Evgenii Legotckoi
Evgenii Legotckoi22 января 2017 г. 3:05

Django - Урок 019. Настройка HTTPS протокола на сайте от Let`s Encrypt

Вчера получил письмо счастья от Google , поскольку пользуюсь Google Search Console для отслеживания индексации сайта в поисковике Google. Суть письма заключается в том, что Google Chrome будет сообщать о небезопасности сайта, который использует протокол http на тех страницах, где требуется ввод пароля. А если учесть, что на моём сайте форма авторизации располагается на всех страницах, то значит предупреждение будет на всех страницах сайта. Не самая приятная ситуация, поэтому пришлось быстренько доставать сертификат SSL и настраивать https.

На данный момент существует центр сертификации Let`s Encrypt , который выдаёт бесплатные сертификаты сроком на 90 дней. Данный центр сертификации поддерживается такими организациями, как Electronic Frontier Foundation (EFF), Mozilla Foundation, Akamai, Cisco Systems.

Процесс получения и установки сертификата автоматизирован, но в случае с сайтом, работающем на Django и Nginx , нужно будет дополнительно поработать над настройками сервера Nginx .


Получение сертификата

Для получения сертификата и обновления в автоматическом режиме используется программное обеспечение Certbot. На сайте Let`s encrypt имеется ссылка на данное программное обеспечение, где можно выбрать тип вашей операционной системы и сервер, который используется за отдачу контента на вашем сайте. В моём случае это Nginx и Ubuntu 16.04 .

Там же будет и инструкция по установке и процессу получения сертификата.

Для установки программного обеспечения сертификации воспользуемся следующей командой:

sudo apt-get install letsencrypt 

Далее необходимо получить сертификат с помощью плагина webroot следующей командой:

sudo letsencrypt certonly --webroot -w /var/www/example -d example.com -d www.example.com 

Где указывается каталог для сертификации вашего сайта, в данном случае /var/www/example , его необходимо будет создать и соответствующие домены, для которых Вы получаете сертификаты.

В данном случае имеется один нюанс. Уже на этом шаге необходимо настраивать Nginx , поскольку в каталоге /var/www/example будет создаваться скрытый каталог .well-known , который необходим для получения сертификата. Подробнее про первоначальную настройку Nginx можете прочитать в соответствующей статье .

Поэтому предварительно настраиваем Nginx , как показано ниже и перезапускаем его.

server {
    listen 80;
    listen [::]:80;
    server_name example.com;

    location /.well-known {
        alias /var/www/example/.well-known;
    }

    location / {
        proxy_pass http://127.0.0.1:8000;
        proxy_set_header Host $server_name;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

Тогда Вы успешно получите Ваш SSL сертификат.

Настройка протокола https

После того, как мы получили сертификат, необходимо настроить https протокол, а для этого необходимо открыть на сервере 443 порт.

sudo ufw allow 443/tcp

И настроить Nginx.

server {    
    listen 80;
    listen [::]:80;
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;  

    location /.well-known {
        alias /var/www/example/.well-known;
    }

    location / {
        proxy_pass http://127.0.0.1:8000;
        proxy_set_header Host $server_name;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

В данном случае указываются пути к вашим сертификатам и порты на которых сервер будет ожидать подключения.

Настройка подключения по http

Оставлять ли возможность подключения по http протоколу для пользователей - это решать уже Вам, но какой смысл оставлять возможность работы по данному протоколу, если уже имеется https. Поэтому сделаем редирект пользователя со страниц с http на ту же самую страницу с https .

server {
    listen 80;
    listen [::]:80;
    server_name example.com;
    return 301 https://$server_name$request_uri;
}

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;  


    location /.well-known {
        alias /var/www/example/.well-known;
    }

    location / {
        proxy_pass http://127.0.0.1:8000;
        proxy_set_header Host $server_name;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

Перезапускаем Nginx и убеждаемся, что при попытке подключения по http нас автоматически перенаправляет на соединение по https .

Автоматическое обновление сертификата

Для обновления сертификата используется следующая команда:

letsencrypt renew 

Но процесс можно автоматизировать с помощью cron (программа-демон, предназначенная для выполнения заданий в определенное время, или через определенные промежутки времени).

Для редактирования cron от root пользователя выполним следующую команду:

sudo crontab -e

Будет предоставлен выбор между возможными редакторами, выбирайте свой редактор по вкусу. А я пользуюсь nano. После чего вставьте следующую строку в конфиг cron.

30 2 * * 1 /usr/bin/letsencrypt renew >> /var/log/letsencrypt-renew.log

В данном случае по понедельникам в 2:30 будет осуществляться попытка продления сертификата.

Корректировка контента

Последнее, что осталось, это корректировка всех ссылок на сайте. То есть необходимо поменять http на https, чтобы внутренняя линковка сайта не создавала дополнительных перенаправлений.

Для Django рекомендую VDS-сервера хостера Timeweb .

Рекомендуем хостинг TIMEWEB
Рекомендуем хостинг TIMEWEB
Стабильный хостинг, на котором располагается социальная сеть EVILEG. Для проектов на Django рекомендуем VDS хостинг.

Вам это нравится? Поделитесь в социальных сетях!

ArtDev
  • 2 июня 2017 г. 14:58

Добрый день хочу обновить сертификат, но получаю следующее

The following certs are not due for renewal yet: /etc/letsencrypt/live/mysite_ru/fullchain.pem (skipped) No renewals were attempted
. Как правильно обновить сертифика, подскажите? Может что в конфиге поправить?
Evgenii Legotckoi
  • 3 июня 2017 г. 2:34

Добрый день. Либо webroot не отработал как следует, либо вы где-то в настройке http накосячили. Смотрите строчки, где указывается путь к ssl сертификату в конфиге nginx.

Комментарии

Только авторизованные пользователи могут публиковать комментарии.
Пожалуйста, авторизуйтесь или зарегистрируйтесь
AD

C++ - Тест 004. Указатели, Массивы и Циклы

  • Результат:50баллов,
  • Очки рейтинга-4
m
  • molni99
  • 26 октября 2024 г. 8:37

C++ - Тест 004. Указатели, Массивы и Циклы

  • Результат:80баллов,
  • Очки рейтинга4
m
  • molni99
  • 26 октября 2024 г. 8:29

C++ - Тест 004. Указатели, Массивы и Циклы

  • Результат:20баллов,
  • Очки рейтинга-10
Последние комментарии
ИМ
Игорь Максимов22 ноября 2024 г. 19:51
Django - Урок 017. Кастомизированная страница авторизации на Django Добрый вечер Евгений! Я сделал себе авторизацию аналогичную вашей, все работает, кроме возврата к предидущей странице. Редеректит всегда на главную, хотя в логах сервера вижу запросы на правильн…
Evgenii Legotckoi
Evgenii Legotckoi31 октября 2024 г. 21:37
Django - Урок 064. Как написать расширение для Python Markdown Добрый день. Да, можно. Либо через такие же плагины, либо с постобработкой через python библиотеку Beautiful Soup
A
ALO1ZE19 октября 2024 г. 15:19
Читалка fb3-файлов на Qt Creator Подскажите как это запустить? Я не шарю в программировании и кодинге. Скачал и установаил Qt, но куча ошибок выдается и не запустить. А очень надо fb3 переконвертировать в html
ИМ
Игорь Максимов5 октября 2024 г. 14:51
Django - Урок 064. Как написать расширение для Python Markdown Приветствую Евгений! У меня вопрос. Можно ли вставлять свои классы в разметку редактора markdown? Допустим имея стандартную разметку: <ul> <li></li> <li></l…
d
dblas55 июля 2024 г. 18:02
QML - Урок 016. База данных SQLite и работа с ней в QML Qt Здравствуйте, возникает такая проблема (я новичок): ApplicationWindow неизвестный элемент. (М300) для TextField и Button аналогично. Могу предположить, что из-за более новой верси…
Сейчас обсуждают на форуме
Evgenii Legotckoi
Evgenii Legotckoi24 июня 2024 г. 22:11
добавить qlineseries в функции Я тут. Работы оень много. Отправил его в бан.
t
tonypeachey115 ноября 2024 г. 14:04
google domain [url=https://google.com/]domain[/url] domain [http://www.example.com link title]
NSProject
NSProject4 июня 2022 г. 10:49
Всё ещё разбираюсь с кешем. В следствии прочтения данной статьи. Я принял для себя решение сделать кеширование свойств менеджера модели LikeDislike. И так как установка evileg_core для меня не была возможна, ибо он писался…
9
9Anonim25 октября 2024 г. 16:10
Машина тьюринга // Начальное состояние 0 0, ,<,1 // Переход в состояние 1 при пустом символе 0,0,>,0 // Остаемся в состоянии 0, двигаясь вправо при встрече 0 0,1,>…

Следите за нами в социальных сетях