20 Ways to Use a Virtual Machine (and other ideas for your homelab)
विषयसूची:
- आवश्यक शर्तें
- प्रमाण पत्र स्थापित करें
- मजबूत धा (डिफी-हेलमैन) समूह उत्पन्न करें
- चलो एक SSL प्रमाणपत्र एन्क्रिप्ट करें
- ऑटो-रिन्यूिंग आइए SSL प्रमाणपत्र एन्क्रिप्ट करें
- निष्कर्ष
आइए Encrypt इंटरनेट सुरक्षा अनुसंधान समूह (ISRG) द्वारा विकसित एक स्वतंत्र और खुला प्रमाण पत्र प्राधिकरण है। लेट्स एनक्रिप्ट द्वारा जारी किए गए प्रमाण पत्र आज लगभग सभी ब्राउज़रों द्वारा विश्वसनीय हैं।
इस ट्यूटोरियल में, हम बताएंगे कि डेबियन 9 पर Nginx के लिए नि: शुल्क एसएसएल प्रमाणपत्र प्राप्त करने के लिए सर्टिफिकेट टूल का उपयोग कैसे करें। हम यह भी दिखाएंगे कि SSL प्रमाणपत्र का उपयोग करने के लिए और HTTP / 2 को सक्षम करने के लिए Nginx को कैसे कॉन्फ़िगर करें।
आवश्यक शर्तें
इस ट्यूटोरियल के साथ जारी रखने से पहले निम्नलिखित आवश्यक शर्तें पूरी करें:
- Sudo विशेषाधिकार वाले उपयोगकर्ता के रूप में लॉग इन करें। अपने सार्वजनिक सर्वर आईपी की ओर इशारा करते हुए एक डोमेन नाम दें। हम इन निर्देशों का पालन करके इंस्टॉल किए गए
example.comका उपयोग करेंगे। अपने डोमेन के लिए आपके पास एक सर्वर ब्लॉक है। एक बनाने के तरीके के विवरण के लिए आप इन निर्देशों का पालन कर सकते हैं।
प्रमाण पत्र स्थापित करें
सर्टिफोट एक पूरी तरह से चित्रित और प्रयोग करने में आसान उपकरण है जो प्रमाणपत्रों का उपयोग करने के लिए SSL प्रमाणपत्रों को एन्क्रिप्ट और वेब सर्वरों को कॉन्फ़िगर करने और प्राप्त करने के लिए कार्यों को स्वचालित कर सकता है। सर्टिफिकेट पैकेज को डिफ़ॉल्ट डेबियन रिपॉजिटरी में शामिल किया गया है।
संकुल सूची को अद्यतन करें और प्रमाणपत्र पट्टिका स्थापित करें:
sudo apt update
sudo apt install certbot
मजबूत धा (डिफी-हेलमैन) समूह उत्पन्न करें
डिफिए-हेलमैन कुंजी एक्सचेंज (डीएच) एक असुरक्षित संचार चैनल पर क्रिप्टोग्राफिक कुंजियों का सुरक्षित रूप से आदान-प्रदान करने का एक तरीका है। हम सुरक्षा को मजबूत करने के लिए 2048 बिट डीएच मापदंडों का एक नया सेट बनाने जा रहे हैं:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
यदि आप चाहें, तो आप आकार को 4096 बिट तक बदल सकते हैं, लेकिन उस स्थिति में, सिस्टम एंट्रोपी के आधार पर पीढ़ी को 30 मिनट से अधिक समय लग सकता है।
चलो एक SSL प्रमाणपत्र एन्क्रिप्ट करें
हमारे डोमेन के लिए एक एसएसएल प्रमाणपत्र प्राप्त करने के लिए हम वेबरूट प्लगइन का उपयोग करने जा रहे हैं, जो कि अनुरोधित डोमेन को
${webroot-path}/.well-known/acme-challenge
निर्देशिका के सत्यापन के लिए एक अस्थायी फ़ाइल बनाकर काम करता है। चलो एन्क्रिप्ट करें सर्वर HTTP फ़ाइल को यह प्रमाणित करने के लिए अस्थायी अनुरोध करता है कि अनुरोधित डोमेन उस सर्वर पर जाता है जहां सर्टिफिकेट चलता है।
हम
/var/lib/letsencrypt
.well-known/acme-challenge
लिए सभी HTTP अनुरोधों को एक ही निर्देशिका,
/var/lib/letsencrypt
पर मैप करने जा रहे हैं।
निम्न कमांड निर्देशिका बनाएंगे और इसे Nginx सर्वर के लिए लिखने योग्य बनाएंगे।
mkdir -p /var/lib/letsencrypt/.well-known
chgrp www-data /var/lib/letsencrypt
chmod g+s /var/lib/letsencrypt
डुप्लिकेटिंग कोड से बचने के लिए निम्नलिखित दो स्निपेट बनाएं जो कि हमारे सभी Nginx सर्वर ब्लॉक फाइलों में शामिल होंगे।
अपना टेक्स्ट एडिटर खोलें और पहला स्निपेट दें,
letsencrypt.conf
:
sudo nano /etc/nginx/snippets/letsencrypt.conf
/etc/nginx/snippets/letsencrypt.conf
location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; }
दूसरा स्निपेट
ssl.conf
बनाएं जिसमें मोज़िला द्वारा सुझाए गए चिपर्स शामिल हों, OCSP स्टेपलिंग, HTTP स्ट्रक्ट ट्रांसपोर्ट सिक्योरिटी (HSTS) को सक्षम करता है, और कुछ सुरक्षा को लागू करता है HTTP ध्यान केंद्रित HTTP हेडर।
sudo nano /etc/nginx/snippets/ssl.conf
/etc/nginx/snippets/ssl.conf
ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;
एक बार पूरा हो जाने के बाद, डोमेन सर्वर ब्लॉक फाइल को खोलें और नीचे दिए गए अनुसार
letsencrypt.conf
स्निपेट को शामिल करें:
sudo nano /etc/nginx/sites-available/example.com
/etc/nginx/sites-available/example.com
server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }
sites-enabled
निर्देशिका के लिए एक प्रतीकात्मक लिंक बनाकर नया सर्वर ब्लॉक सक्षम करें:
sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/
परिवर्तनों को प्रभावी करने के लिए Nginx सेवा को पुनरारंभ करें:
sudo systemctl restart nginx
अब आप वेबरूट प्लगइन के साथ सर्टिफिकेट चला सकते हैं और जारी करके एसएसएल प्रमाणपत्र फ़ाइलें प्राप्त कर सकते हैं:
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
यदि SSL प्रमाणपत्र सफलतापूर्वक प्राप्त होता है, तो निम्न संदेश आपके टर्मिनल पर मुद्रित किया जाएगा:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-07-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:
इसके बाद, डोमेन सर्वर ब्लॉक को निम्नानुसार संपादित करें:
sudo nano /etc/nginx/sites-available/example.com
/etc/nginx/sites-available/example.com
server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }
ऊपर कॉन्फ़िगरेशन के साथ हम HTTPS को मजबूर कर रहे हैं और www से गैर-www संस्करण पर पुनर्निर्देशित कर रहे हैं।
परिवर्तनों को प्रभावी करने के लिए Nginx सेवा को पुनः लोड करें:
ऑटो-रिन्यूिंग आइए SSL प्रमाणपत्र एन्क्रिप्ट करें
आइए एन्क्रिप्ट करें के प्रमाण पत्र 90 दिनों के लिए वैध हैं। समाप्त होने से पहले प्रमाणपत्रों को स्वचालित रूप से नवीनीकृत करने के लिए, सर्टिफिकेट पैकेज एक क्रोनजोब बनाता है जो दिन में दो बार चलता है और इसकी समाप्ति से 30 दिन पहले स्वचालित रूप से किसी भी प्रमाण पत्र को नवीनीकृत करता है।
चूंकि हम सर्टिफिकेट वेबरूट प्लग-इन का उपयोग कर रहे हैं, एक बार प्रमाणपत्र नवीनीकृत हो जाने के बाद हमें नगनेक्स सेवा को फिर से लोड करना होगा। इस तरह से दिखता है -
/etc/cron.d/certbot
फ़ाइल में
--renew-hook "systemctl reload nginx"
जोड़ें।
sudo nano /etc/cron.d/certbot
/etc/cron.d/certbot
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"
इस आदेश को चलाकर, स्वचालित नवीनीकरण प्रक्रिया का परीक्षण करें:
sudo certbot renew --dry-run
यदि कोई त्रुटि नहीं है, तो इसका मतलब है कि नवीनीकरण प्रक्रिया सफल थी।
निष्कर्ष
एसएसएल सर्टिफिकेट होना आजकल जरूरी है। यह आपकी वेबसाइट को सुरक्षित करता है, SERP रैंकिंग स्थिति को बढ़ाता है, और आपको अपने वेब सर्वर पर HTTP / 2 को सक्षम करने की अनुमति देता है।
इस ट्यूटोरियल में, आपने अपने डोमेन के लिए एसएसएल सर्टिफिकेट जनरेट करने के लिए लेट्स एनक्रिप्ट क्लाइंट का उपयोग किया है। आपने डुप्लिकेट कोड से बचने के लिए Nginx स्निपेट भी बनाए हैं और सर्टिफिकेट का उपयोग करने के लिए Nginx को कॉन्फ़िगर किया है। ट्यूटोरियल के अंत में आपने स्वत: प्रमाणपत्र नवीनीकरण के लिए क्रोनजोब स्थापित किया है।
nginx डेबियन चलो सर्बोट ssl एन्क्रिप्ट करते हैंयह पोस्ट डेबियन 9 सीरीज़ पर हाउ टू इंस्टॉल LEMP स्टैक का एक हिस्सा है।
इस श्रृंखला में अन्य पोस्ट:
• उबंटू 18.04 को मारबीडीबी कैसे स्थापित करें • डेबियन 9 पर नेग्नेक्स कैसे स्थापित करें • डेबियन 9 पर पीएचपी कैसे स्थापित करें • डेबियन 9 पर नेग्नेक्स सर्वर ब्लॉक कैसे स्थापित करेंबिट-लॉकर जाने के लिए: सक्षम करें, उपयोग करें, पासवर्ड सुरक्षित करें, यूएसबी ड्राइव एन्क्रिप्ट करें
विंडोज 7 में जाने के लिए बिटलॉकर को सक्षम और उपयोग करें। 8. यह यूएसबी स्टोरेज उपकरणों को बिट-लॉकर डेटा सुरक्षा प्रदान करता है, जिससे उन्हें पासवर्ड से प्रतिबंधित किया जा सकता है।
एनगेंक्स को सेंटोस 7 पर एन्क्रिप्ट करने के साथ सुरक्षित करें
इस ट्यूटोरियल में, हम सेंटिनल 7 पर सर्टिफिकेट टूल का उपयोग करके अपने एनगिनक्स को सुरक्षित करने के तरीके के बारे में कदम से कदम निर्देश प्रदान करेंगे।
सुरक्षित अपाचे के साथ चलो debian 9 पर एन्क्रिप्ट करें
यह ट्यूटोरियल आपको मुफ्त में प्राप्त करने की प्रक्रिया के माध्यम से मार्गदर्शन करेगा। आइए हम डेबियन 9 पर सर्टिफिकेट टूल का उपयोग करके एन्क्रिप्ट करें। हम यह भी दिखाएंगे कि नए एसएसएल प्रमाणपत्र का उपयोग करने के लिए अपाचे को कैसे कॉन्फ़िगर करें और HTTP / 2 को सक्षम करें।