73. Ασφαλίστε το PC σας με το Norton 360
Πίνακας περιεχομένων:
- Προϋποθέσεις
- Εγκαταστήστε το Certbot
- Δημιουργήστε ομάδα ισχυρών Dh (Diffie-Hellman)
- Αποκτώντας πιστοποιητικό SSL
- Αυτόματη ανανέωση πιστοποιητικού SSL
- συμπέρασμα
Το Let's Encrypt είναι μια ελεύθερη και ανοιχτή αρχή πιστοποίησης που αναπτύχθηκε από την ομάδα έρευνας για την ασφάλεια στο Internet (ISRG). Τα πιστοποιητικά που εκδίδονται από το Let's Encrypt εμπιστεύονται σήμερα σχεδόν όλα τα προγράμματα περιήγησης.
Σε αυτό το σεμινάριο, θα παρέχουμε οδηγίες βήμα προς βήμα σχετικά με τον τρόπο ασφάλειας του Nginx με το Let's Encrypt χρησιμοποιώντας το εργαλείο certbot στο Ubuntu 16.04.
Προϋποθέσεις
Βεβαιωθείτε ότι πληρούνται οι ακόλουθες προϋποθέσεις πριν συνεχίσετε με αυτό το σεμινάριο:
- Έχετε ένα όνομα τομέα που δείχνει στον δημόσιο διακομιστή IP σας. Σε αυτό το σεμινάριο θα χρησιμοποιήσουμε το
example.com. Έχετε εγκαταστήσει Nginx ακολουθώντας τον τρόπο εγκατάστασης του Nginx στο Ubuntu 16.04.
Εγκαταστήστε το Certbot
Το Certbot είναι ένα βοηθητικό πρόγραμμα γραμμένο σε python που μπορεί να αυτοματοποιήσει τις εργασίες για την απόκτηση και την ανανέωση του Let's Encrypt SSL certificates και της διαμόρφωσης web servers.
Πρώτα εγκαταστήστε το
software-properties-common
πακέτο που παρέχει το εργαλείο
add-apt-repository
που απαιτείται για την προσθήκη πρόσθετων PPAs.
Ενημερώστε το ευρετήριο των πακέτων και εγκαταστήστε
software-properties-common
με:
sudo apt update
sudo apt install software-properties-common
Μόλις ολοκληρωθεί η εγκατάσταση, προσθέστε το αποθετήριο certbot PPA στο σύστημά σας χρησιμοποιώντας την ακόλουθη εντολή:
sudo add-apt-repository ppa:certbot/certbot
Ενημερώστε τη λίστα των πακέτων και εγκαταστήστε το πακέτο certbot:
sudo apt update
sudo apt install certbot
Δημιουργήστε ομάδα ισχυρών Dh (Diffie-Hellman)
Η ανταλλαγή πλήκτρων Diffie-Hellman (DH) είναι μια μέθοδος ασφαλούς ανταλλαγής κρυπτογραφικών κλειδιών πάνω σε ένα μη ασφαλισμένο κανάλι επικοινωνίας. Δημιουργήστε ένα νέο σύνολο παραμέτρων 2048 bit DH για να ενισχύσετε την ασφάλεια:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
Εάν θέλετε μπορείτε να αλλάξετε το μέγεθος έως και 4096 bits, αλλά στην περίπτωση αυτή, η παραγωγή μπορεί να διαρκέσει περισσότερο από 30 λεπτά, ανάλογα με την εντροπία του συστήματος.
Αποκτώντας πιστοποιητικό SSL
Για να αποκτήσετε ένα πιστοποιητικό SSL για τον τομέα μας, θα χρησιμοποιήσουμε την προσθήκη Webroot, η οποία λειτουργεί δημιουργώντας ένα προσωρινό αρχείο για την επικύρωση του ζητούμενου τομέα στο
${webroot-path}/.well-known/acme-challenge
του
${webroot-path}/.well-known/acme-challenge
. Ο διακομιστής "Ας κρυπτογραφήσει" κάνει αιτήσεις HTTP στο προσωρινό αρχείο για να επιβεβαιώσει ότι ο ζητούμενος τομέας επιλύεται στο διακομιστή όπου τρέχει το certbot.
Για να γίνει πιο απλό, θα χαρτογραφήσουμε όλα τα αιτήματα HTTP για
.well-known/acme-challenge
σε ένα μόνο κατάλογο,
/var/lib/letsencrypt
.
Οι ακόλουθες εντολές θα δημιουργήσουν τον κατάλογο και θα το καταστήσουν εγγράψιμο για τον διακομιστή Nginx.
mkdir -p /var/lib/letsencrypt/.well-known
chgrp www-data /var/lib/letsencrypt
chmod g+s /var/lib/letsencrypt
Για να αποφύγετε την αναπαραγωγή κώδικα δημιουργήστε τα ακόλουθα δύο αποσπάσματα τα οποία πρόκειται να συμπεριλάβουμε σε όλα τα αρχεία μπλοκ διακομιστή Nginx.
location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; }
/etc/nginx/snippets/ssl.conf
ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;
Το απόσπασμα παραπάνω περιλαμβάνει τις συμβουλές για τα τσιπ που συνιστώνται από το Mozilla, επιτρέπει το OCSP Συρραφή, το HTTP Strict Transport Security (HSTS) και επιβάλλει ελάχιστες κεφαλίδες HTTP επικεντρωμένες στην ασφάλεια.
Μόλις δημιουργηθούν τα αποσπάσματα, ανοίξτε το μπλοκ διακομιστή τομέα και συμπεριλάβετε το απόσπασμα του
letsencrypt.conf
όπως φαίνεται παρακάτω:
server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }
Ενεργοποιήστε το μπλοκ διακομιστή δημιουργώντας έναν συμβολικό σύνδεσμο από
sites-available
σε
sites-enabled
:
sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
Επανεκκινήστε τη διαμόρφωση Nginx για να εφαρμοστούν οι αλλαγές:
sudo systemctl reload nginx
Εκτελέστε το σενάριο certbot με το plugin webroot και αποκτήστε τα αρχεία πιστοποιητικών SSL:
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
Εάν το πιστοποιητικό SSL έχει ληφθεί με επιτυχία, η certbot θα εκτυπώσει το ακόλουθο μήνυμα:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-04-23. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:
Τώρα που έχουμε τα αρχεία πιστοποιητικών, επεξεργαστείτε το μπλοκ διακομιστή τομέα ως εξής:
/etc/nginx/sites-available/example.com.conf
server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }
Με τη παραπάνω διαμόρφωση, αναγκάζουμε το HTTPS και ανακατευθύνουμε την έκδοση
www
του τομέα στην έκδοση
non www
.
Επαναφόρτωση της υπηρεσίας Nginx για να εφαρμοστούν οι αλλαγές:
Αυτόματη ανανέωση πιστοποιητικού SSL
Τα πιστοποιητικά της Κρυπτογράφησης ισχύουν για 90 ημέρες. Για να ανανεώσει αυτόματα τα πιστοποιητικά πριν λήξει, το πακέτο certbot δημιουργεί ένα cronjob που θα τρέχει δύο φορές την ημέρα και θα ανανεώνει αυτόματα οποιοδήποτε πιστοποιητικό 30 ημέρες πριν από τη λήξη του.
Δεδομένου ότι χρησιμοποιούμε την προσθήκη certbot webroot μόλις το πιστοποιητικό ανανεωθεί, πρέπει επίσης να φορτώσουμε ξανά την υπηρεσία nginx. Για να το κάνετε αυτό, προσθέστε το
--renew-hook "systemctl reload nginx"
στο αρχείο
/etc/cron.d/certbot
έτσι ώστε να μοιάζει με αυτό:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"
Για να ελέγξετε τη διαδικασία ανανέωσης, χρησιμοποιήστε το διακόπτη certbot -
--dry-run
:
sudo certbot renew --dry-run
Εάν δεν υπάρχουν σφάλματα, σημαίνει ότι η διαδικασία ανανέωσης ήταν επιτυχής.
συμπέρασμα
Σε αυτό το σεμινάριο, χρησιμοποιήσατε τον πελάτη Let's Encrypt, certbot για να λάβετε πιστοποιητικά SSL για τον τομέα σας. Έχετε επίσης δημιουργήσει αποσπάσματα Nginx για να αποφύγετε την επικάλυψη κώδικα και να ρυθμίσετε το Nginx για να χρησιμοποιήσετε τα πιστοποιητικά. Στο τέλος του μαθήματος έχετε ρυθμίσει ένα cronjob για αυτόματη ανανέωση πιστοποιητικού.
nginx ubuntu ας κρυπτογραφήσουμε το certbot sslΑσφαλίστε nginx με την κρυπτογράφηση του centos 7
Σε αυτό το σεμινάριο, θα παρέχουμε οδηγίες βήμα προς βήμα σχετικά με τον τρόπο ασφάλειας του Nginx με το Let's Encrypt χρησιμοποιώντας το εργαλείο certbot στο CentOS 7
Ασφαλίστε nginx με την κρυπτογράφηση του ubuntu 18.04
Το Let's Encrypt είναι μια ελεύθερη και ανοικτή αρχή πιστοποίησης που αναπτύχθηκε από την Ομάδα Ασφάλειας του Διαδικτύου. Σε αυτό το σεμινάριο, θα παρέχουμε οδηγίες βήμα προς βήμα σχετικά με τον τρόπο ασφάλειας του Nginx με το Let's Encrypt χρησιμοποιώντας το εργαλείο certbot στο Ubuntu 18.04
Ασφαλίστε την apache με την κρυπτογράφηση του ubuntu 18.04
Σε αυτό το σεμινάριο, θα παρέχουμε οδηγίες βήμα προς βήμα σχετικά με τον τρόπο εξασφάλισης του Apache με το Let's Encrypt χρησιμοποιώντας το εργαλείο certbot στο Ubuntu 18.04.