Вчера получил письмо счастья от Google , поскольку пользуюсь Google Search Console для отслеживания индексации сайта в поисковике Google. Суть письма заключается в том, что Google Chrome будет сообщать о небезопасности сайта, который использует протокол http на тех страницах, где требуется ввод пароля. А если учесть, что на моём сайте форма авторизации располагается на всех страницах, то значит предупреждение будет на всех страницах сайта. Не самая приятная ситуация, поэтому пришлось быстренько доставать сертификат SSL и настраивать https.
На данный момент существует центр сертификации Let`s Encrypt , который выдаёт бесплатные сертификаты сроком на 90 дней. Данный центр сертификации поддерживается такими организациями, как Electronic Frontier Foundation (EFF), Mozilla Foundation, Akamai, Cisco Systems.
Процесс получения и установки сертификата автоматизирован, но в случае с сайтом, работающем на Django и Nginx , нужно будет дополнительно поработать над настройками сервера Nginx .
Получение сертификата
Для получения сертификата и обновления в автоматическом режиме используется программное обеспечение Certbot. На сайте Let`s encrypt имеется ссылка на данное программное обеспечение, где можно выбрать тип вашей операционной системы и сервер, который используется за отдачу контента на вашем сайте. В моём случае это Nginx и Ubuntu 16.04 .
Там же будет и инструкция по установке и процессу получения сертификата.
Для установки программного обеспечения сертификации воспользуемся следующей командой:
sudo apt-get install letsencrypt
Далее необходимо получить сертификат с помощью плагина webroot следующей командой:
sudo letsencrypt certonly --webroot -w /var/www/example -d example.com -d www.example.com
Где указывается каталог для сертификации вашего сайта, в данном случае /var/www/example , его необходимо будет создать и соответствующие домены, для которых Вы получаете сертификаты.
В данном случае имеется один нюанс. Уже на этом шаге необходимо настраивать Nginx , поскольку в каталоге /var/www/example будет создаваться скрытый каталог .well-known , который необходим для получения сертификата. Подробнее про первоначальную настройку Nginx можете прочитать в соответствующей статье .
Поэтому предварительно настраиваем Nginx , как показано ниже и перезапускаем его.
server {
listen 80;
listen [::]:80;
server_name example.com;
location /.well-known {
alias /var/www/example/.well-known;
}
location / {
proxy_pass http://127.0.0.1:8000;
proxy_set_header Host $server_name;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
Тогда Вы успешно получите Ваш SSL сертификат.
Настройка протокола https
После того, как мы получили сертификат, необходимо настроить https протокол, а для этого необходимо открыть на сервере 443 порт.
sudo ufw allow 443/tcp
И настроить Nginx.
server {
listen 80;
listen [::]:80;
listen 443 ssl;
listen [::]:443 ssl;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
location /.well-known {
alias /var/www/example/.well-known;
}
location / {
proxy_pass http://127.0.0.1:8000;
proxy_set_header Host $server_name;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
В данном случае указываются пути к вашим сертификатам и порты на которых сервер будет ожидать подключения.
Настройка подключения по http
Оставлять ли возможность подключения по http протоколу для пользователей - это решать уже Вам, но какой смысл оставлять возможность работы по данному протоколу, если уже имеется https. Поэтому сделаем редирект пользователя со страниц с http на ту же самую страницу с https .
server {
listen 80;
listen [::]:80;
server_name example.com;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
location /.well-known {
alias /var/www/example/.well-known;
}
location / {
proxy_pass http://127.0.0.1:8000;
proxy_set_header Host $server_name;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
Перезапускаем Nginx и убеждаемся, что при попытке подключения по http нас автоматически перенаправляет на соединение по https .
Автоматическое обновление сертификата
Для обновления сертификата используется следующая команда:
letsencrypt renew
Но процесс можно автоматизировать с помощью cron (программа-демон, предназначенная для выполнения заданий в определенное время, или через определенные промежутки времени).
Для редактирования cron от root пользователя выполним следующую команду:
sudo crontab -e
Будет предоставлен выбор между возможными редакторами, выбирайте свой редактор по вкусу. А я пользуюсь nano. После чего вставьте следующую строку в конфиг cron.
30 2 * * 1 /usr/bin/letsencrypt renew >> /var/log/letsencrypt-renew.log
В данном случае по понедельникам в 2:30 будет осуществляться попытка продления сертификата.
Корректировка контента
Последнее, что осталось, это корректировка всех ссылок на сайте. То есть необходимо поменять http на https, чтобы внутренняя линковка сайта не создавала дополнительных перенаправлений.
Для Django рекомендую VDS-сервера хостера Timeweb .
Добрый день хочу обновить сертификат, но получаю следующее
. Как правильно обновить сертифика, подскажите? Может что в конфиге поправить?Добрый день. Либо webroot не отработал как следует, либо вы где-то в настройке http накосячили. Смотрите строчки, где указывается путь к ssl сертификату в конфиге nginx.