Introducere
Asigurarea securității serverelor web este crucială pentru protejarea informațiilor confidențiale și pentru oferirea unei experiențe online sigure utilizatorilor. Nginx, un server web de top, se distinge prin performanță, fiabilitate și adaptabilitate. Let’s Encrypt, o autoritate de certificare gratuită, furnizează certificate SSL/TLS, esențiale pentru criptarea traficului web și protecția împotriva atacurilor de tip „man-in-the-middle”. Acest ghid detaliază etapele necesare pentru a securiza Nginx cu Let’s Encrypt pe Rocky Linux 9.
Instalarea Nginx
Primul pas constă în instalarea serverului web Nginx pe sistemul Rocky Linux 9. Utilizați următoarea comandă:
sudo dnf install nginxCrearea cheii private și a cererii de semnare a certificatului (CSR)
Odată ce Nginx este instalat, este necesară generarea unei chei private și a unei cereri de semnare a certificatului (CSR) pentru domeniul dumneavoastră. Acesta informează autoritatea de certificare despre domeniile pe care doriți să le securizați și tipul de certificat solicitat.
Puteți crea cheia privată și CSR prin următoarele comenzi:
sudo openssl genrsa -out domain.key 2048
sudo openssl req -new -key domain.key -out domain.csrÎn timpul procesului de creare a CSR, veți fi solicitat să oferiți informații despre domeniul dvs., cum ar fi numele comun, organizația și locația. Asigurați-vă că datele furnizate sunt exacte, deoarece vor fi incluse în certificat.
Obținerea certificatului SSL/TLS de la Let’s Encrypt
Următoarea etapă este obținerea unui certificat SSL/TLS gratuit de la Let’s Encrypt, folosind clientul Certbot. Instalați Certbot pe Rocky Linux 9 cu comanda:
sudo dnf install certbotDupă instalarea Certbot, puteți solicita un certificat pentru domeniul dvs. prin comanda:
sudo certbot certonly --nginx --agree-tos --domains nume-domeniu.ro -m adresa-emailÎnlocuiți „nume-domeniu.ro” cu numele domeniului dvs. real și „adresa-email” cu adresa dvs. de email validă.
Această comandă generează un certificat SSL/TLS pentru domeniul dvs. și îl instalează automat în configurația Nginx.
Activarea HTTPS
Odată obținut certificatul SSL/TLS, este necesar să activați HTTPS pe serverul Nginx. Deschideți fișierul de configurație Nginx folosind:
sudo nano /etc/nginx/nginx.confAdăugați următoarele linii în fișierul de configurare:
server {
listen 80;
server_name nume-domeniu.ro;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name nume-domeniu.ro;
root /usr/share/nginx/html;
index index.html;
ssl_certificate /etc/letsencrypt/live/nume-domeniu.ro/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/nume-domeniu.ro/privkey.pem;
}
Înlocuiți „nume-domeniu.ro” cu numele domeniului dvs.
Salvați modificările și închideți fișierul de configurare.
Verificarea certificatului SSL/TLS
După activarea HTTPS, puteți verifica dacă certificatul SSL/TLS funcționează corect, folosind instrumente online dedicate, precum:
Introduceți numele domeniului dumneavoastră în instrument și executați testul. Rezultatul ar trebui să confirme că certificatul SSL/TLS este valid și funcționează corespunzător.
Concluzii
Urmând pașii descriși în acest tutorial, ați securizat cu succes serverul Nginx cu Let’s Encrypt pe Rocky Linux 9. Aceasta va cripta traficul web, va proteja datele confidențiale și va asigura o experiență online sigură pentru utilizatorii dvs. Nu uitați să reînnoiți periodic certificatul SSL/TLS pentru a menține securitatea și să monitorizați serverul pentru a identifica eventuale vulnerabilități de securitate.
Întrebări frecvente (FAQs)
| Î: De ce este importantă securizarea Nginx? | R: Securizarea Nginx este esențială pentru protejarea datelor sensibile, prevenirea atacurilor cibernetice și oferirea unei experiențe online sigure utilizatorilor. |
| Î: Ce este Let’s Encrypt? | R: Let’s Encrypt este o autoritate de certificare (CA) care furnizează certificate SSL/TLS gratuite pentru criptarea traficului web. |
| Î: Cum reînnoiesc certificatul SSL/TLS? | R: Puteți reînnoi certificatul SSL/TLS cu Certbot sau manual, generând o nouă cheie privată și CSR. |
| Î: Ce se întâmplă dacă pierd cheia privată? | R: Dacă pierdeți cheia privată, va trebui să generați un nou certificat SSL/TLS. |
| Î: Pot folosi Nginx cu un certificat SSL/TLS autosemnat? | R: Deși este posibil să utilizați Nginx cu un certificat autosemnat, nu este recomandat, deoarece este mai puțin sigur decât un certificat emis de o autoritate de certificare de încredere. |
| Î: Cum pot monitoriza serverul Nginx pentru vulnerabilități de securitate? | R: Există numeroase instrumente și servicii disponibile pentru monitorizarea serverelor Nginx, precum Nginx Amplify și Nginx Plus. |
| Î: Care sunt cele mai bune practici de securitate pentru Nginx? | R: Cele mai bune practici de securitate pentru Nginx includ activarea HTTPS, limitarea accesului, menținerea software-ului actualizat și monitorizarea continuă a serverului. |
| Î: Cum dezactivez HTTPS pe serverul Nginx? | R: Pentru a dezactiva HTTPS, eliminați liniile de configurare HTTPS din fișierul de configurare Nginx și reporniți serverul. |