Tidigare var det helt normalt att webbplatser visade innehåll över det traditionella HTTP-protokollet eftersom säkerhet inte var ett stort problem. Men nuförtiden på grund av ökningen av cyberbrott som att identifiera stölder, kreditkortsstölder, avlyssning är det verkligen viktigt att säkra kanalen som kommunicerar med servern. Låt oss kryptera är en certifikatmyndighet som tillhandahåller SSL / TLS-certifikat gratis. Certifikaten utfärdade av dem är giltiga i tre månader, vilket betyder 90 dagar jämfört med ett år eller mer av kommersiella certifikatmyndigheter. Det ger dock samma skydd som betalda certifikat; därför väljs det ofta av många bloggare och små webbplatsägare mot cyberbrottslingar. Den här artikeln avser att demonstrera hur man skyddar DigitalOcean-droppar med låt oss kryptera.

Krav

Denna guide använder Ubuntu 16.04 som operativsystem där webbservern körs. Samma steg kan dock användas för alla andra Ubuntu-versioner så länge det inte finns någon skillnad i inställningarna. Den här guiden förutsätter att användaren redan har en webbserver installerad och att den är Nginx. Som SSH-klient används Putty och som filredigerare Nano rekommenderas.

Lösning

1. Webbservern som skapats på Droplets kan nås via SSH-protokoll. Ladda ner och installera Putty från dess officiella webbplats. Ansökan är helt gratis.

sudo apt-get install kitt

2. Efter nedladdning av Putty, fortsätt och ladda ner Nano. Syftet med Putty är att komma åt Linux-konsolen för att skriva shell-kommandon, medan Nano används för att redigera interna filer som Nginx-standardfilen.

sudo apt-get install nano

3. Starta Putty och navigera till fliken Session.

4. I fältet Värdnamn skriver du IP-adressen till DigitalOceans droppe där webbservern är installerad. IP-adressen till dropparna finns i https: // moln.digitalocean.com / droppar. Skriv 22 i portfältet.

5. Efter att ha skickat in alla obligatoriska fält som visas ovan trycker du på okej för att tillämpa ändringarna och logga in på Droplet. När du loggar in på systemet kommer det att fråga användarnamnet och lösenordet för Droplet. Både användarnamn och lösenord skickas via e-post till det registrerade e-postmeddelandet i DigitalOcean när Droplet skapas.

6. Den här guiden använder Certbot, ett verktyg från tredje part för att automatisera hela processen för att hämta och förnya de digitala certifikaten. Certbot har sin egen hemsida där kommandona som ska användas enkelt kan genereras. Enligt Certbot är de rätta kommandona för att installera Certbot på Ubuntu dessa. Först uppdaterar den paketinformation i det lokala förvaret, sedan installeras programvaruegenskaper gemensamt paket som ger några användbara skript vid hantering av personligt paket uppnår (PPA), sedan installeras certbot, sedan uppdateras det lokala förvaret igen, sedan installeras det slutligen python certbot nginx-paketet. Se till att alla dessa paket är installerade ordentligt innan du går vidare till nästa steg.

$ sudo apt-get-uppdatering
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa: certbot / certbot
$ sudo apt-get-uppdatering
$ sudo apt-get install python-certbot-nginx

7. Navigera till webbplatsen från vilken domänen köptes. Den här guiden använder Porkbun som domänregistrator och lägg sedan till A-posten i domänen. Typ är en post, värden är tom om IP är associerad med rotdomänen, annars använd underdomännamnet utan rotdomänen, till exempel om det är nucuta.com, använd bara www. Som svarstyp IP-adressen för droplet.

8. På samma sätt omdirigerar du WWW-trafik till rotdomänen som följer. Typ är "CNAME", värd är "WWW", svar är "nucuta.com ”eller din domän. Det här steget är viktigt eftersom det omdirigerar all www-trafik till rotdomänen.

9. Använd följande kommando på Putty för att komma åt standardfilen för Nginx. Standardfilen använder som standard ett serverblock där den primära domänen finns. Nano Editor rekommenderas starkt eftersom det är ganska bekvämt att använda jämfört med andra.

sudo nano / etc / nginx / sites-available / default

10. I standardfilen navigerar du till servern blockerar och omdirigerar HTTP-trafik till HTTP: er, och i det andra serverblocket där säker trafik hanteras, ändra till exempel serverns namn till domännamn

server_name nucuta.com www.nucuta.com

11. Skriv följande kommando för att starta om Nginx-webbservern. När en ändring gjordes i standardfilen måste hela Nginx-servern startas om för att nya ändringar ska ha någon effekt.

sudo systemctl ladda om nginx

12. Som standard blockerar brandväggen all trafik utom port 80 och 22. HTTPS använder port 443; därför måste den öppnas manuellt för att komma åt webbservern från klientsidan. Att öppna porten beror på brandväggen.
    

    I CSF (konfigurerad serverbrandvägg)

    1. Öppnar CSF-konfigurationsfilen genom att skriva följande kommando.
    nano / etc / csf / csf.konf
    2. Lägg till följande portar till TCP in och ut.
    TCP_IN = "20,21,22,25,53,80,443"
    TCP_OUT = "20,21,22,25,53,80,443"
    3. Starta om CSF genom att skriva csf -r

    I USF (okomplicerad brandvägg)

    1. Skriv följande två kommandon för att lägga till HTTPS i undantagslistan. "Nginx Full" -paketet har både HTTP- och HTTPS-portar; följaktligen kan du lägga till hela paketet både trafik in och ut.
    sudo ufw tillåter 'Nginx Full'
    sudo ufw ta bort tillåt 'Nginx HTTP'
    2. Skriv följande kommando för att se statusen
ufw-status

13. Kontrollera 443-porten från en extern webbplats för att säkerställa att den öppnas säkert. Om porten är öppen kommer det att stå "443 port är öppen"

14. Använd nu Certbot för att hämta SSL-certifikatet till domänen. D-parameter krävs för att ange domänen. Låt oss kryptera släpper ett certifikat för både root- och www-underdomänen. Att bara ha en för endera versionen kommer att utfärda en varning i webbläsaren om en besökare får åtkomst till den andra versionen. därför är det viktigt att få certifikatet för båda versionerna. sudo certbot --nginx -d nucuta.com -d www.nucuta.com

15. Certbot kommer att be om att omdirigera all HTTP-trafik till HTTPS, men det krävs inte eftersom det redan är gjort i ett av föregående steg.

16. Navigera nu till SSL Lab-webbplatsen och kontrollera kvaliteten eller andra problem med certifikatet och dess konfiguration. https: // www.ssllabs.com / ssltest /

17. Om den aktuella konfigurationen inte är tillräckligt säker kan du navigera till Mozilla SSL-konfigurationsgenerator och skapa inställningarna för din webbserver. https: // mozilla.github.io / server-side-tls / ssl-config-generator /. Eftersom här använder Nginx, se till att använda Nginx som webbserver. Det erbjuder tre alternativ, mellanliggande, gamla och moderna. Gammalt alternativ gör webbplatsen kompatibel med praktiskt taget alla webbläsare, inklusive supergamla webbläsare som IE 6, medan det mellanliggande alternativet gör den idealisk för genomsnittliga användare, det moderna alternativet genererar konfiguration som krävs för maximal säkerhet, men eftersom en avvägning fungerar inte webbplatsen ordentligt på äldre webbläsare. Så det rekommenderas starkt för webbplatser där säkerheten är ett stort problem.

18. Navigera till din webbplats och högerklicka på låsikonen och sedan alternativet “Certificate” för att se certifikatet.

19. Om det visar ett framtida datum efter TO i giltigt från alternativ, vilket innebär att certifikatets förvärvsprocess slutfördes. Det är dock viktigt att omdirigera trafik till relevant version av domänen, till exempel kan HTTP- och WWW-trafik omdirigeras HTTPS-rotdomän som visas i den här guiden. Certifikatet förnyas automatiskt av certbot. därför är det alltid tillgängligt för webbplatsägaren gratis.