Bài viết sưu tầm
TLS, hoặc transport layer security và SSL viết tắt của lớp cổng bảo mật, là các giao thức web được sử dụng để bọc lưu lượng bình thường trong một trình bao bọc được mã hóa, được bảo vệ.
Bước 1 - Tạo chứng chỉ SSL
Bước 2 - Cấu hình Nginx để sử dụng SSL
Nếu bạn đã ufw bật tường lửa, như được hướng dẫn bởi các hướng dẫn điều kiện tiên quyết, bạn sẽ cần phải điều chỉnh cài đặt để cho phép lưu lượng SSL. May mắn thay, Nginx đăng ký một vài hồ sơ với ufw khi cài đặt.
Chúng ta có thể thấy các cấu hình có sẵn bằng cách gõ:
sudo ufw app list
Bạn sẽ thấy một danh sách như thế này:
Output
Available applications:
. . .
Nginx Full
Nginx HTTP
Nginx HTTPS
. . .
Bạn có thể xem cài đặt hiện tại bằng cách nhập:
sudo ufw status
Nó có thể sẽ giống như thế này, có nghĩa là chỉ lưu lượng HTTP được phép cho máy chủ web:
Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Nginx HTTP ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Nginx HTTP (v6) ALLOW Anywhere (v6)
Ngoài ra, hãy cho phép lưu lượng HTTPS, chúng ta có thể cho phép cấu hình "Nginx Full" và sau đó xóa phụ cấp hồ sơ "Nginx HTTP" dư thừa:
sudo ufw allow 'Nginx Full'
sudo ufw delete allow 'Nginx HTTP'
Trạng thái của bạn sẽ trông giống như sau:
sudo ufw status
Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Nginx Full ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Nginx Full (v6) ALLOW Anywhere (v6)
Bước 4 - Bật các thay đổi trong Nginx
Bây giờ chúng ta đã thực hiện các thay đổi và điều chỉnh tường lửa của mình, có thể khởi động lại Nginx để thực hiện các thay đổi mới.
Trước tiên, nên kiểm tra để đảm bảo rằng không có lỗi cú pháp trong file. có thể làm điều này bằng cách gõ:
sudo nginx -t
Nếu mọi thứ thành công, bạn sẽ nhận được kết quả như sau:
Output
nginx: [warn] "ssl_stapling" ignored, issuer certificate not found
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
Chú ý cảnh báo ngay từ đầu. Như đã nói ở trên, cài đặt cụ thể này sẽ đưa ra cảnh báo vì chứng chỉ tự ký của Chúng ta không thể sử dụng tính năng ghim SSL. Điều này được mong đợi và máy chủ vẫn có thể mã hóa các kết nối một cách chính xác.
Nếu đầu ra của bạn khớp với ở trên, file cấu hình của bạn không có lỗi cú pháp. chúng ta có thể khởi động lại Nginx một cách an toàn để thực hiện các thay đổi:
sudo systemctl restart nginx
Bước 5 - Kiểm tra mã hóa
Bây giờ, Chúng ta đã sẵn sàng để kiểm tra máy chủ SSL của Chúng ta.
Mở trình duyệt web của bạn và gõ https:// tiếp theo là tên miền hoặc IP của máy chủ của bạn vào thanh địa chỉ:
https://server_domain_or_IP
Vì chứng chỉ mà chúng ta tạo không được ký bởi một trong các cơ quan cấp chứng chỉ đáng tin cậy của trình duyệt, bạn có thể thấy cảnh báo trông đáng sợ như cảnh báo bên dưới (thông tin sau xuất hiện khi sử dụng Google Chrome):
Điều này được mong đợi và bình thường. Chúng ta chỉ quan tâm đến khía cạnh mã hóa của chứng chỉ chứ không phải xác thực của bên thứ ba về tính xác thực của máy chủ. Click vào "ADVANCED" và sau đó liên kết được cung cấp để tiếp tục đến anyways lưu trữ của bạn:
Bạn nên được đưa đến trang web của bạn. Nếu bạn nhìn vào thanh địa chỉ của trình duyệt, bạn sẽ thấy một khóa có dấu "x" trên đó. Trong trường hợp này, điều này chỉ có nghĩa là chứng chỉ không thể được xác nhận hợp lệ. Nó vẫn đang mã hóa kết nối của bạn.
Nếu bạn đã định cấu hình Nginx với hai khối máy chủ, tự động chuyển hướng nội dung HTTP sang HTTPS, bạn cũng có thể kiểm tra xem chức năng chuyển hướng có chính xác không:
http://server_domain_or_IP
Nếu điều này dẫn đến cùng một biểu tượng, điều này có nghĩa là chuyển hướng của bạn đã hoạt động chính xác.
Bước 6 - Thay đổi sang Chuyển hướng vĩnh viễn
Nếu chuyển hướng của bạn hoạt động chính xác và bạn chắc chắn rằng bạn chỉ muốn cho phép lưu lượng được mã hóa, bạn nên sửa đổi cấu hình Nginx để làm cho chuyển hướng vĩnh viễn.
Mở lại file cấu hình khối máy chủ của bạn:
sudo nano /etc/nginx/sites-available/example.com
Tìm return 302và thay đổi nó thành return 301:
/etc/nginx/sites-available/example.com
return 301 https://$server_name$request_uri;
Lưu và đóng tập tin.
Kiểm tra cấu hình của bạn để tìm lỗi cú pháp:
sudo nginx -t
Khi bạn đã sẵn sàng, hãy khởi động lại Nginx để chuyển hướng vĩnh viễn:
sudo systemctl restart nginx
Phần kết luận
Bạn đã cấu hình máy chủ Nginx của mình để sử dụng mã hóa mạnh cho các kết nối clients. Điều này sẽ cho phép bạn phân phối các yêu cầu một cách an toàn và sẽ ngăn bên ngoài đọc lưu lượng truy cập của bạn.
>> Xem phần 1» Tin mới nhất:
- Linux Shell: Viết chương trình shell tạo user (18/01/2025)
- Hướng Dẫn Lập Trình Chatbot Với Python (18/01/2025)
- SDLC - Systems Development Life Cycle (17/01/2025)
- Vì sao bạn phải vào đại học? (17/01/2025)
- Hướng dẫn Python căn bản (17/01/2025)
» Các tin khác:
- Tạo chứng chỉ SSL tự ký cho Nginx trên Debian 9 - Phần 1 (17/09/2018)
- Thách thức cho hoạt động Marketing 4.0 (15/09/2018)
- Cơ hội cho hoạt động Marketing 4.0 hiện nay (15/09/2018)
- Sử dụng QA thay đổi mật khẩu, cấp quyền và xóa quyền truy xuất CSDL hiện hành (07/09/2018)
- Sử dụng QA tạo tài khoản đăng nhập (07/09/2018)
- Exception (tt) (18/08/2018)
- Exception (18/08/2018)
- SDM (Secure Device Manager) (18/08/2018)
- IP Source Guard (18/08/2018)
- React mang lại lợi ích gì cho Facebook (18/08/2018)
