آموزش نصب Let’s Encrypt بر روی Nginx در ابونتو 18

در این بخش از سری مطالب آموزش ابونتو 18 و در ادامه مطلب نصب Nginx بر روی ابونتو 18 قصد داریم در این مطلب به آموزش نصب Let’s Encrypt بر روی Nginx در ابونتو 18 بپردازیم تا از این طریق بتوانید به امن‌سازی Nginx خود بپردازید.

همانطور که می‌دانید ، Let’s Encrypt یک سرویس متن باز برای ارائه SSL می‌باشد که از زمان ارائه آن مورد استقبال کاربران قرار گرفته است.

این سرویس که مبتنی بر یک ربات می‌باشد ، قادر است بر روی اکثریت سرویس‌های لینوکسی ، ویندوزی و ... که سرویس وب را ارائه می‌دهند نصب شده و به طور رایگان آنها را امن سازد.

لزوم استفاده از SSL امروزه بیش از پیش به چشم می‌خورد و با اعلام شرکت‌هایی مانند گوگل ، زمان استفاده از http به پایان رسیده و پشتیبانی از آن برای نمایش به کاربران کم کم از رده خارج می‌شود. بنابراین در این مطلب نیز ما تصمیم گرفتیم به آموزش نصب Let’s Encrypt بر روی Nginx در ابونتو 18 پرداخته تا در صورتی که شما از وب سرور Nginx برای ارائه سرویس وب خود بهره می‌برید ، بتوانید به سادگی و تنها با وارد کردن چند دستور ساده ، وب خود را از حالت HTTP به HTTPS تبدیل نمایید.

در ادامه با ما همراه باشید.

آموزش نصب Let’s Encrypt بر روی Nginx در ابونتو 18

آماده‌سازی ابونتو برای نصب Let's Encrypt

1- برای امن‌سازی Nginx ، ابتدا باید وب سرور Nginx بر روی سرور ابونتو شما نصب شده باشد.

در صورتی که این سرویس را نصب نکرده‌اید ، از طریق آموزش نصب Nginx بر روی ابونتو 18 ، آن را نصب کرده و سپس به ادامه مطالعه این آموزش بپردازید.

2- پس از نصب Nginx ، دستور زیر را وارد کرده تا مخزن Let’s Encrypt بر روی ابونتو شما اضافه شود.

add-apt-repository ppa:certbot/certbot

3- حال دستور زیر را وارد کرده تا مخازن apt آپدیت گردد.

apt update

4- در پایان این بخش دستور زیر را وارد نمایید تا Certbot برای Nginx نصب شود.

apt install python-certbot-nginx

خُب تا بدین جا موفق به نصب Certbot (پکیج Let’s Encrypt) شده‌اید ، در ادامه به تنظیمات Nginx برای قبول کردن و تأیید آن می‌پردازیم.

تنظیمات Let’s Encrypt در Nginx

تمامی سایت‌های قرار گرفته بر روی Nginx ، در دایرکتوری etc/nginx/sites-available/ قرار می‌گیرد ، بنابراین اگر سایت ما با دامنه azarlearn.com فعال باشد ، باید مسیری به این شکل را به عنوان فایل تنظیمات آن داشته باشیم.

/etc/nginx/sites-available/azarlearn.com

• بنابراین در ابتدا دستور زیر را وارد نمایید تا تنظیمات Virtual Host دامنه باز شود.

nano /etc/nginx/sites-available/azarlearn.com

نکته : به جای دامنه azarlearn.com باید نام دامنه خود را وارد نمایید.

• سپس به دنبال عبارتی بگردید که در ابتدای آن Server_name را نوشته باشد.

...

server_name azarlearn.com www.azarlearn.com;

...

روبه‌روی این عبارت ، باید بمانند عبارت بالا ، نام دامنه شما به همراه www نوشته شده باشد ، اگر به این شکل بود فایل را بسته و به ادامه مطلب بپردازید ، در غیر این صورت عبارتهای مشابه را وارد کرده و سپس فایل را ذخیره نمایید.

نکته : در صورتی که عبارت بالا را به صورت دستی وارد کردید ، دستور زیر را وارد نمایید تا تنظیمات Nginx و اطلاعات وارد شده شما یک بار تست و چک گردد.

nginx –t

در پایان این تنظیمات ، سرویس nginx را با دستور زیر ریلود کنید.

systemctl reload nginx

تنظیم دسترسی https در فایروال

قبل از اینکه به تنظیم و دریافت SSL برای Nginx بپردازیم ، نیاز است که شما پورت https را بر روی فایروال خود اضافه کرده تا بتوانید از طریق آن به دریافت SSL و همچنین نمایش سایت خود با پروتکل Https بپردازید.

• برای اضافه کردن پورت Https دستور زیر را وارد نمایید.

ufw allow 'Nginx Full'

• سپس دستور زیر را وارد کرده تا پورت http به صورت اشتباه دو بار در فایروال باز نگردد و دچار خطا نشود.

ufw delete allow 'Nginx HTTP'

نکته : هنگامی که شما Nginx Full را بر روی UFW باز می‌کنید ، هر دو پروتکل https و http برای این سرویس باز می‌شود و نیازی نیست یک رول اضافی برای http تنظیم شود.

برای اطمینان از وضعیت رول تنظیم شده ، دستور زیر را وارد کرده وضعیت UFW را مشاهده نمایید.

ufw status

پس از وارد کرده دستور ، خروجی باید به شکل زیر باشد.

Output

Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
Nginx Full                 ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)
Nginx Full (v6)            ALLOW       Anywhere (v6)

دریافت گواهینامه SSL

در آخرین مرحله از این آموزش ، نوبت به دریافت SSL رسیده است و با تنظیماتی که تا به این لحظه انجام داده‌اید ، تنها نیاز است دستور دریافت SSL را وارد کرده تا گواهینامه امنیتی SSL دریافت و نصب گردد.

نکته مهم : توجه داشته باشید که برای دریافت SSL از طریق Let’s Encrypt باید نام دامنه و یا رکورد مورد نظر در DNS دامنه شما به سرور فعلی اشاره داشته باشد تا SSL دریافت گردد.

• بنابراین دستور زیر را وارد کنید تا ربات Let’s Encrypt به صورت خودکار به دریافت و نصب SSL بپردازد.

certbot --nginx -d azarlearn.com -d www.azarlearn.com

• پس از وارد کردن دستور بالا ، یک آدرس ایمیل و همچنین تأیید Lisence را از شما درخواست خواهد کرد که هر دو مرحله را با وارد کردن یک ایمیل معتبر و تأیید لایسنس رد کنید.
• سپس عبارتی مشابه عبارت زیر به شما نمایش داده خواهد شد که مبنی بر این است که تنظیمات ریدایرکت به HTTPS به صورت خودکار بر روی Nginx انجام پذیرد یا خیر؟

Output

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

در صورتی که می‌خواهید تنظیمات ریدایرکت Http به Https انجام پذیرد عدد 2 را وارد کرده و در غیر این صورت عدد 1 را وارد و اینتر را بزنید.

• پس از پایان عملیات دستور Certbot و موفقیت در دریافت SSL ، عبارتی مشابه زیر برای شما نمایش داده خواهد شد.

Output

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/azarlearn.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/azarlearn.com/privkey.pem
   Your cert will expire on 2018-07-23. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot again
   with the "certonly" option. To non-interactively renew *all* of
   your certificates, run "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:
 
   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

بدین ترتیب SSL با موفقیت بر روی Nginx و سایت شما نصب و فعال شده است و شما قادر خواهید بود از این پس وب سایت خود را با HTTPS مشاهده نمایید.

حال برای تأیید و همچنین renew گواهینامه امنیتی خود می‌توانید دستور زیر را وارد نمایید.

certbot renew --dry-run

نکته : گواهینامه امنیتی Let’s Encrypt به صورت 90 روزه صادر می‌شود و شما نیاز است قبل از به پایان رسیدن این زمان ، دستور بالا را وارد کرده تا یک بار دیگر گواهینامه امنیتی SSL شما Renew شود. همچنین شما می‌توانید دستور بالا را در یک کرون قرار داده تا به صورت خودکار Certificate شما را Renew نماید.

در پایان امیدواریم از آموزش نصب Let’s Encrypt بر روی Nginx در ابونتو 18 استفاده لازم را برده باشید.

کاربر گرامی شما می‌توانید سؤالات مربوط به این آموزش را در بخش کامنت‌ها عنوان کرده و در همین قسمت پاسخ خود را دریافت کنید و یا برای رفع مشکلات دیگر در زمینه آموزش‌های آذرآنلاین به بخش Community مراجعه کرده و مشکل خود را در آن مطرح نمایید تا در اسرع وقت کاربران دیگر و کارشناسان به سؤالات شما پاسخ دهند.