يجب أن يحتوي نطاق موقع الويب على تشفير SSL / TLS إذا كان ينوي الحصول على زوار. توفر شهادات SSL / TLS اتصالًا قويًا بين خوادم الويب والمتصفحات. في وقت سابق ، لم يكن الأمن مصدر قلق كبير. كان من الشائع نسبيًا أن تقوم مواقع الويب بتسليم البيانات عبر بروتوكول HTTP المعمول به. في الوقت الحاضر ، يجب تأمين القناة المستخدمة للتواصل مع الخادم ، لأن الجرائم الإلكترونية بما في ذلك سرقة الهوية والاحتيال على بطاقات الائتمان والتجسس آخذة في الازدياد.
يقدم المرجع المصدق (CA) المسمى Let’s Encrypt شهادات SSL / TLS مجانية ، مما يتيح تشفير HTTPS على خوادم الويب. تم التحقق من النطاق ، لذا فإن عنوان IP المخصص ليس ضروريًا. يُنصح عادةً بتمكين شهادة SSL على موقع الويب الخاص بك لتحسين تصنيف SEO الخاص بك ، خاصة على Google.
أعمال Let’s Encrypt
لنفترض أن Encrypt يؤكد ملكية النطاق قبل تقديم الشهادة. عندما يتم التحقق من صحة الرمز المميز ، يقوم خادم التحقق من صحة Let’s Encrypt بإجراء طلب HTTP للحصول على الملف ويضمن أن سجل DNS للنطاق يشير إلى الخادم الذي يستضيف عميل Let’s Encrypt.
متطلبات
يجب عليك القيام بما يلي قبل استخدام Let’s Encrypt:
باتباع الإرشادات الواردة في هذا الإعداد الأول للخادم لبرنامج Ubuntu 20.04 التعليمي ، بمجرد إعداد خادم Ubuntu 20.04 ، يكون مكتملًا بجدار حماية ومستخدم غير جذر له وصول إلى sudo.
اسم المجال مع التسجيل. خلال هذه المقالة ، سيتم استخدام myfirstproject1.com. يمكنك شراء المجال.
تم تكوين سجلي DNS التاليين على الخادم الخاص بك.
- سجل 'myproject1' مع myfirstproject1.com يشير إلى عنوان IP العام لخادمك
- سجل 'myproject2' مع myfirstproject2.com يشير إلى عنوان IP العام لخادمك.
يجب تثبيت Nginx ، ويجب عليك التأكد من أن المجال الخاص بك به كتلة خادم.
خطوات تثبيت Let’s Encrypt on Digital Ocean
الخطوات الرئيسية لتثبيت Let’s Encrypt على المحيط الرقمي هي:
تثبيت سيرتبوت
يعد برنامج Certbot هو الحاجة الأساسية لاستخدام Let’s Encrypt للحصول على شهادة SSL. لتثبيت Certbot ومكوِّن Nginx الإضافي ، نستخدم الأمر التالي:
تدمج معظم شركات الاستضافة المشتركة وبعض شركات الاستضافة السحابية Certbot أو مكونًا إضافيًا مشابهًا في لوحة استضافة مواقع الويب التي تمكنك من شراء وتجديد وإدارة شهادات SSL / TLS من خلال الحصول على بعض النقرات.
في حين أن 'python3-certbot-nginx' حزمة تستخدم من أجل:
أظهر على الفور لـ Let’s Encrypt CA أنك مسؤول عن موقع الويب.
- احتفظ بسجلات عن وقت ترقية ترخيصك ووقت انتهاء صلاحيته.
- احصل على شهادة موثوق بها من المتصفح وقم بتثبيتها على أي خادم ويب.
- مساعدتك في إلغاء الشهادة إذا دعت الحاجة.
Certbot جاهز الآن للاستخدام ، ولكن يجب تأكيد بعض إعداداته قبل أن يتمكن من إعداد SSL لـ Nginx تلقائيًا.
التحقق من تكوين Nginx
يجب أن يكون Certbot قادرًا على تكوين SSL تلقائيًا. يجب أن يكون قادرًا على تحديد موقع كتلة الخادم المناسبة في تكوين Nginx الخاص بك. بتعبير أدق ، فإنه يحقق ذلك من خلال البحث عن توجيه اسم خادم يتوافق مع المجال الذي تطلب شهادة له.
يجب أن يحتوي بالفعل على توجيه اسم الخادم تم تكوينه بشكل صحيح في كتلة خادم للمجال ، والذي سنستخدمه في '/etc/nginx/sites-available/myfirstproject1.com'.
افتح ملف تكوين المجال في nano أو محرر نصوص آخر للتحقق من أن الملف سيتم فتحه إذا كان موجودًا ، وأغلق المحرر وانتقل إلى الإجراء التالي. سيبدو اسم الخادم مثل 'server_name domain_name www.domain_name.com '، كما هو موضح في المقتطف أدناه.
إذا لم يتغير ، فإنه يتوافق. تحقق من صياغة تعديلات التكوين الخاصة بك بعد حفظ الملف وإغلاق المحرر الخاص بك. استخدم التعليمات التالية للتحقق من:
$ سودو nginx –tأعد تحميل Nginx لتحميل التكوين المحدث بعد التأكد من صحة صيغة ملف التكوين:
$ سودو إعادة تحميل systemctl nginxالآن ، يمكن لـ Certbot تحديد موقع كتلة الخادم الصحيحة تلقائيًا وتحديثها. يتولى نظام systemctl فحص وإدارة نظام systemd وإدارة الخدمة. وهي تعمل كبديل لبرنامج System V init الخفي وتتكون من العديد من مكتبات إدارة النظام والأدوات والشياطين.
تمكين HTTPS عبر جدار الحماية
تنصحك التوصيات المطلوبة بتمكين جدار الحماية UFW. يجب عليك تغيير الإعدادات للسماح بمرور HTTPS.
يتيح لنا خيار حالة UFW عرض أحدث حالة لـ UFW. تعرض حالة UFW قائمة باللوائح إذا تم تنشيط UFW. بالطبع ، إذا كانت لديك بيانات الاعتماد اللازمة ، فيمكنك فقط تشغيل الأمر كمستخدم أساسي أو عن طريق إضافة sudo.
قم بتمكين ملف تعريف Nginx الكامل وقم بإزالة السماح غير الضروري لملف تعريف Nginx HTTP للسماح بحركة مرور HTTPS أيضًا:
يُظهر المقتطف السابق طريقة السماح بحركة مرور كاملة من Nginx ويوضح الثاني كيفية حذف حركة المرور الأخرى التي سمحنا بها.
كيف تحصل على شهادة SSL
بمساعدة المكونات الإضافية ، تقدم Certbot عدة طرق للحصول على شهادات SSL. سيتولى ملحق Nginx تكوين Nginx وإعادة تحميل التهيئة حسب الحاجة.
استخدم Certbot للحصول على شهادة SSL للنطاق على الفور. للإشارة إلى المجال ، هناك حاجة إلى وسيطة '-d'. تم إصدار شهادة واحدة عن طريق Let’s Encrypt للنطاق الفرعي www والجذر. من الضروري الحصول على الشهادة لكلا الإصدارين نظرًا لأن وجود واحدة فقط لأي من الإصدارين سيؤدي إلى تحذير في المتصفح إذا شاهد الزائر الإصدار الآخر. بالنسبة للمستخدمين الجدد ، يطلب منك certbot تقديم بريدك الإلكتروني لأول مرة وتأكيد موافقتك على شروط الخدمة.
إذا كان هذا ناجحًا ، فسيطلب منك تحديد اختيارك والضغط على ENTER. بعد تحديث التكوين ، سيعيد Nginx تحميل الإعدادات الجديدة ويأخذ في الاعتبار. بعد الانتهاء ، سيعلمك certbot أن الإجراء كان ناجحًا.
استنتاج
في هذا الدليل ، أوضحنا كيفية تثبيت برنامج Let's Encrypt واستخدامه ، والحصول على شهادة SSL ، وإعداد التحديث التلقائي لشهادة SSL ، وتهيئة Nginx. بالإضافة إلى ذلك ، قدمنا لك أيضًا بعض الأمثلة على المواقف التي قد تؤدي إلى مشكلات في التجميع عند استخدام Let’s Encrypt Digital Ocean.