У стара времена било је сасвим нормално да веб локације послужују садржај преко традиционалног ХТТП протокола јер безбедност није представљала велики проблем. Међутим, данас је због пораста сајбер криминала, попут идентификовања крађа, крађа кредитних картица, прислушкивања, заиста важно осигурати канал путем којег се комуницира са сервером. Лет'с енцрипт је ауторитет за издавање сертификата који пружа ССЛ / ТЛС сертификате бесплатно. Сертификати које су издали важе 3 месеца, што значи 90 дана у поређењу са годину дана или више од стране органа за издавање сертификата комерцијалног нивоа. Међутим, пружа исту заштиту као и плаћени сертификати; стога га многи блогери и власници малих веб страница често бирају против сајбер криминалаца. Овај чланак има за циљ да демонстрира како да осигурамо капљице ДигиталОцеан помоћу шифровања.

Захтеви

Овај водич користи Убунту 16.04 као оперативни систем на којем је покренут веб сервер. Међутим, исти кораци се могу користити за било које друге верзије Убунту-а, под условом да нема разлике у подешавањима. Овај водич претпоставља да корисник већ има инсталиран веб сервер, а то је Нгинк. Као ССХ клијент користи се Путти, а као уређивач датотека препоручује се Нано.

Решење

1. Веб серверу створеном на Дроплетс може се приступити преко ССХ протокола. Преузмите и инсталирајте Путти са његове званичне веб странице. Апликација је потпуно бесплатна.

судо апт-гет инсталирај кит

2. Након преузимања Путти-а, наставите и преузмите Нано. Сврха Путти-а је приступ Линук конзоли ради уношења команди љуске, док се Нано користи за уређивање интерних датотека као што је Нгинк задана датотека.

судо апт-гет инсталација нано

3. Покрените Путти и идите на картицу Сессион.

4. У поље Име хоста откуцајте ИП адресу капљице ДигиталОцеан на којој је инсталиран веб сервер. ИП адресу капљица можете пронаћи на хттпс: // цлоуд.дигиталоцеан.цом / капљице. У поље порта откуцајте 22.

5. Након што пошаљете сва обавезна поља као што је горе приказано, притисните тастер у реду да бисте применили промене и пријавили се на Дроплет. Када се пријављује на систем, питаће корисничко име и лозинку капљице. И корисничко име и лозинка шаљу се на регистровану е-пошту у ДигиталОцеан приликом креирања капљице.

6. Овај водич користи Цертбот, независни алат за аутоматизацију целокупног процеса преузимања и обнављања дигиталних сертификата. Цертбот има своју веб страницу одакле се команде које се користе могу лако генерисати. Према Цертботу, ово су праве команде за инсталирање Цертбота на Убунту. Прво ажурира информације о пакету у локалном спремишту, затим инсталира уобичајени пакет својстава софтвера који пружа неке корисне скрипте за руковање постигнутим личним пакетом (ППА), затим инсталира цертбот, затим поново ажурира локално спремиште, затим коначно инсталира питхон цертбот нгинк пакет. Уверите се да су сви ови пакети правилно инсталирани пре него што пређете на следећи корак.

$ судо апт-гет упдате
$ судо апт-гет инсталирајте софтвер-својства-заједничка
$ судо адд-апт-репоситори ппа: цертбот / цертбот
$ судо апт-гет упдате
$ судо апт-гет инсталл питхон-цертбот-нгинк

7. Идите на веб локацију одакле је домен купљен. Овај водич користи Поркбун као регистратора домена, а затим додајте А запис на домен. Тип је запис, домаћин је празан ако је ИП повезан са основним доменом, у супротном користите име поддомена без основног домена, на пример ако је нуцута.цом, само користите ввв. Као одговор унесите ИП адресу капљице.

8. На исти начин, преусмерите ВВВ саобраћај на роот домен на следећи начин. Тип је „ЦНАМЕ“, домаћин је „ВВВ“, одговор је „нуцута.цом “или ваш домен. Овај корак је важан јер преусмерава сав ввв саобраћај на основни домен.

9. Користите следећу команду на Путти за приступ подразумеваној датотеци Нгинк-а. Подразумевана датотека подразумевано користи један сервер блок где се налази примарни домен. Нано Едитор се топло препоручује, јер је прилично згодан за употребу у поређењу са другима.

судо нано / етц / нгинк / ситес-аваилабле / дефаулт

10. У подразумеваној датотеци идите на сервер и преусмерите ХТТП саобраћај на ХТТП, а у другом блоку сервера где се управља заштићеним прометом промените име сервера у име домена, на пример

сервер_наме нуцута.цом ввв.нуцута.цом

11. Откуцајте следећу команду да бисте поново покренули Нгинк веб сервер. Кад год је извршена промена у подразумеваној датотеци, мора се поново покренути читав Нгинк сервер да би нове промене имале ефекта.

судо системцтл поново учитај нгинк

12. Заштитни зид подразумевано блокира сав саобраћај осим ка портима 80 и 22. ХТТПС користи порт 443; стога се мора ручно отворити за приступ веб серверу са стране клијента. Отварање порта зависи од заштитног зида.
    

    У ЦСФ-у (конфигурисани заштитни зид сервера)

    1. Отвара датотеку за конфигурацију ЦСФ-а тако што ћете откуцати следећу команду.
    нано / етц / цсф / цсф.цонф
    2. Додајте следеће портове у ТЦП улаз и излаз.
    ТЦП_ИН = "20,21,22,25,53,80,443"
    ТЦП_ОУТ = "20,21,22,25,53,80,443"
    3. Поново покрените ЦСФ куцањем цсф -р

    У УСФ-у (некомпликовани заштитни зид)

    1. Откуцајте следеће две команде да бисте додали ХТТПС на листу изузетака. Пакет „Нгинк Фулл“ има и ХТТП и ХТТПС портове; стога додавање комплетног пакета омогућава и улаз и излаз.
    судо уфв дозволи 'Нгинк Фулл'
    судо уфв делете аллов 'Нгинк ХТТП'
    2. Откуцајте следећу команду да бисте видели статус
статус уфв

13. Проверите порт 443 са спољне веб локације да бисте се уверили да се сигурно отвара. Ако је порт отворен, писаће „443 порт ис опен“

14. Сада користите Цертбот за преузимање ССЛ сертификата на домен. За одређивање домена потребан је параметар Д. Хајде да шифрујемо издаје један сертификат и за роот и за поддомен ввв. Ако имате само једну верзију за било коју верзију, издаће упозорење у прегледачу ако посетилац приступи другој верзији; стога је важно добити сертификат за обе верзије. судо цертбот --нгинк -д нуцута.цом -д ввв.нуцута.цом

15. Цертбот ће тражити да сав ХТТП саобраћај преусмери на ХТТПС, али то није потребно јер је то већ учињено у једном од претходних корака.

16. Сада идите на веб локацију ССЛ Лаб и проверите квалитет или друге проблеме са сертификатом и његовом конфигурацијом. хттпс: // ввв.ссллабс.цом / сслтест /

17. Ако тренутна конфигурација није довољно заштићена, идите до Мозилла ССЛ генератора конфигурације и генеришите поставке за свој веб сервер. хттпс: // мозилла.гитхуб.ио / сервер-сиде-тлс / ссл-цонфиг-генератор /. Пошто овде користи Нгинк, обавезно користите Нгинк као веб сервер. Нуди три опције, средњи, стари и модерни. Стара опција чини веб страницу компатибилном са готово свим прегледачима, укључујући супер старе прегледаче попут ИЕ 6, док је средња опција идеална за просечне кориснике, модерна опција генерише конфигурацију потребну за максималну сигурност, али како трговина веб страном неће функционисати правилно на старијим прегледачима. Дакле, топло се препоручује за веб локације на којима је сигурност главна брига.

18. Идите на вашу веб локацију и кликните десним тастером миша на икону браве, а затим опцију „Сертификат“ да бисте видели сертификат.

19. Ако приказује будући датум након ТО у важећој опцији, што значи да је поступак стицања сертификата завршен. Међутим, важно је преусмерити саобраћај на релевантну верзију домена, на пример ХТТП и ВВВ саобраћај може бити преусмерен на ХТТПС основни домен као што се види у овом водичу. Сертификат ће аутоматски обновити цертбот; стога је власнику веб странице заувек доступан бесплатно.