Cum să securizați Nginx cu Let’s Encrypt pe Rocky Linux 9
Introducere
Securizarea serverelor web este esențială pentru a proteja datele sensibile și pentru a asigura o experiență online sigură pentru utilizatori. Nginx este un server web popular cunoscut pentru performanța, stabilitatea și versatilitatea sa. Let’s Encrypt este o autoritate de certificare (CA) gratuită care emite certificate SSL/TLS pentru a cripta traficul web și a proteja utilizatorii de atacuri de tip man-in-the-middle. În acest tutorial, vă vom ghida prin pașii necesari pentru a securiza Nginx cu Let’s Encrypt pe Rocky Linux 9.
Cuprins
Instalarea Nginx
Primul pas este să instalați Nginx pe serverul dvs. Rocky Linux 9. Folosiți următoarea comandă:
bash
sudo dnf install nginx
Generarea cheii private și a cererii de semnare a certificatului (CSR)
Odată ce Nginx este instalat, trebuie să generați o cheie privată și o cerere de semnare a certificatului (CSR) pentru domeniul dvs. Acest lucru îi va spune autorității de certificare ce domenii doriți să securizați și ce tip de certificat doriți.
Puteți genera cheia privată și CSR folosind următoarele comenzi:
bash
sudo openssl genrsa -out domain.key 2048
sudo openssl req -new -key domain.key -out domain.csr
În timpul procesului de generare CSR, vi se va solicita să furnizați informații despre domeniul dvs., cum ar fi numele comun, organizația și locația. Asigurați-vă că furnizați informații corecte, deoarece acestea vor fi incluse în certificat.
Obținerea certificatului SSL/TLS de la Let’s Encrypt
Următorul pas este să obțineți un certificat SSL/TLS gratuit de la Let’s Encrypt. Acest lucru se poate face prin intermediul clientului Certbot. Instalați Certbot pe Rocky Linux 9 folosind următoarea comandă:
bash
sudo dnf install certbot
Odată instalat Certbot, puteți obține un certificat pentru domeniul dvs. folosind următoarea comandă:
bash
sudo certbot certonly --nginx --agree-tos --domains nume-domeniu.ro -m adresa-email
Înlocuiți „nume-domeniu.ro” cu numele domeniului dvs. și „adresa-email” cu adresa dvs. de e-mail.
Comanda anterioară va genera un certificat SSL/TLS pentru domeniul dvs. și îl va instala automat în configurația Nginx.
Activarea HTTPS
Acum că aveți un certificat SSL/TLS, trebuie să activați HTTPS pe serverul dvs. Nginx. Deschideți fișierul de configurare Nginx la:
bash
sudo nano /etc/nginx/nginx.conf
Adăugați următoarele linii la fișier:
server {
listen 80;
server_name nume-domeniu.ro;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name nume-domeniu.ro;
root /usr/share/nginx/html;
index index.html;
ssl_certificate /etc/letsencrypt/live/nume-domeniu.ro/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/nume-domeniu.ro/privkey.pem;
}
Înlocuiți „nume-domeniu.ro” cu numele domeniului dvs.
Salvați și închideți fișierul de configurare.
Testarea certificatului SSL/TLS
După activarea HTTPS, puteți testa dacă certificatul SSL/TLS funcționează corect. Există mai multe instrumente online care pot fi folosite pentru acest lucru, cum ar fi:
Introduceți numele domeniului dvs. în instrumentul și rulați testul. Testul ar trebui să arate că certificatul dvs. SSL/TLS este valid și funcționează corect.
Concluzie
Folosind pașii prezentați în acest tutorial, ați reușit să securizați serverul dvs. Nginx cu Let’s Encrypt pe Rocky Linux 9. Acest lucru va cripta traficul web, va proteja datele sensibile și va asigura o experiență online sigură pentru utilizatorii dvs. Amintiți-vă să reînnoiți certificatul SSL/TLS în mod regulat pentru a vă asigura că acesta rămâne valabil și să monitorizați serverul dvs. pentru orice vulnerabilitate de securitate.
FAQs
Î: De ce este important să securizez Nginx?
R: Securizarea Nginx protejează datele sensibile, previne atacurile cibernetice și asigură o experiență online sigură pentru utilizatori.
Î: Ce este Let’s Encrypt?
R: Let’s Encrypt este o autoritate de certificare (CA) care emite certificate SSL/TLS gratuite pentru a cripta traficul web.
Î: Cum îmi reînnoiesc certificatul SSL/TLS?
R: Puteți reînnoi certificatul SSL/TLS folosind Certbot sau manual prin generarea unei noi chei private și CSR.
Î: Ce se întâmplă dacă pierd cheia privată?
R: Dacă pierdeți cheia privată, va trebui să generați un nou certificat SSL/TLS.
Î: Pot folosi Nginx cu un certificat SSL/TLS autosemnat?
R: Deși este posibil să utilizați Nginx cu un certificat autosemnat, nu este recomandat, deoarece nu este la fel de sigur ca un certificat emis de o CA de încredere.
Î: Cum pot monitoriza serverul meu Nginx pentru vulnerabilități de securitate?
R: Există mai multe instrumente și servicii disponibile pentru monitorizarea serverelor Nginx, cum ar fi Nginx Amplify și Nginx Plus.
Î: Care sunt cele mai bune practici de securitate pentru Nginx?
R: Cele mai bune practici de securitate pentru Nginx includ activarea HTTPS, limitarea accesului, actualizarea software-ului și monitorizarea serverului.
Î: Cum pot dezactiva HTTPS pe serverul meu Nginx?
R: Pentru a dezactiva HTTPS, trebuie să eliminați liniile de configurare HTTPS din fișierul de configurare Nginx și să reporniți serverul.