Phenquestions
Sigurni internet je sada zahtjev svih. Više volimo HTTPS nego HTTP jer su HTTPS veze zaštićene SSL-om. Treće ili srednje stranke ne mogu vidjeti podatke poslane putem HTTPS-a. Podaci su šifrirani i samo stvarni klijent i poslužitelj mogu ih vidjeti u nešifriranom izvornom obliku. U današnje vrijeme tražilice također daju zaštićenim web mjestima veći prioritet i tako pomažu u SEO-u.
Svatko može stvoriti SSL certifikat s nekoliko redaka naredbe ili s nekoliko klikova mišem. No, certifikat koji treba vjerovati mora pružiti neko priznato tijelo za izdavanje certifikata. Za postupak dobivanja certifikata potrebno je vrijeme i novac. Troškovi su ponekad vrlo visoki, ovisno o izdavatelju certifikata i vašim zahtjevima.
Možete šifrirati podatke između svoje web aplikacije i krajnjih korisnika tako što ćete sami stvoriti certifikate. Ali, u svijetu domena i poslužiteljskog sustava stvari ne idu tako. Vašu potvrdu mora ovjeriti neka pouzdana treća strana. Ali postupak ne bi trebao biti kompliciran kad pristup internetu nije. Također nismo spremni platiti te dodatne troškove za dobivanje certifikata koji bismo mogli sami izraditi besplatno.
Ali, na kraju dana ne možemo zaobići te treće strane. Web preglednici i druge klijentske aplikacije nemaju povjerenja u certifikate koje smo izradili vlastitim rukama. Oni vjeruju onima koje su osigurale i potpisale one treće strane koje se nazivaju certifikacijskim tijelima. Imamo rješenje za naš problem. Postoji Tijelo za izdavanje certifikata (CA) pod nazivom Let's Encrypt koje pruža besplatne TLS / SSL certifikate (u postupku). Samo zatražite certifikat za svoje web mjesto pomoću različitih metoda prikazanih u ovom vodiču kako biste dobili besplatne certifikate za svoje domene i spremni ste za početak. Za razliku od ostalih, certifikati koje pruža Let's Encrypt trebaju se ažurirati svaka tri mjeseca (točnije 90 dana). Možete pokrenuti neku skriptu na poslužitelju ili VPS-u za automatsko ažuriranje certifikata nakon određenog intervala za upravljanje ovim problemom obnove.
Dobivanje potvrde Šifrirajmo
Ako svoje web mjesto hostirate na VPS-u ili na platformi gdje imate pristup ljusci, certifikat možete dobiti kod službenog Certbot ACME klijenta. Ako se nalazite u zajedničkom hostingu, tada bi vaš pružatelj usluga hostinga trebao pružiti automatiziranu podršku za potvrde Let's Encrypt. Najpopularniji pružatelji usluga zajedničkog hostinga pružaju podršku za šifriranje certifikata i automatski ih obnavljaju. Ako vaš pružatelj usluge hostinga za to ne pruža automatiziranu podršku, možete ih kontaktirati zbog toga. Također, većina pružatelja usluga hostinga ima neka mjesta na svojoj administratorskoj ploči gdje možete prenijeti datoteke certifikata. Provjerite u koju kategoriju spadate i idite u skladu s tim.
Certbot Idemo šifrirati klijenta
Certbot je najpopularniji klijent Let's Encrypt. Dostupan je na većini glavnih Linux distribucija. Evo, pokazujem kako instalirati Certbot na Ubuntu stroj. Da biste dobili najnoviju verziju certbota, dodajte spremište ppa sljedećom naredbom.
sudo add-apt-repozitorij ppa: certbot / certbot
Ažurirajte popis paketa za novu promjenu:
sudo apt-get ažuriranje
Sada instalirajte certbot zajedno s njegovim dodacima za apache i nginx:
sudo apt-get instalirati certbot python-certbot-apache python-certbot-nginx
Certbot može automatski dohvatiti i konfigurirati certifikate za Apache i Nginx. Recimo da želite preuzeti certifikat za www.primjer.com i ažurirajte Apache konfiguraciju. Samo trebate izvršiti sljedeću naredbu.
sudo certbot --apache -d www.primjer.com
Certbot će vam postaviti nekoliko potrebnih pitanja, pokrenuti izazov i preuzeti certifikat umjesto vas. Ažurirat će konfiguraciju Apache web poslužitelja i ponovno učitati Apache. Da biste provjerili rade li stvari ispravno ili ne, posjetite https: // www.primjer.com.
Obnovite certifikate
Šifrirajmo potvrde vrijede samo 90 dana. Dakle, morate ažurirati certifikate nekoliko puta godišnje. Vrlo je jednostavno ažurirati certifikate pomoću certbota. Izvedite sljedeće naredbe za ažuriranje svih certifikata na vašem poslužitelju:
sudo certbot obnoviti
Ali, to nije dobar način da to ručno ažurirate. Ako ste na upravljanom / zajedničkom hostingu i ta je platforma ugradila podršku za ažuriranje certifikata Let's Encrypt, tada ne morate ništa raditi ručno. Kada to radite na VPS-u, namjenskom poslužitelju ili nekom sustavu gdje imate pristup ljusci, možete koristiti cron za povremenu automatizaciju ovog zadatka.
Korištenje Let's Encrypt s drugim klijentima
ACME je otvoreni protokol. Također ima dobru dokumentaciju. Postoji mnogo klijenata za certifikate Let's Encrypt, a mnogi su u fazi izrade. Ako vas zanima razvoj klijenta, to možete učiniti lako na svoj način. Ako poznajete malo Pythona, možete pogledati izvorni kod certbota i napraviti prilagođeni za sebe. Na web mjestu Let's Encrypt nalazi se i popis ACME klijenata.
Posjetite ovu vezu da biste dobili popis i odlučili koje alternativno rješenje želite koristiti. Gotovo nitko od njih nema svu slast certbota. Ali, neki od njih imaju neke jedinstvene značajke koje vas mogu privući. Također, ako ste programer i imate neke jedinstvene zahtjeve, pokušajte to sami implementirati.
Ručna metoda
Neki pružatelji usluga hostinga dopuštaju samo ručno učitavanje certifikata. U tom slučaju morate ručno dohvatiti certifikate iz Let's Encrypt i prenijeti ih preko nadzorne ploče administratora hostinga (ili bilo kojeg drugog mehanizma). Da biste preuzeli datoteku certifikata, trebate upotrijebiti dodatak 'manual' za certbot i navesti parametar "certonly". Ručnom metodom morate dokazati da je domena za koju tražite certifikat uistinu vaša. Dodatak može koristiti http, dns ili tls-sni izazov. Možete koristiti -preferirani-izazovi mogućnost odabira izazova po vašoj želji. Ako više volite http zatim će zatražiti da neku datoteku s navedenim sadržajem stavite u neki direktorij vašeg web mjesta / web poslužitelja. Potvrdite svoje vlasništvo i odgovorite na druga pitanja da biste dobili certifikat.
certbot certonly --priručnik
Također možete odrediti parametre naredbenog retka za slaganje s uvjetima usluge i obnavljanje certifikata.
Kad nemate sreće
Neki pružatelji usluga hostinga ne nude način dodavanja dodatnih 's' na 'http' - mislim da ne nude način dodavanja ssl certifikata. Za neke morate ručno prenijeti datoteke certifikata. Jedan je primjer Google App Engine, a drugi OpenShift. Ali, gnjavaža je ponovni prijenos certifikata svakih 90 dana. Možda ćete ponekad zaboraviti. Opet, ako imate više od jedne ili dvije web stranice, vjerojatnije je da ćete ih zaboraviti. Također, ako vam nije ugodno s naredbenim retkom ili vam nije ugodno raditi sa poslužiteljima putem SSH školjki, opet ste u pehu.
Zaključak
Let's Encrypt olakšao je život webmastera pružajući način trenutnog dobivanja certifikata umjesto čekanja na odobrenje od CA-a nakon predaje zahtjeva. Druga je prednost što sve to dobivate besplatno. Uz svu dobrotu, sjetite se ažuriranja certifikata prije svakih 90 dana. U suprotnom, vaši korisnici mogu dobiti crveni signal i kao rezultat toga možete izgubiti dio publike / kupaca. Također možete obnoviti certifikat svakih nekoliko dana, ali to može doseći ograničenje i možda nećete obnoviti certifikat neko vrijeme. Stoga, budite oprezni pri korištenju tako sjajne usluge.
