Преусмеравање ХТТП-а на ХТТПС

Без обзира да ли користите самопотписане цертификате или потврде добро познате ЦА, потребан вам је начин да их интегришете са својим услугама. Један од најтипичнијих случајева употребе ХТТП сервера, ово може бити веб сервер или РЕСТ АПИ сервер, али мора бити конфигурисан да буде сигуран.

Већина веб сервера, као што су нгинк и апацхе, подразумевано слушају на порту 80 и потребна им је поприлична конфигурација пре него што почну да користе сертификате за шифровање саобраћаја. Иако је конфигурисан, веб сервер и даље може опслуживати ХТТП саобраћај без проблема. Тако ће посетиоци ваше веб странице само откуцати хттп: // екампле.цом уместо хттпс: // пример.цом и целокупан саобраћај ће за њих остати нешифрован. Да бисмо заобишли овај проблем, морамо да конфигуришемо ХТТП сервере тако да сами преусмере сав ХТТП на ХТТПС.

Постављање које користим користи ФКДН са јавном ИП адресом, па ћу издавати ССЛ сертификат од ЛетсЕнцрипт, а не самопотписан. У зависности од врсте веб сервера који користите, то можете учинити на више начина. Али општи ток је следећи:

1. Набавите потписани сертификат од ЦА. У нашем случају ово ће бити ЛетсЕнцрипт
2. Конфигуришите веб сервер да користи кључ за шифровање за шифровање одлазног ХТТП промета на порту 443. Ово је подразумевани ХТТПС порт.
3. Преусмерите све долазне захтеве са порта 80 (који је нешифрован ХТТП) на порт 443, омогућавајући тако шифроване сесије за све долазне везе.

Покажимо на разне начине да постигнемо оно што желимо. Прво је најлакше решење које користи Цертбот.

1. Најлакши начин - Коришћење додатака Цертбот за Нгинк или Апацхе

Користићу Нгинк као пример за овај сервер. Ако користите други, попут Апацхе-а или ХАПроки-а, онда само посетите службену страницу Цертбот-а и одаберите свој ОС и изабрани веб сервер. За Нгинк на Убунту 18.04, ово су наредбе које би вам требале.

Прво ажурирајте свој репо индекс.

$ судо апт-гет упдате
$ судо апт-гет инсталирајте софтвер-својства-заједничка

Морали бисте да додате потребна спремишта независних произвођача, која Убунту можда подразумевано није омогућио.

$ судо адд-апт-репозиторијум универзум
$ судо адд-апт-репоситори ппа: цертбот / цертбот
$ судо апт-гет упдате

А затим инсталирајте пакет цертбот са додацима Нгинк, користећи наредбу испод.

$ судо апт-гет инсталирајте цертбот питхон-цертбот-нгинк

Упутство ће се разликовати за различите платформе и инсталирати додатке за веб сервер ако су доступни. Разлог зашто нам додатци чине живот много лакшим је што могу аутоматски да уређују конфигурационе датотеке на веб серверу како би преусмерили и саобраћај. Минус би могао бити тај што ако користите врло прилагођени сервер за већ постојећу веб локацију, додатак може разбити неке ствари тамо.

За нове веб локације или врло једноставне конфигурације, попут обрнутог проксија, додатак делује изненађујуће добро. Да бисте добили сертификате и преусмерили саобраћај, једноставно покрените наредбу испод и пратите разне интерактивне опције док вас пакет води кроз њих.

$ судо цертбот --нгинк

Излаз:

цертбот --нгинк
Чување дневника отклањања грешака у / вар / лог / летсенцрипт / летсенцрипт.Пријава
Одабрани додаци: Аутхентицатор нгинк, Инсталлер нгинк
Унесите адресу е-поште (користи се за хитне обнове и обавештења о безбедности) (Унесите „ц“ т
откажи): ИОУРЕМАИЛХЕРЕ @ ПРИМЕР.ЦОМ
 
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Молимо прочитајте Услове услуге на
хттпс: // летсенцрипт.орг / доцументс / ЛЕ-СА-в1.2. новембар-15-2017.пдф. Мораш
сложите се да бисте се регистровали на АЦМЕ серверу на
хттпс: // ацме-в02.апи.летсенцрипт.орг / директоријум
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(А) грее / (Ц) предак: А
 
…
У вашим конфигурационим датотекама нису пронађена имена. Унесите свој домен
имена (имена одвојена зарезом и / или размаком) (унесите 'ц' да бисте отказали): СУБДОМЕН.ДОМЕН.ТЛД
…
 
Изаберите да ли ћете ХТТП саобраћај преусмерити на ХТТПС, уклањајући ХТТП приступ.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: Без преусмеравања - Не правите даље измене у конфигурацији веб сервера.
2: Преусмеравање - Нека сви захтеви буду преусмерени како би се осигурао ХТТПС приступ. Изаберите ово за
нове веб локације или ако сте сигурни да ваша локација ради на ХТТПС-у. Можете ово да опозовете
промените уређивањем конфигурације вашег веб сервера.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Изаберите одговарајући број [1-2], а затим [ентер] (притисните 'ц' да бисте одустали): 2
Преусмеравање целокупног саобраћаја на порту 80 на ссл у / етц / нгинк / ситес-енаблед / дефаулт
 
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Честитам! Успешно сте омогућили хттпс: // СУБДОМАИН.ДОМЕН.ТЛД
 
Требали бисте тестирати своју конфигурацију на:
хттпс: // ввв.ссллабс.цом / сслтест / анализирати.хтмл?д = ПОДДОМЕНА.ДОМЕН.ТЛД
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

ВАЖНЕ НАПОМЕНЕ:
- Честитам! Ваш сертификат и ланац су сачувани на:

/ етц / летсенцрипт / ливе / СУБДОМАИН.ДОМЕН.ТЛД / пуни ланац.пем

Датотека кључа је сачувана на:

/ етц / летсенцрипт / ливе / СУБДОМАИН.ДОМЕН.ТЛД / привкеи.пем

Као што је приказано у горњем примеру, само морате навести важећу адресу е-поште и име домена да бисте добили сертификат. Овај сертификат је сотран у / етц / летсенцрипт / ливе / СУБДОМАИН.ДОМЕН.ТЛД. Последњи директоријум ће добити име по вашем ФКДН-у.

Најважнији аспект је одабир опције Преусмеравање и он ће обавити посао преусмеравања целог ХТТП саобраћаја на ХТТПС. Ако вас занима које су то промене, можете прегледати датотеке за подешавање у / етц / нгинк / да схватим суштину тога.

2. Уређивање датотека Цонфиг

Ако желите ручно да конфигуришете сервер да користи сертификате. Да бисте добили сертификате помоћу цертбота, покрените:

$ судо цертбот цертонли

Као и раније, сертификати се чувају у директоријуму / етц / летсенцрипт / ливе / иоурдомаиннаме.цом /

Сада можемо да конфигуришемо Нгинк да користи датотеке у овом директоријуму. Прво, прво ћу се ријешити изгледа Дебиан-овог специфичног директорија. Подразумевана датотека конфигурације странице је / етц / нгинк / ситес-аваилабле / дефаулт поддиректоријум са симболичком везом до / етц / нгинк / сите-енаблед.

Само ћу избрисати симболичку везу и преместити датотеку за подешавање у / етц / нгинк / цонф.д са а .цонф проширење само да би ствари остале уопштеније и применљивије и на друге дистро системе.

$ судо рм / етц / ситес-енаблед / дефаулт
$ судо мв / етц / нгинк / ситес-аваилабле / дефаулт / етц / нгинк / цонф.д / подразумевано.цонф
$ судо сервице нгинк рестарт

Ја ћу модификовати ову подразумевану конфигурациону датотеку да бих показао како је ТЛС омогућен.

Следи садржај ваше подразумеване конфигурационе датотеке, без коментарисаних одељака. Истакнути одељци су онај који бисте требали додати у конфигурацију сервера да бисте омогућили ТЛС, а последњи блок у овој датотеци конфигурације открива да ли шема користи ТЛС или не. Ако се ТЛС не користи, он једноставно враћа клијенту 301 код за преусмеравање и мења УРЛ тако да уместо њега користи хттпс. На овај начин нећете пропустити кориснике

сервер
преслушајте 80 дефаулт_сервер;
Листен [::]: 80 дефаулт_сервер;
слушајте 443 ссл;
ссл_цертифицате / етц / летсенцрипт / ливе / СУБДОМАИН.ДОМЕН.ТЛС / пуни ланац.пем;
ссл_цертифицате_кеи / етц / летсенцрипт / ливе / СУБДОМАИН.ДОМЕН.ТЛД / привкеи.пем;
ссл_сессион_цацхе схаред: ле_нгинк_ССЛ: 1м;
ссл_сессион_тимеоут 1440м; ссл_протоцолс ТЛСв1 ТЛСв1.1 ТЛСв1.2;
ссл_префер_сервер_ципхерс он;
ссл_ципхерс "ЕЦДХЕ-ЕЦДСА-ЦХАЦХА20-ПОЛИ1305: ЕЦДХЕ-РСА-ЦХАЦХА20-ПОЛИ1305: ЕЦДХЕ-
ЕЦДСА-АЕС128-ГЦМ-СХА256: ЕЦДХЕ-РСА-АЕС128-ГЦМ-СХА256: ЕЦДХЕ-ЕЦДСА-АЕС256
-ГЦМ-СХА384: ЕЦДХЕ-РСА-АЕС256-ГЦМ-СХА384: ДХЕ-РСА-АЕС128-ГЦМ-СХА256: ДХЕ-РСА-АЕС256
-ГЦМ-СХА384: ЕЦДХЕ-ЕЦДСА-АЕС128-СХА256: ЕЦДХЕ-РСА-АЕС128-СХА256: ЕЦДХЕ-ЕЦДСА-АЕС128
-СХА: ЕЦДХЕ-РСА-АЕС256-СХА384: ЕЦДХЕ-РСА-АЕС128-СХА: ЕЦДХЕ-ЕЦДСА-АЕС256-СХА384: ЕЦДХЕ
-ЕЦДСА-АЕС256-СХА: ЕЦДХЕ-РСА-АЕС256-СХА: ДХЕ-РСА-АЕС128-СХА256: ДХЕ-РСА-АЕС128-СХА: ДХЕ
-РСА-АЕС256-СХА256: ДХЕ-РСА-АЕС256-СХА: ЕЦДХЕ-ЕЦДСА-ДЕС-ЦБЦ3-СХА: ЕЦДХЕ-РСА-ДЕС-ЦБЦ3
-СХА: ЕДХ-РСА-ДЕС-ЦБЦ3-СХА: АЕС128-ГЦМ-СХА256: АЕС256-ГЦМ-СХА384: АЕС128-СХА256: АЕС256
-СХА256: АЕС128-СХА: АЕС256-СХА: ДЕС-ЦБЦ3-СХА:!ДСС ";
роот / вар / ввв / хтмл;
индекс индекса.хтмл индекс.хтм индекс.нгинк-дебиан.хтмл;
сервер_наме _;
локација /
три_филес $ ури $ ури / = 404;

иф ($ шема != "хттпс")
ретурн 301 хттпс: // $ хост $ рекуест_ури;

 

Неколико додатних параметара је додато овој конфигурационој датотеци. Укључујући параметре који изјављују временско ограничење, ТЛС верзију коју треба да користите и које шифре за шифровање ће сервер користити. Ово је позајмљено из Цертботових препоручених (али опционалних) конфигурација за Нгинк.

Сада проверите да ли је датотека за конфигурацију важећа и поново покрените сервер.

$ судо нгинк -т
нгинк: датотека за подешавање / етц / нгинк / нгинк.цонф синтакса је у реду
нгинк: датотека за подешавање / етц / нгинк / нгинк.цонф тест је успешан
$ судо сервице нгинк рестарт

Закључак

Исти приступ можете применити за сложеније веб апликације и услуге којима је потребан ХТТПС. Летсенцрипт вам омогућава да издајете сертификате за више имена домена одједном и можете врло лако да хостујете више веб локација иза вашег нгинк веб сервера. Ако сте следили горњи пример, покушајте да се обратите својој веб локацији помоћу хттп (хттп: // СУБДОМАИН.ДОМЕН.ТЛД) и аутоматски ћете бити преусмерени на ХТТПС.

За остале веб сервере, попут Апацхе, користите одговарајући додатак за цертбот или погледајте њихову званичну документацију.