Evgenii Legotckoi
Evgenii Legotckoi22 января 2017 г. 3:05

Django - Урок 019. Настройка HTTPS протокола на сайте от Let`s Encrypt

Вчера получил письмо счастья от Google , поскольку пользуюсь Google Search Console для отслеживания индексации сайта в поисковике Google. Суть письма заключается в том, что Google Chrome будет сообщать о небезопасности сайта, который использует протокол http на тех страницах, где требуется ввод пароля. А если учесть, что на моём сайте форма авторизации располагается на всех страницах, то значит предупреждение будет на всех страницах сайта. Не самая приятная ситуация, поэтому пришлось быстренько доставать сертификат SSL и настраивать https.

На данный момент существует центр сертификации Let`s Encrypt , который выдаёт бесплатные сертификаты сроком на 90 дней. Данный центр сертификации поддерживается такими организациями, как Electronic Frontier Foundation (EFF), Mozilla Foundation, Akamai, Cisco Systems.

Процесс получения и установки сертификата автоматизирован, но в случае с сайтом, работающем на Django и Nginx , нужно будет дополнительно поработать над настройками сервера Nginx .


Получение сертификата

Для получения сертификата и обновления в автоматическом режиме используется программное обеспечение Certbot. На сайте Let`s encrypt имеется ссылка на данное программное обеспечение, где можно выбрать тип вашей операционной системы и сервер, который используется за отдачу контента на вашем сайте. В моём случае это Nginx и Ubuntu 16.04 .

Там же будет и инструкция по установке и процессу получения сертификата.

Для установки программного обеспечения сертификации воспользуемся следующей командой:

sudo apt-get install letsencrypt 

Далее необходимо получить сертификат с помощью плагина webroot следующей командой:

sudo letsencrypt certonly --webroot -w /var/www/example -d example.com -d www.example.com 

Где указывается каталог для сертификации вашего сайта, в данном случае /var/www/example , его необходимо будет создать и соответствующие домены, для которых Вы получаете сертификаты.

В данном случае имеется один нюанс. Уже на этом шаге необходимо настраивать Nginx , поскольку в каталоге /var/www/example будет создаваться скрытый каталог .well-known , который необходим для получения сертификата. Подробнее про первоначальную настройку Nginx можете прочитать в соответствующей статье .

Поэтому предварительно настраиваем Nginx , как показано ниже и перезапускаем его.

server {
    listen 80;
    listen [::]:80;
    server_name example.com;

    location /.well-known {
        alias /var/www/example/.well-known;
    }

    location / {
        proxy_pass http://127.0.0.1:8000;
        proxy_set_header Host $server_name;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

Тогда Вы успешно получите Ваш SSL сертификат.

Настройка протокола https

После того, как мы получили сертификат, необходимо настроить https протокол, а для этого необходимо открыть на сервере 443 порт.

sudo ufw allow 443/tcp

И настроить Nginx.

server {    
    listen 80;
    listen [::]:80;
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;  

    location /.well-known {
        alias /var/www/example/.well-known;
    }

    location / {
        proxy_pass http://127.0.0.1:8000;
        proxy_set_header Host $server_name;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

В данном случае указываются пути к вашим сертификатам и порты на которых сервер будет ожидать подключения.

Настройка подключения по http

Оставлять ли возможность подключения по http протоколу для пользователей - это решать уже Вам, но какой смысл оставлять возможность работы по данному протоколу, если уже имеется https. Поэтому сделаем редирект пользователя со страниц с http на ту же самую страницу с https .

server {
    listen 80;
    listen [::]:80;
    server_name example.com;
    return 301 https://$server_name$request_uri;
}

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;  


    location /.well-known {
        alias /var/www/example/.well-known;
    }

    location / {
        proxy_pass http://127.0.0.1:8000;
        proxy_set_header Host $server_name;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

Перезапускаем Nginx и убеждаемся, что при попытке подключения по http нас автоматически перенаправляет на соединение по https .

Автоматическое обновление сертификата

Для обновления сертификата используется следующая команда:

letsencrypt renew 

Но процесс можно автоматизировать с помощью cron (программа-демон, предназначенная для выполнения заданий в определенное время, или через определенные промежутки времени).

Для редактирования cron от root пользователя выполним следующую команду:

sudo crontab -e

Будет предоставлен выбор между возможными редакторами, выбирайте свой редактор по вкусу. А я пользуюсь nano. После чего вставьте следующую строку в конфиг cron.

30 2 * * 1 /usr/bin/letsencrypt renew >> /var/log/letsencrypt-renew.log

В данном случае по понедельникам в 2:30 будет осуществляться попытка продления сертификата.

Корректировка контента

Последнее, что осталось, это корректировка всех ссылок на сайте. То есть необходимо поменять http на https, чтобы внутренняя линковка сайта не создавала дополнительных перенаправлений.

Для Django рекомендую VDS-сервера хостера Timeweb .

Рекомендуем хостинг TIMEWEB
Рекомендуем хостинг TIMEWEB
Стабильный хостинг, на котором располагается социальная сеть EVILEG. Для проектов на Django рекомендуем VDS хостинг.

Вам это нравится? Поделитесь в социальных сетях!

ArtDev
  • 2 июня 2017 г. 14:58

Добрый день хочу обновить сертификат, но получаю следующее

The following certs are not due for renewal yet: /etc/letsencrypt/live/mysite_ru/fullchain.pem (skipped) No renewals were attempted
. Как правильно обновить сертифика, подскажите? Может что в конфиге поправить?
Evgenii Legotckoi
  • 3 июня 2017 г. 2:34

Добрый день. Либо webroot не отработал как следует, либо вы где-то в настройке http накосячили. Смотрите строчки, где указывается путь к ssl сертификату в конфиге nginx.

Комментарии

Только авторизованные пользователи могут публиковать комментарии.
Пожалуйста, авторизуйтесь или зарегистрируйтесь
AD

C++ - Тест 004. Указатели, Массивы и Циклы

  • Результат:50баллов,
  • Очки рейтинга-4
m
  • molni99
  • 26 октября 2024 г. 11:37

C++ - Тест 004. Указатели, Массивы и Циклы

  • Результат:80баллов,
  • Очки рейтинга4
m
  • molni99
  • 26 октября 2024 г. 11:29

C++ - Тест 004. Указатели, Массивы и Циклы

  • Результат:20баллов,
  • Очки рейтинга-10
Последние комментарии
i
innorwall14 ноября 2024 г. 20:09
Qt/C++ - Урок 068. Hello World с использованием системы сборки CMAKE в CLion ditropan pristiq dosing With the Yankees leading, 4 3, Rivera jogged in from the bullpen to a standing ovation as he prepared for his final appearance in Chicago buy priligy pakistan
i
innorwall14 ноября 2024 г. 15:05
EVILEG-CORE. Использование Google reCAPTCHA 2001; 98 29 34 priligy buy
i
innorwall14 ноября 2024 г. 15:00
PyQt5 - Урок 007. Работаем с QML QtQuick (Сигналы и слоты) priligy 30mg Am J Obstet Gynecol 171 1488 505
i
innorwall14 ноября 2024 г. 13:54
Django - Урок 003. Модель, шаблон и представление в Django Hair follicles are believed to produce approximately 20 individual hair shafts over the life of the follicle as the follicle progresses through cycles of hair production, shedding ejection, invo…
i
innorwall14 ноября 2024 г. 10:03
Как написать игру на Qt - Урок 3. Взаимодействие с другими объектами what is priligy tablets What happens during the LASIK surgery process
Сейчас обсуждают на форуме
i
innorwall14 ноября 2024 г. 14:39
добавить qlineseries в функции priligy amazon canada 93 GREB1 protein GREB1 AB011147 6
i
innorwall11 ноября 2024 г. 21:55
Всё ещё разбираюсь с кешем. priligy walgreens levitra dulcolax carbs The third ring was found to be made up of ultra relativistic electrons, which are also present in both the outer and inner rings
9
9Anonim25 октября 2024 г. 19:10
Машина тьюринга // Начальное состояние 0 0, ,<,1 // Переход в состояние 1 при пустом символе 0,0,>,0 // Остаемся в состоянии 0, двигаясь вправо при встрече 0 0,1,>…
ИМ
Игорь Максимов3 октября 2024 г. 14:05
Реализация навигации по разделам Спасибо Евгений!

Следите за нами в социальных сетях