zmene v predvolenom súbore, musí sa reštartovať celý server Nginx, aby sa prejavili nové zmeny.

sudo systemctl znovu načítať nginx

12. Firewall predvolene blokuje všetku komunikáciu okrem portov 80 a 22. HTTPS používa port 443; preto musí byť manuálne otvorený pre prístup na webový server zo strany klienta. Otvorenie portu závisí od brány firewall.
    

    V CSF (nakonfigurovaný firewall servera)

    1. Otvorí sa konfiguračný súbor CSF zadaním nasledujúceho príkazu.
    nano / etc / csf / csf.konf
    2. Pridajte nasledujúce porty do vstupu a výstupu TCP.
    TCP_IN = "20,21,22,25,53,80,443"
    TCP_OUT = "20,21,22,25,53,80,443"
    3. Reštartujte CSF zadaním csf -r

    V USF (nekomplikovaný firewall)

    1. Ak chcete pridať HTTPS do zoznamu výnimiek, zadajte nasledujúce dva príkazy. Balík „Nginx Full“ má porty HTTP aj HTTPS; teda pridanie celého balíka umožňuje prenos dovnútra aj von.
    sudo ufw povoliť 'Nginx Full'
    sudo ufw mazanie povoliť 'Nginx HTTP'
    2. Stav zobrazíte zadaním nasledujúceho príkazu
stav ufw

13. Skontrolujte port 443 z externej webovej stránky a uistite sa, že sa pre istotu otvára. Ak je port otvorený, zobrazí sa správa „Port 443 je otvorený“

14. Teraz pomocou nástroja Certbot získajte certifikát SSL do domény. Parameter D sa vyžaduje na určenie domény. Zašifrujme vydania jedného certifikátu pre root aj pre subdoménu www. Ak má iba jedna z oboch verzií, v prehliadači sa zobrazí varovanie, ak návštevník získa prístup k druhej verzii; preto je dôležité získať certifikát pre obe verzie. sudo certbot --nginx -d nucuta.com -d www.nucuta.com

15. Certbot požiada o presmerovanie všetkého prenosu HTTP na HTTPS, ale nie je to potrebné, pretože sa to už stalo v jednom z predchádzajúcich krokov.

16. Teraz prejdite na webovú stránku SSL Lab a skontrolujte kvalitu alebo akékoľvek ďalšie problémy s certifikátom a jeho konfiguráciou. https: // www.ssllabs.com / ssltest /

17. Ak aktuálna konfigurácia nie je dostatočne zabezpečená, prejdite do generátora konfigurácie protokolu SSL Mozilly a vygenerujte nastavenia pre svoj webový server. https: // mozilla.github.io / server-side-tls / ssl-config-generátor /. Pretože tu používa Nginx, nezabudnite použiť Nginx ako webový server. Ponúka tri možnosti, stredné, staré a moderné. Vďaka starej možnosti je web kompatibilný prakticky s každým prehliadačom, vrátane super starých prehliadačov, ako je IE 6, zatiaľ čo prechodný variant je ideálny pre priemerných používateľov. Moderný variant generuje konfiguráciu potrebnú pre maximálnu bezpečnosť, ale keďže kompromis s webom nebude fungovať správne na starších prehliadačoch. Dôrazne sa to preto odporúča pre webové stránky, na ktorých je hlavným problémom bezpečnosť.

18. Prejdite na svoj web a kliknite pravým tlačidlom myši na ikonu zámku, potom na možnosť Certifikát a certifikát sa zobrazí.

19. Ak zobrazuje budúci dátum po TO v platnosti od možnosti, čo znamená, že proces získavania certifikátu bol dokončený. Je však dôležité presmerovať prenos na príslušnú verziu domény, napríklad prenos HTTP a WWW je možné presmerovať na koreňovú doménu HTTPS, ako je to viditeľné v tejto príručke. Certifikát bude automaticky obnovený certbotom; preto je vlastníkovi webových stránok navždy bezplatne k dispozícii.