كيفية تأمين خادم الويب Nginx باستخدام Lets Encrypt على Ubuntu 18.04

في هذه المقالة ، سوف نتعلم كيفية تأمين خادم Nginx Web باستخدام Let's Encrypt على Ubuntu.

Let's Encrypt هي مرجع مصدق (CA) يوفر تشفير SSL / TLS بدون رسوم والشهادة صالحة لمدة 90 يومًا ، ويمكن تجديدها في أي وقت. من أجل الحصول على شهادة لمجال موقع الويب الخاص بك من Let's Encrypt ، عليك إظهار السيطرة على المجال. نوصي باستخدام عميل Certbot. يمكنه أتمتة إصدار الشهادة وتثبيتها دون توقف. إنه سهل الاستخدام ويعمل على العديد من أنظمة التشغيل.

المتطلبات الأساسية

• تثبيت Ubuntu 18.04 و Nginx خادمًا مخصصًا أو خادمًا سحابيًا مع وصول جذري أو غير جذر (لغير الجذر ، استخدم "sudo").
• المجال المسجل الذي ترغب في الحصول على الشهادة.
• سجل DNS هو سجل يوجه المجال الخاص بك إلى عنوان IP العام للخادم.

1. حافظ على الخادم محدثًا

# apt update -y

2 قم بإضافة مستودع certbot

# add-apt-repository ppa:certbot/certbot

3. تثبيت حزمة nginx الخاصة بـ certbot

# apt install python-certbot-nginx -y

4. الحصول على شهادة

الحصول على شهادة باستخدام الأمر certbot. سيهتم ملحق Nginx بإعادة تكوين Nginx وإعادة تحميل ملف config.

# certbot --nginx -d yoursite.com -d www.yousite.com

من خلال تشغيل certbot لأول مرة ، سيُطلب منك إدخال عنوان بريد إلكتروني والموافقة على شروط الخدمة. بعد ذلك ، سيتواصل certbot مع خادم Let's Encrypt.
بعد التحقق الناجح ، سيسألك certbot عن الطريقة التي تريدها لتهيئة إعدادات HTTPS:

Output
Please choose whether HTTPS access is required or optional.
-------------------------------------------------------------------------------
1: Easy - Allow both HTTP and HTTPS access to these sites
2: Secure - Make all requests redirect to secure HTTPS access
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

استخدم أي خيار حسب متطلباتك واضغط على Enter.

هذا كل شيء ، بعد الرسالة التي تخبرك أن العملية تمت بنجاح وأن الشهادة مخزنة.

Output
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
expire on 2020-08-03. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again with the
"certonly' option. To non-interactively renew *all* of your
certificates, run "certbot renew'
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

حاول إعادة تحميل موقع الويب الخاص بك باستخدام https: //

4. إعداد cron للتجديد التلقائي:

شهادات Let's Encrypt صالحة لمدة تسعين يومًا فقط. سيتحقق Cron من انتهاء صلاحية الشهادة ويجددها تلقائيًا.

قم بتشغيل الأمر التالي لتحرير ملف crontab.

# crontab -e

سيفتح محرر النص الخاص بك ملف crontab الافتراضي. الصق السطر التالي ، ثم احفظه وأغلقه:

15 3 * * * /usr/bin/certbot renew --quiet

يعني الجزء 15 3 * * * من هذا السطر "تشغيل الأمر التالي في الساعة 3:15 صباحًا ، كل يوم". يمكنك الاختيار في أي وقت.

الآن ، سيقوم cron بتشغيل هذا الأمر يوميًا وتجديد جميع الشهادات المثبتة تلقائيًا.

في هذه المقالة ، تعلمنا كيف يقوم مهندسو الدعم لدينا بتأمين خادم Nginx Web باستخدام Let's Encrypt على Ubuntu 18.04.