Phenquestions
Zabezpečený internet je teraz požiadavkou každého. Preferujeme HTTPS pred HTTP, pretože HTTPS pripojenia sú zabezpečené pomocou SSL. Údaje odoslané prostredníctvom protokolu HTTPS nemôžu vidieť tretie alebo stredné strany. Dáta sú šifrované a iba skutočný klient a server ich môže vidieť v nezašifrovanej pôvodnej podobe. Dnešné vyhľadávače dávajú zabezpečeným webovým serverom väčšiu prioritu, a tým pomáhajú pri SEO.
Ktokoľvek môže vytvoriť certifikát SSL pomocou niekoľkých riadkov príkazu alebo niekoľkých kliknutí myšou. Certifikát, ktorému sa dá dôverovať, však musí poskytnúť nejaká uznávaná certifikačná autorita. Proces získavania certifikátu si vyžaduje čas a peniaze. Cena je niekedy veľmi vysoká v závislosti od certifikačnej autority a vašich požiadaviek.
Údaje medzi vašou webovou aplikáciou a koncovými používateľmi môžete zašifrovať tak, že si sami vytvoríte certifikáty. Ale vo svete doménových a serverových systémov to tak nejde. Váš certifikát musí byť certifikovaný dôveryhodnou treťou stranou. Proces by však nemal byť komplikovaný, ak prístup k internetu nie je. Nie sme tiež ochotní zaplatiť tieto ďalšie náklady za získanie certifikátu, ktorý by sme si mohli urobiť vlastnou rukou zadarmo.
Ale na konci dňa nemôžeme obísť tieto tretie strany. Webové prehľadávače a iné klientske aplikácie nedôverujú certifikátom vyrobeným našimi vlastnými rukami. Dôverujú tým, ktoré poskytujú a podpisujú tie tretie strany, ktoré sa nazývajú certifikačné autority. Náš problém máme vyriešený. Existuje certifikačná autorita (CA) s názvom Let's Encrypt, ktorá poskytuje bezproblémové (v procese) a bezplatné TLS / SSL certifikáty. Stačí požiadať o certifikát pre váš web pomocou rôznych metód uvedených v tomto tutoriále, aby ste získali bezplatné certifikáty pre svoje domény a ste pripravení. Na rozdiel od iných je potrebné certifikáty poskytované službou Let's Encrypt aktualizovať každé tri mesiace (presnejšie 90 dní). Môžete spustiť nejaký skript na svojom serveri alebo VPS, aby ste po určitom intervale automaticky aktualizovali certifikát, aby ste zvládli tento problém s obnovením.
Získanie šifrovaného certifikátu
Ak hostujete svoje webové stránky na VPS alebo na platforme, kde máte shell prístup, môžete certifikát získať od oficiálneho klienta Certbot ACME. Ak používate zdieľané hostiteľské prostredie, potom by váš poskytovateľ hostingu mal poskytovať automatizovanú podporu pre certifikáty Let's Encrypt. Najpopulárnejší poskytovatelia zdieľaného hostingu poskytujú podporu pre certifikáty Let's Encrypt a automaticky vám certifikát obnovujú. Ak váš poskytovateľ hostingu neposkytuje automatizovanú podporu, môžete ho kontaktovať. Väčšina poskytovateľov hostiteľských služieb má na svojom paneli správcov aj niektoré miesta, kam môžete nahrať súbory s certifikátmi. Skontrolujte, do ktorej kategórie spadáte, a postupujte podľa toho.
Certbot Poďme šifrovať klienta
Certbot je najpopulárnejším klientom Let's Encrypt. Je k dispozícii na väčšine hlavných linuxových distribúcií. Tu ukazujem, ako nainštalovať Certbot na stroj Ubuntu. Ak chcete získať najnovšiu verziu certbotu, pridajte úložisko ppa pomocou nasledujúceho príkazu.
sudo add-apt-repository ppa: certbot / certbot
Aktualizujte zoznam balíkov pre novú zmenu:
sudo apt-get aktualizácia
Teraz nainštalujte certbot spolu s jeho doplnkami apache a nginx:
sudo apt-get nainštalovať certbot python-certbot-apache python-certbot-nginx
Certbot môže automaticky načítať a konfigurovať certifikáty pre Apache a Nginx. Povedzme, že chcete získať certifikát pre www.príklad.sk a aktualizovať konfiguráciu Apache. Musíte len vykonať nasledujúci príkaz.
sudo certbot --apache -d www.príklad.com
Certbot vám položí niekoľko potrebných otázok, napadne vás a získa certifikát. Aktualizuje konfiguráciu webového servera Apache a znovu načíta server Apache. Ak chcete vyskúšať, či veci fungujú správne alebo nie, navštívte stránku https: // www.príklad.com.
Obnoviť certifikáty
Certifikáty Let's Encrypt sú platné iba 90 dní. Takže je potrebné aktualizovať certifikáty niekoľkokrát ročne. Aktualizácia certifikátov pomocou certbot je veľmi jednoduchá. Spustením nasledujúcich príkazov aktualizujte všetok certifikát na vašom serveri:
sudo certbot obnoviť
Nie je to však dobrý spôsob, ako to ručne aktualizovať. Ak ste na spravovanom / zdieľanom hostingu a táto platforma má zabudovanú podporu na aktualizáciu certifikátov Let's Encrypt, nemusíte nič robiť ručne. Ak to robíte na VPS, dedikovanom serveri alebo na inom systéme, kde máte prístup k shellu, môžete pomocou cron pravidelne automatizovať túto úlohu.
Používanie šifrovania s ostatnými klientmi
ACME je otvorený protokol. Má tiež dobrú dokumentáciu. Existuje veľa klientov pre certifikáty Let's Encrypt a veľa z nich je vo vývoji. Ak máte záujem o rozvoj klienta, môžete tak urobiť ľahko svojim spôsobom. Ak poznáte trochu jazyka Python, môžete si pozrieť zdrojový kód certbot a vytvoriť si vlastný kód pre seba. Zoznam klientov ACME sa nachádza aj na webovej stránke Let's Encrypt.
Kliknutím na tento odkaz získate zoznam a rozhodnete sa, ktoré alternatívne riešenie chcete použiť. Takmer nikto z nich nemá všetku sladkosť certbotu. Niektoré z nich však majú niekoľko jedinečných funkcií, ktoré vás môžu prilákať. Ak ste programátor a máte nejaké jedinečné požiadavky, skúste si ich implementovať sami.
Manuálna metóda
Niektorí poskytovatelia hostingu povoľujú iba ručné nahrávanie certifikátov. V takom prípade musíte certifikáty načítať manuálne z programu Let's Encrypt a nahrať ich cez hlavný panel správcu hostiteľa (alebo bez ohľadu na mechanizmus, ktorý poskytujú). Na načítanie súboru s certifikátom musíte použiť doplnok „manual“ certbot a určiť parameter „certonly“. Ručnou metódou musíte dokázať, že doména, pre ktorú požadujete certifikát, je skutočne vaša. Plugin môže používať výzvu http, dns alebo tls-sni. Môžete použiť -preferované výzvy možnosť zvoliť si výzvu podľa svojich preferencií. Ak dávate prednosť http Metóda potom vás požiada o vloženie súboru so špecifikovaným obsahom do nejakého adresára vášho webu / webového servera. Overte svoje vlastníctvo a získajte certifikát získaním odpovede na ďalšie otázky.
certbot certonly --manuálne
Môžete tiež určiť parametre príkazového riadku na vyjadrenie súhlasu s podmienkami služby a obnovenie certifikátu.
Keď máš smolu
Niektorí poskytovatelia hostingu neposkytujú žiadny spôsob pridania týchto ďalších znakov do svojho protokolu „http“ - myslím tým, že neposkytujú žiadny spôsob pridávania certifikátov SSL. Pre niektoré je potrebné súbory s certifikátmi nahrať ručne. Jedným príkladom je Google App Engine a druhým je OpenShift. Ale je to problém s opätovným nahrávaním certifikátu každých 90 dní. Možno niekedy zabudnete. Opäť platí, že ak máte viac ako jeden alebo dva webové stránky, je pravdepodobnejšie, že na ne zabudnete. Tiež, ak vám nevyhovuje príkazový riadok alebo práca so servermi prostredníctvom škrupín SSH, máte opäť smolu.
Záver
Let's Encrypt uľahčilo život webmasterom tým, že poskytuje spôsob okamžitého získania certifikátov namiesto čakania na schválenie CA po odoslaní žiadosti. Ďalšou výhodou je, že to všetko máte zadarmo. Pri všetkej dobrote, nezabudnite aktualizovať certifikát pred každých 90 dní. V opačnom prípade môžu vaši používatelia dostať červený signál a vy tak môžete stratiť časť publika / zákazníkov. Osvedčenie môžete tiež obnoviť každých pár dní, ale mohlo by to prekročiť limit a nemusíte svoj certifikát istý čas obnovovať. Pri využívaní týchto skvelých služieb buďte opatrní.
