Phenquestions
Turvaline internet on nüüd kõigi nõudmine. Eelistame HTTPS-i asemel HTTP-d, kuna HTTPS-ühendused on SSL-iga tagatud. HTTPS-i kaudu saadetud andmeid ei näe kolmandad ega keskmised osapooled. Andmed on krüptitud ja ainult tegelik klient ja server näevad andmeid krüpteerimata algkujul. Tänapäeval annab otsingumootorid ka turvalisematele veebisaitidele suurema prioriteedi ja seeläbi aitab see SEO-l.
Igaüks saab luua mõne käsureaga või mõne hiireklõpsuga SSL-sertifikaadi. Kuid usaldusväärse sertifikaadi peab esitama mõni tunnustatud sertifikaadiasutus. Sertifikaadi saamine nõuab aega ja raha. Mõnikord on hind väga kõrge, olenevalt sertifikaadi väljaandjast ja teie nõudmistest.
Saate oma veebirakenduse ja lõppkasutajate vahelised andmed krüptida, luues ise sertifikaadid. Kuid asjad ei käi domeenide ja serverite maailmas nii. Teie sertifikaat peab olema usaldusväärse kolmanda osapoole kinnitatud. Kuid protsess ei tohiks olla keeruline, kui Interneti-juurdepääs pole. Samuti ei ole me nõus maksma neid lisakulusid sertifikaadi saamise eest, mille saaksime tasuta teha omal käel.
Kuid päeva lõpuks ei saa me neist kolmandatest isikutest mööda minna. Veebibrauserid ja muud kliendirakendused ei usalda meie enda tehtud sertifikaate. Nad usaldavad neid, mida pakuvad ja allkirjastavad kolmandad isikud, keda nimetatakse sertifikaadiasutusteks. Meil on oma probleemile lahendus. Seal on sertifikaadiasutus (CA) nimega Let's Encrypt, kes pakub probleemideta (protsessis) ja tasuta TLS / SSL-i sertifikaate. Domeenide jaoks tasuta sertifikaatide saamiseks taotlete lihtsalt oma veebisaidi jaoks sertifikaati, kasutades selles õpetuses näidatud erinevaid meetodeid ja olete valmis minema. Erinevalt teistest tuleb Let's Encrypt'i pakutavaid sertifikaate värskendada iga kolme kuu tagant (täpsemalt 90 päeva). Selle pikendamisprobleemi haldamiseks võite oma serveris või VPS-is käivitada mõne skripti, et sertifikaati teatud ajavahemiku järel automaatselt värskendada.
Krüpteerime sertifikaadi
Kui hostite oma veebisaiti VPS-is või platvormil, kus teil on juurdepääs shellile, võite sertifikaadi hankida ametliku Certbot ACME kliendi kaudu. Kui olete jagatud hostimiskeskkonnas, peaks teie hostiteenuse pakkuja pakkuma sertifikaatide Let's Encrypt automatiseeritud tuge. Kõige populaarsemad jagatud hostimise pakkujad toetavad Let's Encrypt sertifikaate ja uuendavad teie jaoks sertifikaati automaatselt. Kui teie hostiteenuse pakkuja ei paku selle jaoks automatiseeritud tuge, võite selle saamiseks temaga ühendust võtta. Samuti on enamiku hostimisteenuste pakkujate administraatoripaneelil mõned kohad, kuhu saate oma sertifikaadifailid üles laadida. Kontrollige, millisesse kategooriasse kuulute, ja minge vastavalt sellele.
Certbot krüpteerime kliendi
Certbot on kõige populaarsem Let's Encrypt klient. See on saadaval enamikes suuremates Linuxi distros. Siin näitan, kuidas installida Certbot Ubuntu masinasse. Certboti uusima versiooni saamiseks lisage ppa hoidla järgmise käsuga.
sudo add-apt-hoidla ppa: certbot / certbot
Uue muudatuse pakettide loendi värskendamine:
sudo apt-get värskendus
Nüüd installige certbot koos selle apache ja nginx pistikprogrammidega:
sudo apt-get install certbot python-certbot-apache python-certbot-nginx
Certbot saab Apache'i ja Nginxi jaoks automaatselt sertifikaate hankida ja konfigureerida. Oletame, et soovite hankida sertifikaadi veebisaidile.näide.com ja värskendage Apache'i konfiguratsiooni. Peate lihtsalt täitma järgmise käsu.
sudo certbot --apache -d www.näide.com
Certbot esitab teile mõned vajalikud küsimused, käivitab väljakutse ja hankib teile sertifikaadi. See värskendab Apache veebiserveri konfiguratsiooni ja laadib Apache uuesti. Selleks, et kontrollida, kas kõik töötab korralikult või mitte, külastage aadressi https: // www.näide.com.
Sertifikaatide uuendamine
Let's Encrypt sertifikaadid kehtivad ainult 90 päeva. Niisiis, peate sertifikaate mitu korda aastas uuendama. Certbotiga on sertifikaate väga lihtne uuendada. Kõigi oma serveri sertifikaatide värskendamiseks käivitage järgmised käsud:
sudo certbot uuendada
Kuid see pole hea viis selle käsitsi värskendamiseks. Kui kasutate hallatud / jagatud veebimajutust ja sellel platvormil on sisseehitatud tugi Let's Encrypt sertifikaatide värskendamiseks, ei pea te midagi käsitsi tegema. Kui teete seda VPS-is, spetsiaalses serveris või mõnes süsteemis, kus teil on juurdepääs shellile, saate selle ülesande perioodiliseks automatiseerimiseks kasutada croni.
Let's Encrypt'i kasutamine teiste klientidega
ACME on avatud protokoll. Sellel on ka hea dokumentatsioon. Let's Encrypt sertifikaatide jaoks on palju kliente ja paljud on väljatöötamisel. Kui teil on huvi arendada klienti, saate seda teha lihtsalt omal moel. Kui teate natuke Pythoni, võite vaadata certboti lähtekoodi ja teha endale selle kohandatud. Let's Encrypt'i veebisaidil on ka ACME klientide loend.
Loendi saamiseks külastage seda linki ja otsustage, millist alternatiivset lahendust soovite kasutada. Peaaegu ühelgi neist pole kogu certboti magusust. Kuid mõnel neist on mõned ainulaadsed omadused, mis võivad teid köita. Samuti, kui olete programmeerija ja teil on mõned unikaalsed nõuded, proovige seda ka ise rakendada.
Käsitsi meetod
Mõni hostimisteenuse pakkuja lubab sertifikaate laadida ainult käsitsi. Sel juhul peate sertifikaadid käsitsi hankima rakendusest Let's Encrypt ja laadima need üles oma hostimise administraatori juhtpaneeli (või mis tahes mehhanismi kaudu, mida need pakuvad). Sertifikaadifaili toomiseks peate kasutama pistikprogrammi 'manual' ja määrama parameetri 'certonly'. Manuaalse meetodi abil peate tõestama, et domeen, mille sertifikaati taotlete, on tõesti teie. Pistikprogramm võib kasutada väljakutset http, dns või tls-sni. Võite kasutada -eelistatud-väljakutsed võimalus valida väljakutse oma eelistustele. Kui eelistate http meetodi, siis palutakse teil panna teatud sisu sisaldav fail oma veebisaidi / veebiserveri mõnda kataloogi. Sertifikaadi saamiseks kinnitage oma omandiõigust ja vastake teistele küsimustele.
certbot certonly - käsitsi
Samuti saate teenusetingimustega nõustumiseks ja sertifikaadi uuendamiseks määrata käsurea parameetrid.
Kui teil pole õnne
Mõned hostimisteenuse pakkujad ei paku võimalust lisada oma URL-ile selle ekstra 's - ma mõtlen, et nad ei paku võimalust lisada ssl-i sertifikaate. Mõne jaoks peate sertifikaadifailid käsitsi üles laadima. Üks näide on Google App Engine ja teine on OpenShift. Kuid sertifikaadi uuesti laadimine iga 90 päeva tagant on vaev. Mõnikord võite unustada. Jällegi, kui teil on rohkem kui üks või kaks veebisaiti, siis unustate selle suurema tõenäosusega. Samuti kui teil pole käsurealt mugav või pole serveritega SSH-kestade kaudu töötamine mugav, on teil jälle halb õnn.
Järeldus
Let's Encrypt on muutnud veebimeistrite elu lihtsamaks, pakkudes viisi sertifikaatide saamiseks koheselt, selle asemel, et pärast taotluse esitamist pädevatelt asutustelt kinnitust oodata. Teine eelis on see, et saate selle kõik tasuta. Hoolimata sellest, pidage meeles, et värskendage sertifikaati enne iga 90 päeva tagant. Vastasel juhul võivad teie kasutajad saada punase signaali ja seetõttu võite kaotada osa vaatajaskonnast / klientidest. Samuti saate sertifikaati iga paari päeva tagant uuendada, kuid see võib ületada limiiti ja te ei pruugi sertifikaati mõnda aega pikendada. Niisiis, olge nii toreda teenuse kasutamisel ettevaatlik.
