Mi az SSL, TLS, telepítését és konfigurálását a tanúsítvány https

előzőa következő

Mi az SSL, TLS

TLS (Transport Layer Security Eng -. Transport Layer Security) - a kriptográfiai protokoll, amely a védett adatátvitel a szerver a kliens. TLS leszármazottja SSL 3.0. Az alapot a hazugság szimmetrikus titkosítási bizalmassági, aszimmetrikus titkosítást hitelesítés és üzenet hitelességét kódot sértetlenségét megőrizze.

Ma, amikor az emberek beszélnek SSL, az általában azt jelenti, ő leszármazottja TLS. Ezért, amikor azt mondjuk, hogy telepíteni kell egy SSL tanúsítvány a helyszínen, mint általában, vonja TLS tanúsítvány telepítése.

Miért kell használni az SSL / TLS

Van legalább egy jó oka van: nem tudja kihasználni az új protokoll HTTP2 (HTTP / 2 felváltja a jelenlegi standard HTTP / 1.1), ha a webhely nincs telepítve és konfigurálva SSL / TLS biztonsági tanúsítványt.

Szintén az adatok biztonságát az interneten is egyre népszerűbb, és adott témáról. És minél több, annál: Google azt mondta, hogy a jelenléte SSL-titkosítást a weboldal egy pozitív tényező a rangsorban a honlapon a keresési eredmények között. Továbbá, a jelen HTTPS kötelező attribútuma minden e-kereskedelmi webhely: online áruházak, szolgáltatás kifizetések fogadására, hőcserélők, valamint a díj alapú szolgáltatások, a felhasználói adatokat, amelyeket áhított áldozatul hackerek. Hogy megakadályozzák az adathalász támadások felhasználókra és nem teszi lehetővé, hogy elhitesse vele, és be kell állítania az SSL-tanúsítvány az adatbiztonság és a titkosítást, hogy ő látta a bizonyíték arra, hogy a jobb oldalon.

Szabad SSL / TLS tanúsítványokat a Let titkosítása

Azt javasoljuk, hogy használja az SSL / TLS tanúsítványokat a Let titkosítása. mert:

  1. Ők szabadon;
  2. Megfeleljen a legtöbb projekt;
  3. Telepítése és konfigurálása viszonylag egyszerű, és nem kell sok időt és erőfeszítést igényel.

Árnyoldala - a tanúsítvány vonatkozó 90 nap, így állítsa be az automatikus frissítést.

Ha a megosztott tárhely. írhat a támogatást, akkor kap egy igazolást, és minden be van állítva. Ha van saját szerver, leírást megszerzése SSL tanúsítványt, TLS és beállítását a szerver be van kapcsolva.

telepítése Certbot

Certbot - A segédprogram Nézzük titkosítása, segít beállítani az SSL / TLS a szerver és további frissítését.

A Debian Certbot 8 Jessie

Mi TSL

Assistant Certbot kiválasztásánál a szerver verzió

Először győződjön meg arról, hogy certbot nincs telepítve:
certbot --help
Ha megjelenik egy hiba, akkor meg kell telepíteni.

Ha kiszállt hiba értéke „Jessie-backports” érvénytelen APT :: Default-Release mint egy ilyen kiadás nem áll rendelkezésre a források
. akkor be kell állítania támogatás Backports

Hogyan hozzunk létre támogatás Backports

Írjon a konzol (hozzáad egy további forrása csomagok):

Ezután frissítse a csomagok listáját:

majd megpróbálja telepíteni Certbot:

Telepítése Certbot CentOS 7

A telepítés az alábbiak szerint:

Ha CentOS 6, használható univerzális alábbi utasításokat.

Univerzális szerelési útmutató Certbot

  1. Töltse le a Certbot:
  2. Adj a jogot, hogy a végrehajtás a chmod
  3. Mozgás certbot-auto más bináris fájlokat, hogy a lehetőséget, hogy indul egy csapat certbot
  4. Megnézzük, mi történt:

Látnia kell, valahogy így:

Mi TSL

Beállítás Certbot

Most, hogy certbot telepített (és nem tudja ellenőrizni ezt kérdezi csapat
certbot --help), azt tanácsolom, hogy vizsgálja meg a cron-feladatok

A legújabb vonal - ez a szabály cron, amely érvényesíti az SSL tanúsítványok, TLS naponta kétszer, és frissítse az idősebb. Sajnos, ez nem állítja vissza a webszerver, így meg kell adni egy szabály - szolgáltatás nginx reload kezét a sor végére.

Ennek eredményeként, a vonal nézne ki:

Ha a string /etc/cron.d/amit_akarsz fájlt otstutstvuet, akkor meg egy szabályt bizonyítványok frissítést manuálisan:

  1. Nyitott ütemező ütemezés (első példát a nano majd vim.):
  2. Egy új szabály végén az ütemező:
  3. Aztán park (Ctrl + X mentés gombra Y)

By the way, hogy milyen a frissítés sertifikatorv, anélkül azonban, hogy egy igazi frissítés, egyszerűen érvényesíti a konfigurációt, a következő parancsot:

És frissíti az összes tanúsítványt a kiszolgáló kézzel a következő parancs segítségével

Az újraindítás után nginx

Telepítése SSL tanúsítványt, TLS származó Nézzük titkosítása

Írja be a parancsot a konzolban Putty:

  • -w / var / www / példa - út a könyvtár honlapján fájlokat
  • -d example.com -d www.example.com - mi domain nevek
  • --email [email protected] - az e-mail, ahol lehetőség lesz, hogy visszanyerje hozzáférés
  • --egyetértenek-tos - megfelelés az engedélyezési követelmények

Ha a domain a cirill ábécét, szükséges, hogy ez Punnycode (pl yandeks.rf kódot xn - d1acpjx3f.xn - p1ai), és ezt a kódot. Ez megtehető Punycode-átalakító.

Ha minden jól megy, akkor jelentse a sikeres a tanúsítvány létrehozása

Mi TSL

Így a tanúsítvány telepítve a / etc / letsencrypt / élnek //

Ide testre nginx.

Állítsa be az SSL, TLS nginx

Nyissa meg a konfigurációs fájl a webhelyen.
Ha konfigurálva nginx itt. A konfigurációs fájl is található itt:
/etc/nginx/vhosts/example.com.conf

hivatalos dokumentumok javasolja, hogy csökkentsék a CPU terhelés

  • A szám munkavégző folyamatok a processzorok számát,
  • lehetővé keep-alive kapcsolatok
  • beleértve az osztott ülés cache,
  • kikapcsolja a beépített cache ülés
  • és növelheti élettartamát a kapcsolatot (az alapértelmezés 5 perc):

Mentett, ellenőrzött, reboot

WordPress telepítést az SSL, TLS

Például, hogy a WordPress honlap valamint az SSL / TLS-it. elérhetővé teszi a HTTPS.
Kell lennie abban, hogy menjen át a listát, és tegye meg a szükséges változtatásokat:

A 2. és 3. vonalra van szükség, ha az első elem a listában.

Hogyan lehet mozgatni egy oldalt HTTP HTTPS rendesen

Úgy vélem, hogy nem lehet várni a ragasztás http és https, akkor azonnal felállított egy átirányítást a https, még mindig akadnak össze, de az alábbi ajánlások, melyeket a szakértők kereső promóció

Továbbá, várva Yandex minden összeragadnak megfelelően, akkor állítsa be a 301-es átirányítást HTTP-ről HTTPS

Hogyan hozzunk létre egy átirányítást HTTP HTTPS

Mert nginx felállítottunk egy átirányítás felett, így ha létrehozott egy átirányítást hozzá, az Apache semmi sem változik.
Ha az alap Apache szerver, a konfigurációs fájl (apache.conf) vagy .htaccess az oldalon gyökér előírni

Ez a kialakítás fogások minden olyan kérést, kikötők kivételével 443 (azaz a 443 port ül SSL), és átirányítja a megfelelő verzióját a helyszínen HTTPS.

Hogyan ellenőrizhetem SSL munkák, TLS

Az interneten megtalálható különböző szolgáltatásokat, amelyek segítenek meghatározni, milyen jól telepítette és beállította az SSL hely mellette.
Az egyik ilyen szolgáltatás: ssllabs.com

Azt javasoljuk, hogy ellenőrizze a helyes telepítés és beállítás SSL / TLS használatával ssllabs.com

Mi TSL

Eredmény SSL / TLS Testing

Hogyan biztonságának megerősítése SSL, TLS

Úgy történik, hogy a tanúsítvány telepítve van, és ssllabs vizsgálat azt mutatja, nem a legjobb biztonsági fokozatú.
Ahhoz, hogy a hőn áhított A +. van szüksége, hogy megfelelően konfigurálja nginx.
Ehhez először futtassa a következő parancsot, hogy létrehozza a szükséges kulcsokat továbbítási biztonság (közvetlen titok azt jelenti, hogy ha egy harmadik fél tudomására a session key, csak hozzáférni az adatokhoz, amelyek védik ezt a kulcsot, nem több) :

Ezután be kell mutatnia a következő bejegyzéseket a szerver konfiguráció:

Miután az összes műveletet ne felejtsük el, hogy újra nginx

Hogyan kell telepíteni az SSL / TLS, ha a kiszolgáló több telephely

Általában problémák merülnek fel, ha a szerver már 1 területet HTTPS, és a kívánt kiszolgáló más helyszínen.
Vagy, még patthelyzet: szükséges átadni a helyszínen, a HTTP és elérhetővé teszi a HTTPS. A probléma akkor merül fel annak a ténynek köszönhető, hogy a szerver 443-as porton már van egy honlap SSL / TLS, és a kezelést megy érte, és nem lesz képes regisztrálni certbot tanúsítványt a helyszínen, és a HTTP-n keresztül oldalakon elérhető lesz.
Akkor létrehoz egy saját aláírású tanúsítvány egy átmeneti megoldás erre a problémára:

Ez létrehoz 2 kép:

Self aláírt tanúsítványokat csinálni, inkább a hivatalos célból, mintsem használható dolgozó oldalakon. A tény az, hogy számukra nincs bizalom, azok nem nyújtanak megfelelő védelmet a felhasználó és a böngésző figyelmeztet rá. De, mondjuk, abban az esetben a szerver konfigurációs több telephellyel, valamint egy átirányítást HTTPS a HTTP igen alkalmas.

Keys megtalálható a konfigurációs szerver (a példa alább). Következő:

  • Ha a hely szükséges a HTTP, csak nem egy átirányítást HTTPS HTTP, hasonlóan az átirányítás a HTTPS, éppen az ellenkezője (példa alább);
  • Ha a webhely szükséges HTTPS, hogy az oldalon elérhető HTTP, akkor kap egy tanúsítványt használó certbot. majd minden mind a fenti utasítások - átirányítani HTTPS, recept bizonyítványok, konfigurálja egy URL-t, és így tovább.

Egy példa arra, hogyan átirányítani HTTPS-HTTP nginx

Mondjuk, én aláírt tanúsítványokat által generált a fenti parancsot, és helyezzük a / root /. Aztán, hogy hozzanak létre egy átirányítást HTTP HTTPS az új example.com oldalon. tudjuk használni az alábbi konfigurációs (example.com helyére a saját domain, 1.2.3.4 - a szerver IP):

Kérjük, örülök, hogy segített. Feliratkozás frissítse az anyagot, mint lehetséges, és ha szükséges, lehet változtatni, és kiegészül

Van a telepítés során hiba történt certbot apt-get install certbot -t Jessie-backports Csomaglisták olvasása ... Kész
Függőségi fa építése
Olvasás állapot információ ... Kész
Lehet, hogy szeretné futtatni az „apt-get -f install” kijavítani ezeket:
Az alábbi csomagoknak teljesítetlen függőségei vannak:
certbot. Függ: python-certbot (= 0.9.3-1

bpo8 + 2), de ez nem fog telepíteni
Függ: init-rendszer-segítők (> = 1,18

) De az nem telepíthető
Függ: python: bármely (> = 2,7

Próbálja ki a parancsot a -f opcióval
apt-get -f install

Kipróbált, nem segített. Ugyanez a kérdés)

Nem, csak használja
apt-get -f install
Talán meg kellene frissíteni (4 csapat):
apt-get update
apt-get autoremove
apt-get autoclean
apt-get install -f
Ismételje meg a folyamatot újra

// Annak érdekében, hogy egy végtelen átirányítást http hogy https
if (strpos ($ _ SERVER [ 'HTTP_X_FORWARDED_PROTO'], 'https')! == false)
$ _SERVER [ 'HTTPS'] = 'on';

ez segítette ki. hogyan, miért - nem tudom ... Magian fogott ki. Őszintén szólva, az egész „Net szünetet.
KÖSZÖNJÜK!

előzőa következő