Die Domain einer Website muss über eine SSL/TLS-Verschlüsselung verfügen, wenn sie Besucher erreichen soll. SSL/TLS-Zertifikate bieten eine starke Verbindung zwischen Webservern und Browsern. Früher war Sicherheit kein großes Problem. Es war relativ üblich, dass Websites Daten über das etablierte HTTP-Protokoll ausliefern. Heutzutage muss der Kanal, der zur Kommunikation mit dem Server verwendet wird, jedoch gesichert werden, da Cyberkriminalität wie Identitätsdiebstahl, Kreditkartenbetrug und Spionage auf dem Vormarsch ist.
Eine Zertifizierungsstelle (CA) namens Let’s Encrypt bietet kostenlose SSL/TLS-Zertifikate an, die die HTTPS-Verschlüsselung auf Webservern ermöglichen. Es ist domänenverifiziert, sodass keine dedizierte IP-Adresse erforderlich ist. Es wird normalerweise empfohlen, ein SSL-Zertifikat auf Ihrer Website zu aktivieren, um Ihr SEO-Ranking zu verbessern, insbesondere bei Google.
Funktionsweise von Let’s Encrypt
Let’s Encrypt bestätigt den Domänenbesitz, bevor ein Zertifikat bereitgestellt wird. Wenn das Token validiert ist, sendet der Let’s Encrypt-Validierungsserver eine HTTP-Anforderung, um die Datei abzurufen, und stellt sicher, dass der DNS-Eintrag der Domäne auf den Server verweist, der den Let’s Encrypt-Client hostet.
Anforderungen
Sie müssen Folgendes tun, bevor Sie Let’s Encrypt verwenden:
Befolgen Sie die Anweisungen in diesem Tutorial zur ersten Servereinrichtung für Ubuntu 20.04, sobald der Ubuntu 20.04-Server eingerichtet ist, komplett mit einer Firewall und einem Nicht-Root-Benutzer mit sudo-Zugriff.
Ein Domainname mit Registrierung. In diesem Artikel wird myfirstproject1.com verwendet. Sie können eine Domain kaufen.
Die folgenden zwei DNS-Einträge sind auf Ihrem Server konfiguriert.
- Ein „myproject1“-Eintrag mit myfirstproject1.com, der auf die öffentliche IP-Adresse Ihres Servers verweist
- Ein „myproject2“-Eintrag mit myfirstproject2.com, der auf die öffentliche IP-Adresse Ihres Servers verweist.
Nginx sollte installiert sein, und Sie müssen sicherstellen, dass Ihre Domain einen Serverblock hat.
Schritte zum Installieren von Let’s Encrypt auf Digital Ocean
Die wichtigsten Schritte zur Installation von Let’s Encrypt auf dem digitalen Ozean sind:
Installieren von Certbot
Die Certbot-Software ist die Hauptvoraussetzung für die Verwendung von Let’s Encrypt, um ein SSL-Zertifikat zu erhalten. Für die Installation von Certbot und seinem Nginx-Plugin verwenden wir den folgenden Befehl:
Die meisten Shared-Hosting-Unternehmen und einige Cloud-Hosting-Unternehmen integrieren Certbot oder ein ähnliches Plugin in das Website-Hosting-Panel, mit dem Sie SSL/TLS-Zertifikate mit wenigen Klicks kaufen, erneuern und verwalten können.
Während „python3-certbot-nginx“ ein Paket ist, das verwendet wird, um:
Weisen Sie der Let’s Encrypt CA unverzüglich nach, dass Sie für die Website verantwortlich sind.
- Halten Sie fest, wann Ihre Lizenz aktualisiert werden muss und wann sie abläuft.
- Beziehen und installieren Sie ein Browser-vertrauenswürdiges Zertifikat auf einem beliebigen Webserver.
- Unterstützen Sie bei Bedarf beim Widerruf des Zertifikats.
Certbot ist jetzt einsatzbereit, aber einige seiner Einstellungen müssen bestätigt werden, bevor es SSL für Nginx automatisch einrichten kann.
Überprüfen der Konfiguration von Nginx
Certbot sollte in der Lage sein, SSL automatisch zu konfigurieren. Es muss in der Lage sein, den richtigen Serverblock in Ihrer Nginx-Konfiguration zu finden. Genauer gesagt wird dies erreicht, indem nach einer Servernamensanweisung gesucht wird, die der Domäne entspricht, für die Sie ein Zertifikat anfordern.
Es sollte bereits die Servernamen-Direktive ordnungsgemäß in einem Serverblock für die Domain konfiguriert haben, die wir unter „/etc/nginx/sites-available/myfirstproject1.com“ verwenden werden.
Öffnen Sie die Domänenkonfigurationsdatei in nano oder Ihrem anderen Texteditor, um zu überprüfen, ob Ihre Datei geöffnet wird, falls vorhanden, schließen Sie Ihren Editor und fahren Sie mit der nächsten Aktion fort. Der Servername sieht wie folgt aus: „server_name domain_name www.domain_name.com “, wie im folgenden Snippet gezeigt.
Wenn es sich nicht ändert, entspricht es. Überprüfen Sie die Syntax Ihrer Konfigurationsänderungen, nachdem Sie die Datei gespeichert und Ihren Editor geschlossen haben. Verwenden Sie die folgende Anweisung, um Folgendes zu überprüfen:
$ sudo nginx –tLaden Sie Nginx neu, um die aktualisierte Konfiguration zu laden, nachdem Sie sichergestellt haben, dass die Syntax Ihrer Konfigurationsdatei korrekt ist:
$ sudo systemctl nginx neu ladenJetzt kann Certbot automatisch den richtigen Serverblock finden und aktualisieren. Ein systemctl ist für die Inspektion und Verwaltung des systemd-Systems und der Dienstverwaltung zuständig. Es dient als Ersatz für den System-V-Init-Daemon und besteht aus mehreren Systemverwaltungsbibliotheken, Tools und Daemons.
Aktivieren von HTTPS über die Firewall
Die erforderlichen Empfehlungen empfehlen Ihnen, die UFW-Firewall zu aktivieren. Sie müssen die Einstellungen ändern, um HTTPS-Datenverkehr zuzulassen.
Die UFW-Statusoption ermöglicht es uns, den letzten Zustand von UFW anzuzeigen. Der UFW-Status zeigt eine Liste der Vorschriften an, wenn UFW aktiviert ist. Wenn Sie über die erforderlichen Anmeldeinformationen verfügen, können Sie den Befehl natürlich nur als Root-Benutzer ausführen oder ihm das Präfix sudo voranstellen.
Aktivieren Sie das vollständige Nginx-Profil und entfernen Sie die unnötige Zulassung des Nginx-HTTP-Profils, um auch HTTPS-Datenverkehr zuzulassen:
Das vorherige Snippet zeigt die Methode, um vollständigen Datenverkehr von Nginx zuzulassen, und das zweite zeigt, wie der andere von uns zugelassene Datenverkehr gelöscht wird.
So erhalten Sie ein SSL-Zertifikat
Mit Hilfe von Plugins bietet Certbot mehrere Möglichkeiten, SSL-Zertifikate zu erhalten. Die Konfiguration von Nginx und das erneute Laden der Konfiguration wird nach Bedarf vom Nginx-Plugin übernommen.
Verwenden Sie den Certbot, um das SSL-Zertifikat der Domain sofort zu erhalten. Um die Domäne anzugeben, wird ein „-d“-Argument benötigt. Ein Zertifikat wird von Let’s Encrypt für die www-Subdomain und den Root ausgestellt. Es ist notwendig, das Zertifikat für beide Versionen zu erhalten, da das Vorhandensein von nur einem für eine der beiden Versionen zu einer Warnung im Browser führt, wenn ein Besucher die andere Version anzeigt. Bei neuen Benutzern bittet certbot Sie, zunächst Ihre E-Mail-Adresse anzugeben und zu bestätigen, dass Sie den Nutzungsbedingungen zustimmen.
Wenn dies erfolgreich war, werden Sie aufgefordert, Ihre Auswahl zu treffen und ENTER zu drücken. Nach dem Aktualisieren der Konfiguration lädt Nginx neu und berücksichtigt die neuen Einstellungen. Nach Abschluss teilt certbot Ihnen mit, dass der Vorgang erfolgreich war.
Fazit
In diesem Handbuch haben wir gezeigt, wie Sie die Let’s Encrypt-Software certbot installieren und verwenden, ein SSL-Zertifikat erhalten, Ihr automatisches Update für ein SSL-Zertifikat einrichten und Nginx konfigurieren. Darüber hinaus haben wir Ihnen einige Beispiele für Situationen gegeben, die bei der Verwendung von Let’s Encrypt Digital Ocean zu Kompilierungsproblemen führen können.