CentOS 8-de şifrlemek bilen Nginx-i nädip goramaly

Elektron serhet gaznasy (EFF) tarapyndan 2016-njy ýylyň aprelinde döredilen “Geliň şifrlemek” mugt we awtomatlaşdyrylan sanly şahadatnama bolup, web sahypalary üçin TLS şifrlemesini asla mugt üpjün edýär.

Geliň, şifrlemek şahadatnamasynyň maksady, tassyklama, döretmek, gol çekmek we howpsuzlyk şahadatnamasynyň awtomatiki täzelenmegi. Bu şahadatnama, HTTPS protokolyny hiç hili kynçylyksyz ýönekeý, kynçylyksyz ulanyp, web serwerlerine şifrlenen birikmeleri üpjün edýär. Şahadatnama, awtomatiki usulda işjeňleşdirilip bilinjek 90 günüň dowamynda hereket edýär.

Maslahat berilýän okaň: CentOS 8-de SSL şahadatnamasyny şifrlemek bilen Apache nädip goramaly

Bu makalada, CentOS 8-de Nginx web serwerini goramak üçin mugt SSL şahadatnamasyny almak üçin “Let Encrypt” -y nädip gurup boljakdygyny görkezeris (şol bir görkezmeler RHEL 8-de hem işleýär). Şeýle hem, SSL şahadatnamany awtomatiki täzelemegiň usullaryny size düşündireris.

Aşakdakylaryň barlanýandygyna göz ýetirmezden ozal.

1. Web serweriniň aýratyn IP adresini görkezýän doly kwalifikasiýa domen ady (FQDN). Bu, DNS web hosting üpjün edijiňiziň müşderi meýdanynda düzülmeli. Bu gollanma üçin, 34.70.245.117 IP adresini görkezýän linuxtechwhiz domen adyny ulanýarys.

2. Şeýle hem gazuw buýrugyny görkezilişi ýaly öňe gözlemek arkaly tassyklap bilersiňiz.

$ dig linuxtechwhiz.info

3. Nginx web serwerinde guruldy we işleýär. Terminalyň içine girip, aşakdaky buýrugy işledip tassyklap bilersiňiz. Nginx gurulmadyk bolsa, CentOS 8-de Nginx gurmak baradaky makalamyzy yzarlaň.

$ sudo systemctl status nginx

4. Şeýle hem, web brauzerindäki web serweriniň URL-sine girip barlap bilersiňiz.

http://server-IP-or-hostname

URL-den sahypanyň howpsuz däldigini we şeýdip kodlanmandygyny aç-açan görüp bileris. Bu, web serwerine edilen islendik haýyşlaryň, ulanyjy atlary, parollar, sosial üpjünçilik belgileri we kredit kartoçkasy maglumatlary ýaly möhüm we gizlin maglumatlary öz içine alýandygynyň mümkindigini aňladýar.

Indi ellerimizi hapalap, “Geliň şifrlemek” guralyň.

Stepdim 1. CentOS 8-de Certbot guruň

“Let Encrypt” şahadatnamasyny gurmak üçin ilki bilen şahadatnama gurmaly. Bu, “Encrypt Authority” -den howpsuzlyk şahadatnamasyny alýan we web serweri tarapyndan ulanmak üçin şahadatnamany tassyklamagy we konfigurasiýany awtomatlaşdyrmaga mümkinçilik berýän giňeldilen müşderi.

“Curl” buýrugyny ulanyp, sertifikaty göçürip alyň.

$ sudo curl -O https://dl.eff.org/certbot-auto

Ondan soň, şahadatnamany/usr/local/bin katalogyna geçiriň.

$ sudo mv certbot-auto /usr/local/bin/certbot-auto

Ondan soň, sertbot faýlyna görkezilişi ýaly faýl rugsady beriň.

$ chmod 0755 /usr/local/bin/certbot-auto

Stepdim 2. Nginx serwer blokuny sazlaň

Nginx-de serwer bloky Apache-de wirtual hosta deňdir. Serwer bloklaryny gurmak diňe bir serwerde birnäçe web sahypasyny gurmaga mümkinçilik bermän, sertifikata şahadatnama edarasyna - domeniň eýeçiligini subut etmäge mümkinçilik berýär.

Serwer blokuny döretmek üçin görkezilen buýrugy işlediň.

$ sudo vim /etc/nginx/conf.d/www.linuxtechwhiz.info

Domen adyny öz domen adyňyz bilen çalyşmagy unutmaň. Soňra konfigurasiýany aşakda goýuň.

server {
   server_name www.linuxtechwhiz.info;
   root /opt/nginx/www.linuxtechwhiz.info;

   location / {
       index index.html index.htm index.php;
   }

   access_log /var/log/nginx/www.linuxtechwhiz.info.access.log;
   error_log /var/log/nginx/www.linuxtechwhiz.info.error.log;

   location ~ \.php$ {
      include /etc/nginx/fastcgi_params;
      fastcgi_pass 127.0.0.1:9000;
      fastcgi_index index.php;
      fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
   }
}

Faýly ýazdyryň we tekst redaktoryndan çykyň.

3-nji ädim: CentOS 8-de Lets şifrlemek şahadatnamasyny guruň

Indi “Geliň şifrlemek” howpsuzlyk şahadatnamasynyň alynmagyny we konfigurasiýasyny başlamak üçin certbot buýrugyny ulanyň.

$ sudo /usr/local/bin/certbot-auto --nginx

Bu buýruk görkezilişi ýaly birnäçe Python paketini we olaryň garaşlylygyny işleder we gurar.

Ondan soň görkezilişi ýaly interaktiw haýyş ediler:

Hemmesi gowy geçen bolsa, gutlag habaryny iň soňunda görüp bilmeli.

Nginx sahypaňyzyň kodlanandygyny tassyklamak üçin web sahypasyny täzeden açyň we URL-iň başynda gulplama nyşanyna syn ediň. Bu, sahypanyň SSL/TLS şifrlemek arkaly üpjün edilendigini görkezýär.

Howpsuzlyk şahadatnamasy barada has giňişleýin maglumat almak üçin gulplama nyşanyna basyň we Şahadatnama opsiýasyny saýlaň.

Howpsuzlyk şahadatnamasy barada has giňişleýin maglumat aşakda görkezilişi ýaly görkeziler.

Mundan başga-da, howpsuzlyk şahadatnamasynyň berkligini barlamak üçin https://www.ssllabs.com/ssltest/ gidiň we howpsuzlyk şahadatnamasynyň ýagdaýy barada has takyk we çuňňur derňew tapyň.

Stepdim 4. Geliň, şifrlemek şahadatnamasyny täzelemek

Öň görşümiz ýaly, howpsuzlyk şahadatnamasy diňe 90 gün dowam edýär we möhleti gutarmanka täzelenmeli.

Buýrugy işledip, şahadatnamanyň täzeleniş prosesini simulasiýa edip ýa-da synap bilersiňiz:

$ sudo /usr/local/bin/certbot-auto renew --dry-run

Bu, “CentOS 8-de Let Encrypt” bilen Nginx-i üpjün etmek boýunça bu okuw gollanmasyny jemleýär. Geliň, şifrlemek Nginx web serweriňizi goramagyň täsirli we kynçylyksyz usulyny hödürleýär, başgaça el bilen etmeli çylşyrymly iş.

Sahypaňyz indi doly şifrlenen bolmaly. Şahadatnamanyň möhletiniň gutarmagyna birnäçe hepde galanda, EFF möhleti geçen şahadatnama sebäpli ýüze çykyp biljek päsgelçiliklerden gaça durmak üçin şahadatnamany täzelemek üçin size e-poçta arkaly duýduryş berer. Bu günki ýigitler!