Il dominio di un sito Web deve disporre della crittografia SSL/TLS se intende ottenere visitatori. I certificati SSL/TLS forniscono una forte connessione tra server web e browser. In precedenza, la sicurezza non era un grosso problema. Era relativamente comune per i siti Web fornire dati tramite il protocollo HTTP stabilito. Al giorno d'oggi, però, il canale utilizzato per comunicare con il server deve essere protetto, perché i crimini informatici, tra cui il furto di identità, le frodi con carte di credito e lo spionaggio, sono in aumento.
Un'autorità di certificazione (CA) chiamata Let's Encrypt offre certificati SSL/TLS gratuiti, abilitando la crittografia HTTPS sui server web. È verificato dal dominio, quindi non è necessario un indirizzo IP dedicato. Di solito si consiglia di avere un certificato SSL abilitato sul tuo sito web per migliorare il tuo posizionamento SEO, in particolare su Google.
Lavori di Let's Encrypt
Let's Encrypt conferma la proprietà del dominio prima di fornire un certificato. Quando il token viene convalidato, il server di convalida Let's Encrypt effettua una richiesta HTTP per ottenere il file e garantisce che il record DNS del dominio punti al server che ospita il client Let's Encrypt.
Requisiti
È necessario eseguire le seguenti operazioni prima di utilizzare Let's Encrypt:
Seguendo le istruzioni in questo primo tutorial di configurazione del server per Ubuntu 20.04, una volta configurato il server Ubuntu 20.04, completo di firewall e utente non root con accesso sudo.
Un nome di dominio con registrazione. In questo articolo verrà utilizzato myfirstproject1.com. Puoi acquistare un dominio.
I seguenti due record DNS sono configurati sul tuo server.
- Un record 'myproject1' con myfirstproject1.com che punta all'indirizzo IP pubblico del tuo server
- Un record 'myproject2' con myfirstproject2.com che punta all'indirizzo IP pubblico del tuo server.
Nginx dovrebbe essere installato e devi assicurarti che il tuo dominio abbia un blocco server.
Passaggi per l'installazione di Let's Encrypt su Digital Ocean
I passaggi principali per l'installazione di Let's Encrypt nell'oceano digitale sono:
Installazione di Certbot
Il software Certbot è la necessità principale per l'utilizzo di Let's Encrypt per ottenere un certificato SSL. Per installare Certbot e il suo plugin Nginx, utilizziamo il seguente comando:
La maggior parte delle società di hosting condiviso e alcune società di cloud hosting incorporano Certbot o un plug-in simile nel pannello di hosting del sito Web che consente di acquistare, rinnovare e amministrare certificati SSL/TLS con alcuni clic.
Considerando che 'python3-certbot-nginx' è un pacchetto utilizzato per:
Dimostra immediatamente alla CA Let's Encrypt che sei responsabile del sito web.
- Tieni traccia di quando la tua licenza deve essere aggiornata e quando sta per scadere.
- Ottieni e installa un certificato affidabile per browser su qualsiasi server web.
- Aiutarti a revocare il certificato in caso di necessità.
Certbot è ora pronto per l'uso, ma alcune delle sue impostazioni devono essere confermate prima che possa configurare automaticamente SSL per Nginx.
Verifica della configurazione di Nginx
Certbot dovrebbe essere in grado di configurare SSL automaticamente. Deve essere in grado di individuare il blocco server corretto nella configurazione di Nginx. Più precisamente, lo fa cercando una direttiva del nome del server corrispondente al dominio per il quale si richiede un certificato.
Dovrebbe già avere la direttiva del nome del server correttamente configurata in un blocco server per il dominio, che useremo in '/etc/nginx/sites-available/myfirstproject1.com'.
Apri il file di configurazione del dominio in nano o nel tuo altro editor di testo per verificare che il tuo file verrà aperto se esiste, chiudi l'editor e vai all'azione successiva. Il nome del server sarà simile a 'nome_server nome_dominio www.domain_name.com ', come mostrato nello snippet di seguito.
Se non cambia, corrisponde. Verifica la sintassi delle modifiche alla configurazione dopo aver salvato il file e chiuso l'editor. Utilizzare le istruzioni successive per verificare:
$ sudo nginx –tRicarica Nginx per caricare la configurazione aggiornata dopo esserti assicurato che la sintassi del file di configurazione sia corretta:
$ sudo systemctl ricarica nginxOra, Certbot può individuare automaticamente il blocco server corretto e aggiornarlo. Un systemctl è responsabile dell'ispezione e della gestione del sistema systemd e della gestione del servizio. Serve come sostituto del demone di init di System V ed è costituito da diverse librerie, strumenti e demoni di amministrazione del sistema.
Abilitazione HTTPS tramite il firewall
I consigli richiesti consigliano di abilitare il firewall UFW. È necessario modificare le impostazioni per consentire il traffico HTTPS.
L'opzione di stato UFW ci consente di visualizzare la condizione più recente di UFW. Lo stato UFW mostra un elenco di regolamenti se UFW è attivato. Ovviamente, se disponi delle credenziali necessarie, puoi eseguire il comando solo come utente root o anteponendolo a sudo.
Abilita il profilo Nginx Full e rimuovi la quota del profilo HTTP Nginx non necessaria per consentire anche il traffico HTTPS:
Lo snippet precedente mostra il metodo per consentire il traffico completo da Nginx e il secondo mostra come eliminare l'altro traffico consentito.
Come ottenere un certificato SSL
Con l'aiuto dei plugin, Certbot offre diversi modi per ottenere certificati SSL. La configurazione e il ricaricamento della configurazione di Nginx verranno gestiti dal plug-in Nginx secondo necessità.
Utilizza Certbot per ottenere subito il certificato SSL del dominio. Per indicare il dominio è necessario un argomento “-d”. Un certificato viene emesso da Let's Encrypt per il sottodominio www e la radice. È necessario ottenere il certificato per entrambe le versioni poiché averne solo uno per entrambe le versioni comporterà un avviso nel browser se un visitatore visualizza l'altra versione. Per i nuovi utenti, certbot ti chiede di fornire prima la tua email e di confermare che accetti i termini del servizio.
Se questo ha successo, ti chiederà di effettuare la tua selezione e premere INVIO. Dopo aver aggiornato la configurazione, Nginx ricaricherà e considererà le nuove impostazioni. Al termine, certbot ti avviserà che la procedura è andata a buon fine.
Conclusione
In questa guida, abbiamo dimostrato come installare e utilizzare il software certbot Let's Encrypt, ottenere un certificato SSL, impostare l'aggiornamento automatico per un certificato SSL e configurare Nginx. Inoltre, abbiamo anche fornito alcuni esempi di situazioni che potrebbero causare problemi di compilazione quando si utilizza Let's Encrypt Digital Ocean.