Ubuntu 18.04 पर एनक्रिप्ट करने के साथ नंगेक्स सुरक्षित करें

आइए Encrypt इंटरनेट सुरक्षा अनुसंधान समूह (ISRG) द्वारा विकसित एक स्वतंत्र और खुला प्रमाण पत्र प्राधिकरण है। लेट्स एनक्रिप्ट द्वारा जारी किए गए प्रमाण पत्र आज लगभग सभी ब्राउज़रों द्वारा विश्वसनीय हैं।

इस ट्यूटोरियल में, हम उबंटू 18.04 पर सर्टिफिकेट टूल का उपयोग करके अपने एनगिनक्स को सुरक्षित करने के तरीके के बारे में कदम से कदम निर्देश प्रदान करेंगे।

आवश्यक शर्तें

सुनिश्चित करें कि आप इस ट्यूटोरियल को जारी रखने से पहले निम्नलिखित आवश्यक शर्तें पूरी कर चुके हैं:

• आपके पास अपने सार्वजनिक सर्वर आईपी की ओर इशारा करते हुए एक डोमेन नाम है। इस ट्यूटोरियल में हम example.com का उपयोग करेंगे। आपके पास इन निर्देशों का पालन करके Nginx स्थापित है। आपके पास आपके डोमेन के लिए एक सर्वर ब्लॉक है। एक बनाने के तरीके के विवरण के लिए आप इन निर्देशों का पालन कर सकते हैं।

प्रमाण पत्र स्थापित करें

सर्टिफोट एक पूरी तरह से चित्रित और प्रयोग करने में आसान उपकरण है जो प्रमाणपत्रों का उपयोग करने के लिए SSL प्रमाणपत्रों को एन्क्रिप्ट और वेब सर्वरों को कॉन्फ़िगर करने और प्राप्त करने के लिए कार्यों को स्वचालित कर सकता है। सर्टिफिकेट पैकेज को डिफ़ॉल्ट उबंटू रिपॉजिटरी में शामिल किया गया है।

संकुल सूची को अद्यतन करें और प्रमाणपत्र पट्टिका स्थापित करें:

sudo apt update sudo apt install certbot

मजबूत धा (डिफी-हेलमैन) समूह उत्पन्न करें

डिफिए-हेलमैन कुंजी एक्सचेंज (डीएच) एक असुरक्षित संचार चैनल पर क्रिप्टोग्राफिक कुंजियों का सुरक्षित रूप से आदान-प्रदान करने का एक तरीका है। हम सुरक्षा को मजबूत करने के लिए 2048 बिट डीएच मापदंडों का एक नया सेट बनाने जा रहे हैं:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 यदि आप चाहें, तो आप आकार को 4096 बिट तक बदल सकते हैं, लेकिन उस स्थिति में, सिस्टम एंट्रोपी के आधार पर पीढ़ी को 30 मिनट से अधिक समय लग सकता है।

चलो एक SSL प्रमाणपत्र एन्क्रिप्ट करें

हमारे डोमेन के लिए एक एसएसएल प्रमाणपत्र प्राप्त करने के लिए हम वेबरूट प्लगइन का उपयोग करने जा रहे हैं, जो कि अनुरोधित डोमेन को ${webroot-path}/.well-known/acme-challenge निर्देशिका के सत्यापन के लिए एक अस्थायी फ़ाइल बनाकर काम करता है। चलो एन्क्रिप्ट करें सर्वर HTTP फ़ाइल को यह प्रमाणित करने के लिए अस्थायी अनुरोध करता है कि अनुरोधित डोमेन उस सर्वर पर जाता है जहां सर्टिफिकेट चलता है।

इसे और सरल बनाने के लिए हम /var/lib/letsencrypt .well-known/acme-challenge लिए सभी HTTP अनुरोधों को एक ही निर्देशिका, /var/lib/letsencrypt ।

निम्न कमांड निर्देशिका बनाएंगे और इसे Nginx सर्वर के लिए लिखने योग्य बनाएंगे।

mkdir -p /var/lib/letsencrypt/.well-known chgrp www-data /var/lib/letsencrypt chmod g+s /var/lib/letsencrypt

डुप्लिकेटिंग कोड से बचने के लिए निम्नलिखित दो स्निपेट्स बनाएं, जिन्हें हम अपने सभी नगीनेक्स सर्वर ब्लॉक फाइलों में शामिल करने जा रहे हैं।

अपना टेक्स्ट एडिटर खोलें और पहला स्निपेट दें, letsencrypt.conf :

sudo nano /etc/nginx/snippets/letsencrypt.conf /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; }

दूसरा स्निपेट ssl.conf बनाएं जिसमें मोजिला द्वारा सुझाए गए चिपर्स शामिल हों, OCSP स्टेपलिंग, HTTP स्ट्रक्ट ट्रांसपोर्ट सिक्योरिटी (HSTS) को सक्षम करता है और कुछ सुरक्षा को लागू करता है HTTP केंद्रित HTTP हेडर।

sudo nano /etc/nginx/snippets/ssl.conf /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;

एक बार स्निपेट letsencrypt.conf , डोमेन सर्वर ब्लॉक को खोलें और नीचे दिखाए अनुसार जैसे कि letsencrypt.conf स्निपेट शामिल करें:

sudo nano /etc/nginx/sites-available/example.com /etc/nginx/sites-available/example.com

server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }

नई सर्वर ब्लॉक फ़ाइल को सक्षम करने के लिए हमें फ़ाइल से sites-enabled निर्देशिका में एक प्रतीकात्मक लिंक बनाने की आवश्यकता है, जिसे स्टार्टअप के दौरान Nginx द्वारा पढ़ा जाता है:

sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/

परिवर्तनों को प्रभावी करने के लिए Nginx सेवा को पुनरारंभ करें:

sudo systemctl restart nginx

अब आप वेबरूट प्लगइन के साथ सर्टिफिकेट चला सकते हैं और जारी करके एसएसएल प्रमाणपत्र फ़ाइलें प्राप्त कर सकते हैं:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

यदि एसएसएल प्रमाणपत्र सफलतापूर्वक प्राप्त हो जाता है, तो सर्टिफेट निम्नलिखित संदेश को प्रिंट करेगा:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-07-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

अब जब आपके पास प्रमाणपत्र फ़ाइलें हैं, तो आप अपने डोमेन सर्वर ब्लॉक को निम्नानुसार संपादित कर सकते हैं:

sudo nano /etc/nginx/sites-available/example.com /etc/nginx/sites-available/example.com

server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }

उपरोक्त विन्यास के साथ हम HTTPS को मजबूर कर रहे हैं और www से गैर www संस्करण में पुनर्निर्देशित कर रहे हैं।

परिवर्तन करने के लिए Nginx सेवा को पुनः लोड करें:

sudo systemctl reload nginx

ऑटो-रिन्यूिंग आइए SSL प्रमाणपत्र एन्क्रिप्ट करें

आइए एन्क्रिप्ट करें के प्रमाण पत्र 90 दिनों के लिए वैध हैं। समाप्त होने से पहले प्रमाण पत्र को स्वचालित रूप से नवीनीकृत करने के लिए, सर्टिफिकेट पैकेज एक क्रोनजोब बनाता है जो दिन में दो बार चलता है और इसकी समाप्ति से 30 दिन पहले स्वचालित रूप से किसी भी प्रमाण पत्र को नवीनीकृत करेगा।

चूंकि हम सर्टिफिकेट वेबरूट प्लग-इन का उपयोग कर रहे हैं, एक बार प्रमाणपत्र नवीनीकृत हो जाने के बाद हमें नगनेक्स सेवा को फिर से लोड करना होगा। इस तरह से दिखता है - /etc/cron.d/certbot फ़ाइल में --renew-hook "systemctl reload nginx" जोड़ें।

sudo nano /etc/cron.d/certbot /etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"

नवीनीकरण प्रक्रिया का परीक्षण करने के लिए, आप सर्टिफिकेट का उपयोग कर सकते हैं --dry-run स्विच:

sudo certbot renew --dry-run

यदि कोई त्रुटि नहीं है, तो इसका मतलब है कि नवीनीकरण प्रक्रिया सफल थी।

निष्कर्ष

इस ट्यूटोरियल में, आपने अपने डोमेन के लिए एसएसएल प्रमाणपत्र डाउनलोड करने के लिए लेट्स एनक्रिप्ट क्लाइंट का उपयोग किया है। आपने डुप्लिकेट कोड से बचने के लिए Nginx स्निपेट भी बनाए हैं और सर्टिफिकेट का उपयोग करने के लिए Nginx को कॉन्फ़िगर किया है। ट्यूटोरियल के अंत में आपने स्वत: प्रमाणपत्र नवीनीकरण के लिए क्रोनजोब स्थापित किया है।

nginx ubuntu आइए एन्क्रिप्टेड सर्बोट ssl

यह पोस्ट हाउ-टू-इंस्टॉल-लेंप-स्टैक-ऑन-उबंटु -18-04 श्रृंखला का एक हिस्सा है।

इस श्रृंखला में अन्य पोस्ट:

• Ubuntu 18.04 पर Nginx को कैसे स्थापित करें • Ubuntu पर 18.04 पर Nginx सर्वर ब्लॉक कैसे सेट करें