安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > WEB安全 > 如何保护Ubuntu 16.04上的NGINX Web服务器

如何保护Ubuntu 16.04上的NGINX Web服务器

时间:2017-08-04来源:未知 作者:安云网点击:
什么是 Let’s Encrypt Let’s Encrypt 是互联网安全研究组织 (ISRG) 提供的免费证书认证机构。它提供了一种轻松自动的方式来获取免费的 SSL/TLS 证书 - 这是在 Web 服务器上启用加密和 HTTPS 流量的必要步骤。获取和安装证书的大多数步骤

什么是 Let’s Encrypt

//copyright AnYun.ORG

Let’s Encrypt 是互联网安全研究组织 (ISRG) 提供的免费证书认证机构。它提供了一种轻松自动的方式来获取免费的 SSL/TLS 证书 - 这是在 Web 服务器上启用加密和 HTTPS 流量的必要步骤。获取和安装证书的大多数步骤可以通过使用名为 Certbot 的工具进行自动化。 //安云网咨询系统

特别地,该软件可在可以使用 shell 的服务器上使用:换句话说,它可以通过 SSH 连接使用。

//ANYUN.ORG

在本教程中,我们将看到如何使用 certbot 获取免费的 SSL 证书,并在 Ubuntu 16.04 服务器上使用 Nginx。

//本文来自安云网

安装 Certbot //内容来自AnYun.ORG

第一步是安装 certbot,该软件客户端可以几乎自动化所有的过程。 Certbot 开发人员维护自己的 Ubuntu 仓库,其中包含比 Ubuntu 仓库中存在的软件更新的软件。

//安云网,anyun.org

添加 Certbot 仓库: //copyright AnYun.ORG

# add-apt-repository ppa:certbot/certbot

//内容来自AnYun.ORG

接下来,更新 APT 源列表:

//安云网咨询系统

# apt-get update //安云网咨询系统

此时,可以使用以下 apt 命令安装 certbot:

//内容来自AnYun.ORG

# apt-get install certbot

//copyright AnYun.ORG

Certbot 现已安装并可使用。

//内容来自安云网

获得证书 //本文来自安云网

有各种 Certbot 插件可用于获取 SSL 证书。这些插件有助于获取证书,而证书的安装和 Web 服务器配置都留给管理员。

//内容来自AnYun.ORG

我们使用一个名为 Webroot 的插件来获取 SSL 证书。

//安云网,anyun.org

在有能力修改正在提供的内容的情况下,建议使用此插件。在证书颁发过程中不需要停止 Web 服务器。

//安云网,anyun.org

配置 NGINX

//本文来自安云网

Webroot 会在 Web 根目录下的 .well-known 目录中为每个域创建一个临时文件。在我们的例子中,Web 根目录是 /var/www/html。确保该目录在 Let’s Encrypt 验证时可访问。为此,请编辑 NGINX 配置。使用文本编辑器打开 /etc/nginx/sites-available/default:

//内容来自安云网

# $EDITOR /etc/nginx/sites-available/default //copyright AnYun.ORG

在该文件中,在 server 块内,输入以下内容:

//安云网,anyun.org

location ~ /.well-known { allow all; } //安云网,anyun.org

保存,退出并检查 NGINX 配置: //copyright AnYun.ORG

# nginx -t //copyright AnYun.ORG

没有错误的话应该会显示如下:

//copyright AnYun.ORG

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful //ANYUN.ORG

重启 NGINX: //ANYUN.ORG

# systemctl restart nginx //本文来自安云网

使用 Certbot 获取证书

//ANYUN.ORG

下一步是使用 Certbot 的 Webroot 插件获取新证书。在本教程中,我们将保护示例域 www.example.com。需要指定应由证书保护的每个域。执行以下命令: //安云网咨询系统

# certbot certonly --webroot --webroot-path=/var/www/html -d www.example.com

//安云网咨询系统

在此过程中,Cerbot 将询问有效的电子邮件地址,用于进行通知。还会要求与 EFF 分享,但这不是必需的。在同意服务条款之后,它将获得一个新的证书。

//安云网,anyun.org

最后,目录 /etc/letsencrypt/archive 将包含以下文件:

//安云网,anyun.org

chain.pem:Let’s Encrypt 加密链证书。 cert.pem:域名证书。 fullchain.pem:cert.pem和 chain.pem 的组合。 privkey.pem:证书的私钥。 //安云网咨询系统

Certbot 还将创建符号链接到 /etc/letsencrypt/live/domain_name/ 中的最新证书文件。这是我们将在服务器配置中使用的路径。

//安云网咨询系统

在 NGINX 上配置 SSL/TLS //安云网,anyun.org

下一步是服务器配置。在 /etc/nginx/snippets/ 中创建一个新的代码段。 snippet 是指一段配置,可以包含在虚拟主机配置文件中。如下创建一个新的文件:

//ANYUN.ORG

# $EDITOR /etc/nginx/snippets/secure-example.conf //安云网,anyun.org

该文件的内容将指定证书和密钥位置。粘贴以下内容:

//内容来自AnYun.ORG

ssl_certificate /etc/letsencrypt/live/domain_name/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/domain_name/privkey.pem;

//安云网咨询系统

在我们的例子中,domain_name 是 example.com。 //安云网,anyun.org

编辑 NGINX 配置

//安云网咨询系统

编辑默认虚拟主机文件:

//copyright AnYun.ORG

# $EDITOR /etc/nginx/sites-available/default //ANYUN.ORG

如下: //安云网咨询系统

server { listen 80 default_server; listen [::]:80 default_server; server_name www.example.com return 301 https://$server_name$request_uri; # SSL configuration # listen 443 ssl default_server; listen [::]:443 ssl default_server; include snippets/secure-example.conf # # Note: You should disable gzip for SSL traffic. # See: https://bugs.debian.org/773332 # ... //安云网咨询系统

这将启用 NGINX 加密功能。 //安云网,anyun.org

保存、退出并检查 NGINX 配置文件: //安云网,anyun.org

# nginx -t nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful

//安云网,anyun.org

重启 NGINX:

//copyright AnYun.ORG

# systemctl restart nginx //copyright AnYun.ORG

总结

//ANYUN.ORG

按照上述步骤,此时我们已经拥有了一个安全的基于 NGINX 的 Web 服务器,它由 Certbot 和 Let’s Encrypt 提供加密。这只是一个基本配置,当然你可以使用许多 NGINX 配置参数来个性化所有东西,但这取决于特定的 Web 服务器要求。

//本文来自安云网

FROM https://www.baidu.com/home/news/data/newspage?nid=6531127202705663241&n_type=0&p_from=1&dtype=-1

//内容来自AnYun.ORG

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容