Bir web sitesinin alan adı, ziyaretçi almayı planlıyorsa SSL/TLS şifrelemesine sahip olmalıdır. SSL/TLS sertifikaları, web sunucuları ve tarayıcılar arasında güçlü bir bağlantı sağlar. Daha önce, güvenlik önemli bir endişe değildi. Web sitelerinin verileri yerleşik HTTP protokolü aracılığıyla iletmesi nispeten yaygındı. Ancak günümüzde, kimlik hırsızlığı, kredi kartı dolandırıcılığı ve casusluk gibi siber suçlar arttığı için sunucuyla iletişim kurmak için kullanılan kanalın güvenli hale getirilmesi gerekiyor.
Let's Encrypt adlı bir Sertifika Yetkilisi (CA), web sunucularında HTTPS şifrelemesini sağlayan ücretsiz SSL/TLS sertifikaları sunar. Etki alanı doğrulanmıştır, bu nedenle özel bir IP Adresi gerekli değildir. Özellikle Google'da SEO sıralamanızı iyileştirmek için web sitenizde genellikle bir SSL sertifikasının etkinleştirilmesi önerilir.
Let's Encrypt'in Çalışmaları
Let's Encrypt, bir sertifika sağlamadan önce alan sahipliğini onaylar. Belirteç doğrulandığında, Let's Encrypt doğrulama sunucusu dosyayı almak için bir HTTP isteğinde bulunur ve etki alanının DNS kaydının Let's Encrypt istemcisini barındıran sunucuyu işaret etmesini sağlar.
Gereksinimler
Let's Encrypt'i kullanmadan önce şunları yapmalısınız:
Ubuntu 20.04 sunucusu için bu ilk sunucu kurulumundaki talimatları izleyerek, Ubuntu 20.04 sunucusu kurulduktan sonra, bir güvenlik duvarı ve sudo erişimi olan bir root olmayan kullanıcı ile tamamlayın.
Kayıtlı bir alan adı. Bu makale boyunca myfirstproject1.com kullanılacaktır. Bir alan satın alabilirsiniz.
Aşağıdaki iki DNS kaydı sunucunuzda yapılandırılmıştır.
- myfirstproject1.com sunucunuzun genel IP adresini gösteren bir 'myproject1' kaydı
- Myfirstproject2.com sunucunuzun genel IP adresini gösteren bir “myproject2” kaydı.
Nginx kurulu olmalı ve alanınızın bir sunucu bloğuna sahip olduğundan emin olmalısınız.
Let's Encrypt on Digital Ocean Kurulum Adımları
Let's Encrypt'i dijital okyanusa yüklemek için ana adımlar şunlardır:
Certbot'u Yükleme
Certbot yazılımı, bir SSL sertifikası almak için Let's Encrypt'i kullanmak için birincil ihtiyaçtır. Certbot ve Nginx eklentisini kurmak için aşağıdaki komutu kullanıyoruz:
Çoğu paylaşılan barındırma şirketi ve bazı bulut barındırma şirketleri, web sitesi barındırma panelinde birkaç tıklamayla SSL/TLS sertifikalarını satın almanıza, yenilemenize ve yönetmenize olanak tanıyan Certbot veya benzer bir eklenti içerir.
'python3-certbot-nginx' ise şu amaçlarla kullanılan bir pakettir:
Hemen Let's Encrypt CA'ya web sitesinden sorumlu olduğunuzu gösterin.
- Lisansınızın ne zaman yükseltilmesi gerektiğine ve ne zaman sona ermek üzere olduğuna dair kayıtlar tutun.
- Herhangi bir web sunucusuna tarayıcı tarafından güvenilen bir sertifika alın ve yükleyin.
- Gerektiğinde sertifikayı iptal etmenize yardımcı olur.
Certbot artık kullanıma hazır, ancak Nginx için SSL'yi otomatik olarak ayarlayabilmesi için bazı ayarlarının onaylanması gerekiyor.
Nginx'in Yapılandırmasını Doğrulama
Certbot, SSL'yi otomatik olarak yapılandırabilmelidir. Nginx yapılandırmanızda uygun sunucu bloğunu bulabilmelidir. Daha doğrusu, bunu, sertifika talep ettiğiniz etki alanına karşılık gelen bir sunucu adı yönergesini arayarak gerçekleştirir.
“/etc/nginx/sites-available/myfirstproject1.com” adresinde kullanacağımız etki alanı için bir sunucu bloğunda sunucu adı yönergesinin düzgün bir şekilde yapılandırılmış olması gerekir.
Dosyanızın varsa açılacağını doğrulamak için alan yapılandırma dosyasını nano'da veya diğer metin düzenleyicinizde açın, düzenleyicinizi kapatın ve sonraki işleme geçin. Sunucu adı 'sunucu_adı alan_adı gibi görünecek www.domain_name.com ', aşağıdaki snippet'te gösterildiği gibi.
Değişmiyorsa karşılık gelir. Dosyayı kaydettikten ve düzenleyicinizi kapattıktan sonra yapılandırma değişikliklerinizin söz dizimini doğrulayın. Kontrol etmek için sonraki talimatı kullanın:
$ sudo nginx –tYapılandırma dosyanızın sözdiziminin doğru olduğundan emin olduktan sonra güncellenmiş yapılandırmayı yüklemek için Nginx'i yeniden yükleyin:
$ sudo systemctl nginx'i yeniden yükleArtık Certbot, doğru sunucu bloğunu otomatik olarak bulabilir ve güncelleyebilir. Bir systemctl, systemd sistemini ve hizmet yönetimini denetlemek ve yönetmekten sorumludur. System V başlangıç arka plan programının yerine geçer ve çeşitli sistem yönetimi kitaplıkları, araçları ve arka plan programlarından oluşur.
Güvenlik Duvarı Üzerinden HTTPS'yi Etkinleştirme
Gerekli öneriler, UFW güvenlik duvarını etkinleştirmenizi önerir. HTTPS trafiğine izin vermek için ayarları değiştirmelisiniz.
UFW durumu seçeneği, UFW'nin en son durumunu görmemizi sağlar. UFW durumu, UFW etkinleştirilmişse bir düzenlemeler listesi görüntüler. Tabii ki, gerekli kimlik bilgilerine sahipseniz, komutu yalnızca root kullanıcısı olarak veya sudo ile önek ekleyerek çalıştırabilirsiniz.
Nginx Tam profilini etkinleştirin ve HTTPS trafiğine de izin vermek için gereksiz Nginx HTTP profili izinlerini kaldırın:
Önceki snippet, Nginx'ten gelen Trafiğin tamamına izin verme yöntemini gösterir ve ikincisi, izin verdiğimiz diğer trafiğin nasıl silineceğini gösterir.
SSL Sertifikası Nasıl Alınır
Eklentilerin yardımıyla Certbot, SSL sertifikaları almanın birkaç yolunu sunar. Nginx'in yapılandırması ve yapılandırmanın yeniden yüklenmesi, gerektiğinde Nginx eklentisi tarafından gerçekleştirilecektir.
Alanın SSL sertifikasını hemen almak için Certbot'u kullanın. Etki alanını belirtmek için bir “-d” argümanı gereklidir. Let's Encrypt tarafından www alt etki alanı ve kök için bir sertifika verilir. Her iki sürüm için de sertifikaya sahip olmak, bir ziyaretçinin diğer sürümü görüntülemesi durumunda tarayıcıda bir uyarı ile sonuçlanacağından, her iki sürüm için de sertifika alınması gerekir. Yeni kullanıcılar için certbot, ilk olarak e-postanızı vermenizi ve hizmet şartlarını kabul ettiğinizi onaylamanızı ister.
Bu başarılı olsaydı, seçiminizi yapmanızı ister ve ENTER'a basın. Yapılandırmayı güncelledikten sonra, Nginx yeniden yüklenecek ve yeni ayarları değerlendirecektir. Bitirdikten sonra, certbot, prosedürün başarılı olduğunu size bildirecektir.
Çözüm
Bu kılavuzda, Let's Encrypt yazılım sertifikasının nasıl kurulacağını ve kullanılacağını, bir SSL sertifikasının nasıl alınacağını, bir SSL sertifikası için otomatik güncellemenizi nasıl ayarlayacağınızı ve Nginx'i nasıl yapılandıracağınızı gösterdik. Ayrıca, Let's Encrypt Digital Ocean'ı kullanırken derleme sorunlarıyla sonuçlanabilecek durumlara ilişkin bazı örnekler de sağladık.