Phenquestions
Предуслови
- Сервер са статичном јавном ИП адресом. Овде је покренут Нгинк.
- Бацкенд сервери са предвиђеном веб локацијом која ради преко ХТТП-а
- Регистровано име домена. Користићу ранвирслог.цом као моје примарно име домена и две веб локације су на домену домена - вв1.ранвирслог.цом и вв2ранвирслог.цом
Подесити
Дакле, ИП адресе су се промениле од последњег пута, пошто поново радим ово подешавање. Ево нових ИП-ова и имена хостова.
| ВМ / Име хоста | Јавна ИП адреса | Приватни ИП | Улога / функција |
| РеверсеПроки | 68.183.214.151 | 10.135.127.136 | ТЛС тачка завршетка и обрнути прокси сервер |
| веб1 | Н / А | 10.135.126.102 | Хостинг вв1.ранвирслог.цом веб локација преко порта 80 ХТТП |
| веб2 | Н / А | 10.135.126.187 | Хостинг вв2.ранвирслог.цом веб локација преко порта 80 ХТТП |
ДНС записи су постављени као такви, што обе веб странице (различите поддомене) воде на исту статичку јавну ИП адресу. Ово је случајно ИП адреса нашег Нгинк обрнутог проксија:
| Рекорд | Вредност |
| вв1.ранвирслог.цом | 68.183.214.151 |
| вв2.ранвирслог.цом | 68.183.214.151 |
Да би наш обрнути ДНС радио преко нешифрираног ХТТП-а, креирали смо две датотеке у / етц / цонф.д / под именом вв1.цонф и вв2.конфигуришите сваку са следећом конфигурацијом:
/ етц / цонф.д / вв1.цонф
серверслушај 80;
слушајте [::]: 80;
име_сервера вв1.ранвирслог.цом;
локација /
проки_пасс хттп: // 10.135.126.102 /;
проки_буфферинг офф;
проки_сет_хеадер Кс-Реал-ИП $ ремоте_аддр;
/ етц / цонф.д / вв2.цонф
серверслушај 80;
слушајте [::]: 80;
име_сервера вв2.ранвирслог.цом;
локација /
проки_пасс хттп: // 10.135.126.187 /;
проки_буфферинг офф;
проки_сет_хеадер Кс-Реал-ИП $ ремоте_аддр;
Оперативни систем који користимо је Убунту 18.04 ЛТС и имамо уклоњен датотека / етц / нгинк / ситес-енаблед / дефаулт, тако да Нгинк може деловати чисто као обрнути ДНС користећи претходно приказане конфигурације.
објективан
Са обрнутим ДНС-ом (и позадинским веб локацијама) који су већ покренути и раде, наш циљ је да инсталирамо један ТЛС сертификат за оба ФКДН-а (то је вв1.ранвирслог.цом и вв2.ранвирслог.цом) на нашем обрнутом проксију Нгинк.
Саобраћај између било ког клијента и обрнутог проксија биће шифрован, али саобраћај између обрнутог проксија и позадинских сервера није шифрован. Међутим, ово је и даље бескрајно сигурнија опција него што нема ХТТПС уопште. У случајевима када су обрнути прокси и различити веб сервери на истом хосту, рецимо ако користите Доцкер контејнере за хостовање свих на истом ВПС-у, онда је чак и овај нешифровани саобраћај садржан на једном хосту.
Инсталирање Цертбота
Цертбот је клијентски програм који ће се покретати на нашем обрнутом проки серверу и уговарати ТЛС сертификат са ЛетсЕнцрипт. ЛетсЕнцрипт-у ће доказати да сервер у ствари има контролу над ФКДН-овима за које тврди да имају контролу над. Нећемо се бринути како Цертбот то ради.
Традиционално можете да користите Цертбот као самостални софтвер који ће само добити сертификате (који су у основи само дуги криптографски кључеви) и сачувати их на серверу. Али на срећу, за већину оперативних система постоје прилагођени додаци за Нгинк, Апацхе и друге софтверске програме. Инсталираћемо Цертбот са додатком Нгинк. Ово ће аутоматски конфигурисати Нгинк да користи новостечене кључеве и ослободи се несигурних правила попут преслушавања ХТТП-а на порту 80.
Ако користите системе засноване на Дебиану, као у мом случају, користим Убунту 18.04 ЛТС, онда је инсталација на ветру.
$ судо апт упдате$ судо апт инсталирати софтверска својства-заједничка
$ судо адд-апт-репозиторијум универзум
$ судо адд-апт-репоситори ппа: цертбот / цертбот
$ судо апт упдате
$ судо апт инсталл питхон-цертбот-нгинк
Остали оперативни системи, ваш РедХат, Гентоо и Федора могу следити званична упутства наведена овде.
Једном када инсталирате Цертбот са Нгинк додатком за вашу комбинацију ОС можемо да пређемо на посао.
Добијање ТЛС сертификата
Да бисте први пут добили ТЛС сертификат, покрените следећу команду:
$ судо цертбот --нгинкОво ће проћи кроз низ интерактивних питања, као што је приказано у наставку:
- Унесите емаил
Чување дневника отклањања грешака у / вар / лог / летсенцрипт / летсенцрипт.Пријава
Одабрани додаци: Аутхентицатор нгинк, Инсталлер нгинк
Унесите адресу е-поште (користи се за хитна обнављања и обавештења о безбедности) (унесите „ц“ за отказивање): [емаил заштићен]
- Пристаните на ТОС
Молимо прочитајте Услове услуге на хттпс: // летсенцрипт.орг / доцументс / ЛЕ-СА-в1.2. новембар-15-2017.пдф. Морате се сложити да бисте се регистровали на АЦМЕ серверу на хттпс: // ацме-в02.апи.летсенцрипт.орг / директоријум
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(А) грее / (Ц) предак: А
- Опционални билтен
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Да ли бисте били спремни да поделите своју адресу е-поште са Елецтрониц Фронтиер Фоундатион, оснивачем пројекта Лет'с Енцрипт и непрофитном организацијом која развија Цертбот? Желели бисмо да вам пошаљемо е-пошту о нашем раду на шифровању веба, ЕФФ вестима, кампањама и начинима за подршку дигиталној слободи.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(И) ес / (Н) о: И
- Затим ће открити имена домена на вашем серверу, а ако желите да изаберете све домене, једноставно притисните
За која имена бисте желели да активирате ХТТПС?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: вв1.ранвирслог.цом
2: вв2.ранвирслог.цом
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Изаберите одговарајуће бројеве одвојене зарезима и / или размацима или оставите празан унос да бисте изабрали све приказане опције (унесите 'ц' да бисте одустали):
- Све преусмерите на ТЛС. Одабрао сам опцију 2 да све преусмерим на ССЛ, али се ваш случај употребе може разликовати. За нове позадинске инсталације сигурно је одабрати опцију 2.
Изаберите да ли ћете ХТТП саобраћај преусмерити на ХТТПС, уклањајући ХТТП приступ.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: Без преусмеравања - Не правите даље измене у конфигурацији веб сервера.
2: Преусмеравање - Нека сви захтеви буду преусмерени како би се осигурао ХТТПС приступ. Изаберите ово за нове веб локације или ако сте сигурни да ваша веб локација ради на ХТТПС-у. Ову промену можете да опозовете уређивањем конфигурације веб сервера.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Изаберите одговарајући број [1-2], а затим [ентер] (притисните 'ц' да бисте одустали): 2
Ако је све прошло у реду, приказаће вам ову поруку, само за имена ваших домена.
Честитам! Успешно сте омогућили хттпс: // вв1.ранвирслог.цом и хттпс: // вв2.ранвирслог.цом Можете да посетите ФКДН-ове и приметите да веб локације сада имају знак катанаца који сугерише да је све шифровано.
Погледајте конфигурационе датотеке
Ако прегледате конфигурационе датотеке које смо раније креирали, односно / етц / цонф.д / вв1.цонф и / етц / цонф.д / вв2.цонф, приметићете да су сва правила „Листен 80“ нестала и додато је неколико нових редова и реците серверу да комуникација треба да се шифрира и да се налази локација цертова и кључева за извођење поменуте енкрипције.
Топло препоручујем да прегледате конфигурационе датотеке, јер вас то такође може научити како правилно инсталирати цертове и писати конфигурационе датотеке.
Обнова сертификата
Уобичајени ЛетсЕнцрипт сертификати важе 90 дана и пре него што истекну, треба да их обновите. Цертбот можете користити за прво сухо покретање обнове, покретањем наредбе:
$ судо цертбот ренев --дри-рунАко операција успе, видећете следећу поруку:
Честитам, све обнове су успеле. Обновљени су следећи сертификати:
/ етц / летсенцрипт / ливе / вв1.ранвирслог.цом / фуллцхаин.пем (успех)** СУВО РУНОВАЊЕ: симулирање „обнављања кертбота“ близу истека цертификата
** (Потврде о тестирању горе нису сачуване.)
Сада можете додати Црон посао који ће покушати да се обнови сваке недеље или тако некако. Цертбот неће обновити цертификате уколико за то заиста не треба, тако да не морате да бринете. Команда за стварно обнављање је:
$ цертбот обновиДодајте га у роот-ов црон посао користећи:
$ судо цронтаб -еУ следећем одзиву одаберите свој омиљени уређивач (Пицк Нано ако нисте сигурни) и додајте следеће редове на крај сада отворене датотеке:
…# На пример, можете да покренете резервну копију свих својих корисничких налога
# у 5 а.м сваке недеље са:
# 0 5 * * 1 тар -зцф / вар / резервне копије / хоме.тгз / хоме /
#
# За више информација погледајте странице приручника за цронтаб (5) и црон (8)
#
# м х дом мон дов наредба
* 2 * * 2 цертбот обновити
Ово ће покренути наредбу за обнављање цертбота у 2 ујутру у било којем случајном минуту, другог дана сваке недеље.
Закључак
Ако сте нови у ТЛС сертификатима, експериментисање са стварима попут ХСТС-а може бити ризично. Пошто су ове промене неповратне. Међутим, ако желите да се спустите кроз зечју рупу сигурности, топло препоручујем блог Трои Хунт-а који је једна од главних инспирација за ово писање.
