Jak zainstalować samopodpisane certyfikaty SSL / TLS dla Nginx

  • Andrew Politic
  • 0
  • 1129
  • 359

Nginx to popularny serwer sieciowy, drugi po Apache2. Jak zainstalować dla niego certyfikaty z podpisem własnym?

Certyfikat SSL / TLS to mechanizm umożliwiający prywatną komunikację między dwoma urządzeniami sieciowymi. Jest to protokół, który umożliwia bezpieczną komunikację między serwerami WWW a klientami WWW.

Jeśli chodzi o implementacje SSL / TLS, istnieją zasadniczo dwa rodzaje certyfikatów. Jeden podpisany przez zaufany urząd certyfikacji, a drugi to certyfikat z podpisem własnym.

Ten samouczek z lekcji 48 pokazuje uczniom i nowym użytkownikom, jak tworzyć certyfikaty z podpisem własnym i instalować je na serwerach Nginx.

Krok 1: Instalacja serwera internetowego Nginx

Zanim będziesz mógł zainstalować certyfikat z podpisem własnym dla Nginx, musisz najpierw zainstalować serwer WWW Nginx. Aby to zrobić, uruchom poniższe polecenia:

sudo apt-get update
sudo apt-get install nginx

Krok 2: Tworzenie certyfikatów z podpisem własnym

Jeśli nie możesz zainstalować zaufanego certyfikatu z urzędu certyfikacji, możesz skorzystać z certyfikatów z podpisem własnym. Zarówno zaufane, jak i samopodpisane używają tej samej siły bezpieczeństwa, jedyna różnica polega na tym, że jeden jest zaufany przez stronę trzecią, a drugi nie

Kiedy będziesz gotowy, uruchom poniższe polecenia, aby wygenerować klucz prywatny serwera, a także samopodpisany certyfikat SSL / TLS.

sudo openssl req -x509 -nodes -days 365 -newkey rsa: 2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt

Utworzenie pliku klucza prywatnego spowoduje wyświetlenie monitu o udzielenie odpowiedzi na kilka pytań, takich jak te poniżej. Wypełnij pytanie, a klucz i certyfikat zostaną utworzone.

Generowanie 2048-bitowego klucza prywatnego RSA… +++… +++ zapisywanie nowego klucza prywatnego do „mojadomena.klucz” ----- Zostaniesz poproszony o wprowadzenie informacji, które zostaną uwzględnione w żądaniu certyfikatu. To, co zamierzasz wprowadzić, to tak zwana nazwa wyróżniająca lub nazwa wyróżniająca. Jest kilka pól, ale możesz zostawić je puste. W przypadku niektórych pól będzie wartość domyślna. Jeśli wpiszesz „.”, Pole pozostanie puste. ----- Nazwa kraju (dwuliterowy kod) [AU]: Nazwa stanu lub prowincji w USA (pełna nazwa) [Jakiś stan]: Nazwa miejscowości Minnesota (np. Miasto) []: Nazwa organizacji Minneapolis (np. Firma) [Internet Widgits Pty Ltd]: Nazwa jednostki organizacyjnej My Blog Company (np. Sekcja) []: Nazwa zwykła SSL (np. Nazwa FQDN serwera lub TWOJA nazwa) []: example.com Adres e-mail []: [email protected]_domena.com Wprowadź następujące atrybuty „dodatkowe”, które mają być wysłane wraz z żądaniem certyfikatu Hasło weryfikacyjne []: pozostaw puste Opcjonalna nazwa firmy []:

Gdy skończysz, klucz prywatny zostanie zapisany w pliku / etc / ssl / private / folder i klucz o nazwienginx-selfsigned.key.

Certyfikat będzie przechowywany w / etc / ssl / certs / folder i certyfikat o nazwie nginx-selfsigned.crt.

Krok 3: Instalacja certyfikatu

Po wygenerowaniu certyfikatu kolejnym krokiem będzie instalacja go na serwerze Nginx. Aby to zrobić, otwórz plik konfiguracyjny Nginx w Ubuntu i dodaj poniższe linie. Upewnij się, że umieściłeś go w bloku serwera pliku i zapisz go.

sudo nano / etc / nginx / sites-enabled / default

work_processes auto; http … serwer nasłuchuj 443 domyślny_serwer; słuchaj [::]: 443 ssl domyślny_serwer; root / var / www / html;  Nazwa serwera _; ssl włączony; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "HIGH:! aNULL:! MD5 lub HIGH:! aNULL:! MD5:! 3DES"; ssl_certificate /etc/ssl/crts/nginx-selfsigned.crt; ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;…

To jest!

Po wprowadzeniu powyższych zmian uruchom poniższe polecenia, aby przetestować ustawienia.

sudo nginx -t

Jeśli nie widzisz żadnych komunikatów o błędach, wszystko jest w porządku. Zrestartuj serwer WWW nginx, uruchamiając poniższe polecenia.

sudo systemctl zrestartuj nginx

Aby przejść do serwera za pośrednictwem nazwy hosta lub adresu IP przy użyciu protokołu HTTPS i przejdź do niego, a otrzymasz ostrzeżenie o certyfikacie, ponieważ jest to samopodpisany.

Cieszyć się!




Jeszcze bez komentarzy

Zbiór przydatnych informacji o systemie operacyjnym Linux i nowych technologiach
Świeże artykuły, praktyczne wskazówki, szczegółowe recenzje i poradniki. Poczuj się jak w domu w świecie systemu operacyjnego Linux