Bezpieczny Internet jest teraz popytem wszystkich. Wolimy HTTPS niż HTTP, ponieważ połączenia HTTPS są zabezpieczone za pomocą SSL. Dane przesyłane przez HTTP nie mogą być widoczne przez strony trzecie lub środkowe. Dane są szyfrowane i tylko prawdziwy klient i serwer mogą zobaczyć dane w niezaszyfrowanym oryginalnym formularzu. W dzisiejszych czasach wyszukiwarki daje również zabezpieczone witryny bardziej priorytetowe, a zatem pomaga w SEO.
Każdy może utworzyć certyfikat SSL z kilkoma wierszami dowodzenia lub kilkoma kliknięciami myszy. Ale certyfikat, którego należy zaufać, musi zostać dostarczone przez jakiś uznany organ certyfikatu. Proces uzyskiwania certyfikatu wymaga czasu i pieniędzy. Czasami koszt jest bardzo wysoki w zależności od organu certyfikatu i twoich wymagań.
Możesz zaszyfrować dane między aplikacją internetową a użytkownikami końcowymi, tworząc certyfikaty samodzielnie. Ale w świecie domeny i serwerów rzeczy nie idą. Twój certyfikat musi być certyfikowany przez niektórych zaufanych stron trzecich. Ale proces ten nie powinien być skomplikowany, gdy nie jest dostęp do Internetu. Nie chcemy również pokryć tych dodatkowych kosztów uzyskania certyfikatu, który moglibyśmy zrobić własną ręką za darmo.
Ale pod koniec dnia nie możemy ominąć tych stron trzecich. Przeglądarki internetowe i inne aplikacje klientów nie ufają certyfikatom wykonanym przez nasze własne ręce. Ufają tym, które podano i podpisane przez te strony trzecie zwane władzami certyfikatów. Mamy rozwiązanie naszego problemu. Istnieje Urząd Świadectwa (CA) o nazwie Let's Encrypt, który zapewnia bezpłatne (w toku) i bezpłatne certyfikaty TLS/SSL. Po prostu poprosisz o certyfikat dla Twojej witryny za pomocą różnych metod pokazanych w tym samouczku, aby uzyskać bezpłatne certyfikaty dla swoich domen i jesteś gotowy. W przeciwieństwie do innych certyfikaty dostarczone przez Let's Encrypt muszą być aktualizowane co trzy miesiące (precyzyjne 90 dni). Możesz uruchomić skrypt na swoim serwerze lub VPS, aby automatycznie zaktualizować certyfikat po pewnym okresie, aby zarządzać tym problemem odnowienia.
Jeśli hostujesz swoją witrynę na VPS lub na platformie, na której masz dostęp do powłoki, możesz uzyskać certyfikat z oficjalnym klientem Certbot ACME. Jeśli jesteś w wspólnym środowisku hostingowym, dostawca hosting. Najpopularniejsze udostępniane dostawcy hostingów zapewniają obsługę certyków szyfrowania Let i automatycznie odnawiają certyfikat. Jeśli Twój dostawca hosting. Ponadto większość dostawców hostingowych ma kilka miejsc na panelu administracyjnym, w których możesz przesłać pliki certyfikatów. Sprawdź, w jakiej kategorii wpadniesz i odpowiednio idź.
Certbot jest najpopularniejszym klientem Let's Encrypt. Jest dostępny na większości głównych dystrybucji Linux. Tutaj pokazuję, jak zainstalować CertBot na komputerze Ubuntu. Aby uzyskać najnowszą wersję CertBot, dodaj repozytorium PPA z następującym poleceniem.
Sudo Add-Aapt-repozytory PPA: certbot/certbot
Zaktualizuj listę pakietów nowej zmiany:
Sudo apt-get Aktualizacja
Teraz zainstaluj CertBot wraz z wtyczkami Apache i Nginx:
sudo apt-get instaluj certbot python-certbot-apache python-certbot-nginx
CERTBOT może automatycznie pobierać i konfigurować certyfikaty dla Apache i Nginx. Powiedzmy, że chcesz pobrać certyfikat dla www.przykład.com i zaktualizuj konfigurację Apache. Wystarczy wykonać następujące polecenie.
sudo certbot --apache -d www.przykład.com
CertBot zada ci niezbędne pytania, uruchomić wyzwanie i odzyska dla Ciebie certyfikat. Zaktualizuje konfigurację dla Apache Web Server i ponownie załaduje Apache. Aby sprawdzić, czy sprawy działają poprawnie, czy nie, odwiedź https: // www.przykład.com.
Certyfikaty zaszyfrowane są ważne tylko przez 90 dni. Musisz więc aktualizować certyfikaty kilka razy w roku. Bardzo łatwo jest zaktualizować certyfikaty z certyfikatem. Uruchom następujące polecenia, aby zaktualizować cały certyfikat na serwerze:
Sudo Certbot Renew
Ale nie jest to dobry sposób na ręczną aktualizację. Jeśli jesteś na hostingu zarządzanym/udostępnionym i ta platforma ma wbudowane wsparcie w celu aktualizacji certyfikatów zaszyfrowanych Let, nie musisz nic zrobić ręcznie. Kiedy robisz to na VPS, dedykowanym serwerze lub w jakimś systemie, w którym masz dostęp do powłoki, możesz użyć Cron do okresowego automatyzacji tego zadania.
ACME to otwarty protokół. Ma również dobrą dokumentację. Istnieje wielu klientów za Certyfikaty Encrypt i wielu jest w trakcie rozwoju. Jeśli jesteś zainteresowany opracowaniem klienta, możesz to łatwo zrobić na swój sposób. Jeśli wiesz trochę Pythona, możesz spojrzeć na kod źródłowy Certbot i stworzyć niestandardowy dla siebie. Istnieje również lista klientów ACME na stronie Let's Encrypt.
Odwiedź ten link, aby uzyskać listę i zdecyduj, jakiego alternatywnego rozwiązania chcesz użyć. Prawie żaden z nich nie ma całej słodyczy Certbot. Ale niektóre z nich mają pewne unikalne funkcje, które mogą Cię przyciągnąć. Ponadto, jeśli jesteś programistą i masz unikalne wymagania, spróbuj samodzielnie to wdrożyć.
Niektórzy dostawcy hostingów umożliwiają tylko ręczne przesłanie certyfikatów. W takim przypadku musisz ręcznie odzyskać certyfikaty z Let's Encrypt i przesyłanie ich przez pulpit pulpitu administracyjnego hostingowego (lub jakikolwiek mechanizm, który dostarczają). Aby pobrać plik certyfikatu, musisz użyć wtyczki „ręczna” CertBot i określić parametr „Certonly”. Za pomocą metody ręcznej musisz udowodnić, że domena, o którą prosisz o certyfikat, jest naprawdę twoja. Wtyczka może używać HTTP, DNS lub TLS-SNI Challenge. Możesz użyć -Preferowane Challenges opcja wybrać wyzwanie swoich preferencji. Jeśli wolisz http Metoda poprosi Cię o umieszczenie pliku z określoną zawartością w jakimś katalogu witryny/serwera internetowego. Sprawdź swoją własność i odpowiedz na inne pytania, aby uzyskać certyfikat.
Certbot Certonly -Manual
Możesz także określić parametry wiersza poleceń, aby zgodzić się na warunki usług i odnowienie certyfikatu.
Niektórzy dostawcy hostingów nie zapewniają żadnego sposobu na dodanie tego dodatkowego „s” do twojego „http” - mam na myśli, że nie zapewniają żadnego sposobu na dodanie certyfikatów SSL. Dla niektórych musisz ręcznie przesłać pliki certyfikatu. Jednym z przykładów jest Google App Engine, a drugi jest OpenShift. Ale to kłopot z przesłaniem certyfikatu co 90 dni. Czasami możesz zapomnieć. Ponownie, jeśli masz więcej niż jedną lub dwie strony internetowe, to bardziej prawdopodobne, że zapomnisz. Ponadto, jeśli nie czujesz się komfortowo z wierszem poleceń lub nie jest komfortowo, pracując z serwerami za pośrednictwem muszli SSH, znów jesteś w pechu.
Let's Encrypt ułatwił życie webmasterom, dostarczając sposób na natychmiastowe uzyskanie certyfikatów zamiast czekać na zatwierdzenie CAS po przesłaniu żądania. Kolejną korzyścią jest to, że dostaniesz wszystko za darmo. Z całą dobrocią, pamiętaj tylko o aktualizacji certyfikatu przed 90 dniami. W przeciwnym razie użytkownicy mogą otrzymać czerwony sygnał i w rezultacie możesz stracić odbiorców/klientów. Możesz także odnowić certyfikat co kilka dni, ale może to osiągnąć limit i nie możesz odnowić swojego certyfikatu na jakiś czas. Uważaj więc na korzystanie z tak wspaniałej obsługi.