Ce este ssl, SLT, instalare și configurare a certificatului https

anteriorurmătoarea

Ce este SSL, TLS

TLS (Transport Layer Security Eng. - Transport Layer Security) - un protocol de codificare, care oferă o transmisie de date protejate de la server la client. TLS este un descendent al SSL 3.0. Baza de criptare simetrică minciună pentru confidențialitate, criptografie asimetrică pentru autentificare și mesajul de cod autenticitate pentru a menține integritatea acestora.







Astăzi, atunci când oamenii vorbesc despre SSL, acest lucru înseamnă, de obicei urmașul său TLS. De aceea, atunci când spunem că trebuie să instalați un certificat SSL pe un site, de regulă, implică instalarea TLS.

De ce am nevoie pentru a utiliza SSL / TLS

Există cel puțin un motiv bun: nu puteți profita de noul HTTP2 de protocol (HTTP / 2 înlocuiește standardul actual HTTP / 1.1), în cazul în care site-ul dvs. nu este instalat și configurat SSL certificat de securitate / TLS.

De asemenea, securitatea datelor pe Internet este un subiect din ce în ce mai populare și relevante. Și mai mult, cu atât mai mult: Google a spus că prezența criptare SSL pe site-ul este un factor pozitiv în clasamentul site-ului în rezultatele căutării. De asemenea, prezența HTTPS este un atribut obligatoriu al fiecărui site de e-commerce: magazine online, servicii pentru a primi plăți, schimbătoare de căldură, precum și servicii bazate pe taxe, date de utilizator care sunt ravnite pradă hackerilor. Pentru a preveni atacurile de tip phishing asupra utilizatorilor și să nu permită să-l înșele, și trebuie să configurați securitatea datelor SSL-certificat și de criptare, astfel încât el a văzut dovada că este pe site-ul dreapta.

SSL gratuit / certificate TLS pe ​​encripta Să-

Vă recomandăm să utilizați TLS / certificate SSL pe criptați Să ne. deoarece:

  1. Ele sunt libere;
  2. Suit cele mai multe proiecte;
  3. Instalarea și configurarea relativ simplu și nu va dura mult timp și efort.

Dintre minusuri - certificatul este relevant pentru 90 de zile, astfel încât să setați pe actualizare automată.

hosting Dacă ați distribuit. se poate scrie în suport, veți primi un certificat și totul este configurat. Dacă aveți propriul server, o descriere a obține un certificat SSL, TLS și setarea pe server este pornit.

instalarea Certbot

Certbot - acest utilitar din Cripta Să, ajutând să configurați certificatul SSL / TLS pentru server și în continuare actualizarea acestuia.

Instalarea Debian Certbot în 8 Jessie

Ce este TSL

Certbot Asistent în selectarea unei versiuni de server

Mai întâi asigurați-vă că certbot nu este deja instalat:
certbot --help
Dacă vedeți o eroare, atunci este necesar să-l instalați.

Dacă ați ieșit de eroare Valoarea „Jessie-backportări“ nu este validă pentru APT :: Standard-Release ca o astfel de eliberare nu este disponibilă în sursele de
. trebuie să configurați Backports de sprijin

Cum să configurați Backports de sprijin

Trimite un mesaj pentru consola (adaugă o sursă suplimentară de pachete):

Apoi a actualiza lista de pachete:

și apoi încercați să instalați Certbot:

Instalarea Certbot pe CentOS 7

Instalarea este după cum urmează:

Dacă vă CentOS 6, utilizați instrucțiunile de mai jos universale.

Universal instrucțiuni de instalare Certbot

  1. Descărcați Certbot:
  2. Dă dreptul la executarea cu chmod
  3. Mutare certbot-auto la alte fișiere binare, pentru a avea posibilitatea de a începe cu o echipa certbot
  4. Verificăm ce sa întâmplat:

Ar trebui să vedeți ceva de genul:

Ce este TSL

Setarea Certbot

Acum, că certbot instalat (și puteți verifica acest lucru punând echipa
--help certbot), Te sfătuiesc să te uiți în cron-sarcini

Cea mai recentă linie - această regulă cron, care va valida certificatele SSL, TLS de două ori pe zi și să actualizeze mai în vârstă. Din păcate, aceasta nu a reseta serverul de web, astfel încât trebuie să adăugați o regulă - end mână Nginx reîncărcare de serviciu a liniei.

Ca urmare, linia ar arata astfel:

În cazul în care șirul în otstutstvuet cron.d, puteți seta manual o actualizare a certificatelor regulă:

  1. Deschideți programul de planificator (da mai întâi un exemplu pentru nano, apoi pentru vim.):
  2. Adăugarea unei noi reguli la sfârșitul planificator:
  3. Apoi rezervă (Ctrl + X. Butonul Y salva)

Apropo, pentru a vedea modul în care sertifikatorv de actualizare, dar fără o actualizare reală, pur și simplu validați de configurare, utilizați comanda:







Și să actualizeze toate certificatele de pe server manual folosind următoarea comandă

După repornirea Nginx

Instalarea unui certificat SSL, TLS de la Criptați Să

Introduceți comanda din consola Putty:

  • -w / var / www / exemplu - calea către directorul cu fișierele site
  • -d example.com -d www.example.com - noi nume de domenii
  • --e-mail [email protected] - e-mail, în cazul în care va fi posibil să redobândi accesul
  • --sunt de acord-TOS - respectarea cerințelor de licențiere

Dacă domeniul în alfabetul chirilic, este necesar să-l Punnycode (de exemplu, codul yandeks.rf a xn - d1acpjx3f.xn - p1ai) și de a folosi acest cod. Acest lucru se poate face folosind Punycode-convertor.

Dacă totul merge bine, va raporta finalizarea cu succes a creării certificatului

Ce este TSL

Astfel, certificatul este instalat în directorul / etc / letsencrypt / trăi //

Du-te pentru a personaliza Nginx.

Configurarea SSL, TLS în Nginx

Deschideți fișierul de configurare a site-ului.
Dacă este configurat ca Nginx aici. fișierul de configurare poate fi localizată aici:
/etc/nginx/vhosts/example.com.conf

documente oficiale recomandă pentru a reduce încărcarea procesorului

  • setați numărul de procese lucrător la numărul de procesoare,
  • permite conexiuni keepalive,
  • inclusiv cache sesiune partajată,
  • opri sesiunile cache built-in
  • și poate crește durata de viață a sesiunii (implicit 5 minute):

Salvat, verificat, repornire

Configurarea WordPress pentru SSL, TLS

De exemplu, să ia site-ul WordPress și configurați SSL / TLS-l. face disponibil pentru HTTPS.
Va trebui să fie sigur că pentru a merge prin listă și efectuați modificările necesare:

sunt necesare 2 și 3 rânduri, în cazul în care primul element din listă.

Cum de a muta un site de la HTTP la HTTPS corect

Eu cred că nu vă puteți aștepta pentru lipire http și https, tu și imediat înființat o redirecționare la https, ei încă se lipesc între ele, dar sunt următoarele recomandări, care sunt date de experți în domeniul promovării motor de căutare

Mai mult decât atât, de așteptare pentru Yandex toate se lipesc între ele în mod corespunzător, puteți configura 301 redirecționare de la http la https

Cum de a crea o redirecționare de la HTTP la HTTPS

Pentru Nginx ne-am înființat o redirecționare de mai sus, așa că, dacă configurați o redirecționare la ea, în schimbă nimic Apache.
Dacă aveți serverul de bază Apache, fișierul de configurare (apache.conf) sau .htaccess in site-ul rădăcină PRESCRIBE

Acest design surprinde toate solicitările, altele decât cele 443 porturi (și anume, portul 443 se află SSL), și redirecționează la versiunea corectă a site-ului cu HTTPS.

Cum pot verifica lucrări SSL, TLS

Pe internet puteți găsi o varietate de servicii, care va ajuta la a determina cât de bine ați instalat și configurat site-ul SSL de el.
Unul dintre aceste servicii: ssllabs.com

Vă recomandăm să verificați instalarea și configurarea corectă SSL certificat / TLS folosind ssllabs.com

Ce este TSL

Rezultat SSL Testarea / TLS

Cum de a consolida securitatea SSL, TLS

Se întâmplă ca este instalat certificatul, și testarea ssllabs nu prezinta siguranta cea mai bună calitate.
Pentru a obține râvnitul A +. trebuie să configurați în mod corespunzător Nginx.
Pentru a face acest lucru, mai întâi executați următoarea comandă pentru a genera cheile necesare pentru Forward Secrecy (secret directă înseamnă că, în cazul în care un terț descoperă o cheie de sesiune, se poate accesa numai datele care sunt protejate de această cheie, nu mai mult) :

Apoi, trebuie să prezinte următoarele intrări în configurația serverului:

După toate manipulările nu uitați să reîncărcați Nginx

Cum se instalează SSL / TLS, dacă serverul are mai multe site-uri

De obicei, problemele apar atunci când serverul au deja un site din HTTPS, iar pe serverul pe care doriți să se mute la un alt site.
Sau, chiar mai mult impas: este necesar să se transfere site-ul pentru HTTP și face disponibil pentru HTTPS. Problema va apărea din cauza faptului că pe serverul pe portul 443 au deja un site cu certificat SSL / TLS, iar tratamentul va merge pentru el, și nu va fi în măsură să înregistreze certificatul certbot la site-ul, și prin HTTP site-uri vor fi disponibile.
Puteți genera un certificat auto-semnat pentru o soluție temporară pentru această problemă:

Acest lucru va crea 2 fișiere:

Certificatele semnate de auto-do, mai degrabă, în scopuri oficiale, mai degrabă decât pentru a fi utilizate pe site-urile de lucru. Faptul este că pentru ei nu există nici o încredere, acestea nu asigură o protecție adecvată pentru utilizator, iar browser-ul va avertiza cu privire la aceasta. Dar, să zicem, în cazul unei configurații de server cu mai multe site-uri, precum și pentru o redirecționare de la HTTPS la HTTP destul de potrivit.

Chei găsite în serverul de configurare (exemplul este mai jos). următor:

  • Dacă este nevoie de site pentru HTTP, face doar o redirecționare de la HTTPS la HTTP, prin analogie cu redirecționarea HTTPS, exact opus (exemplul de mai jos);
  • Dacă este nevoie de site pentru HTTPS, face site-ul accesibil prin HTTP, atunci veți obține un certificat folosind certbot. și apoi totul, atât în ​​instrucțiunile de mai sus - redirecționeze la HTTPS, prescrierea de certificate, configurați o adresă URL, și așa mai departe.

Un exemplu de modul în care să redirecționeze de la HTTPS la HTTP în Nginx

Să presupunem că, certificatele auto-semnate generate de comanda de mai sus și plasate în directorul / / rădăcină. Apoi, pentru a configura o redirecționare de la HTTP la HTTPS în noul site example.com. putem folosi următoarea configurație (example.com înlocuiți cu domeniul dvs., 1.2.3.4 - pe serverul IP):

Te rog, mă bucur că a ajutat. Aboneaza-te pentru a actualiza materialul posibil și, dacă este necesar, să fie modificată și completată

Am în timpul instalării de eroare certbot a avut loc apt-get install certbot -t-Jessie backportări Reading liste de pachete ... done
Clădire copac dependență
Citirea informațiilor de stat ... Done
S-ar putea dori să rulați „apt-get -f install“ pentru a corecta aceste:
Următoarele pachete au dependențe nesatisfăcute:
certbot. Depinde: python-certbot (= 0.9.3-1

bpo8 + 2), dar nu va fi instalat
Depinde:-sistem de inițializare helper (> = 1,18

) Dar nu este instalabil
Depinde: python: orice (> = 2,7

Încercați să utilizați comanda cu opțiunea -f
apt-get -f install

A încercat, nu a ajutat. Aceeași problemă)

Nu, doar utilizați
apt-get -f install
Poate că ar trebui să actualizeze (4 echipe):
apt-get update
apt-get autoremove
apt-get Autoclean
apt-get install -f
Apoi, se repetă procedura din nou

// Pentru a preveni o redirecționare fără sfârșit de la adresa http la https
în cazul în care (strpos ($ _ SERVER [ 'HTTP_X_FORWARDED_PROTO'], 'https')! == false)
$ _SERVER [ 'HTTPS'] = 'on';

l salvat. cum, de ce - nu știu ... Magian, cu toate acestea. Sincer, întreaga „pauză net.
VĂ MULȚUMIM!







anteriorurmătoarea