Вчора отримав лист щастя від Google , оскільки користуюсь Google Search Console для відстеження індексації сайту в пошуковій системі Google. Суть листа полягає в тому, що Google Chrome повідомлятиме про небезпеку сайту, який використовує протокол http на тих сторінках, де потрібне введення пароля. А якщо врахувати, що на моєму сайті форма авторизації розташовується на всіх сторінках, значить попередження буде на всіх сторінках сайту. Не найприємніша ситуація, тому довелося швиденько діставати сертифікат SSL і налаштовувати https.
На даний момент існує центр сертифікації "Let`s Encrypt", який видає безкоштовні сертифікати терміном на 90 днів. Цей центр сертифікації підтримується такими організаціями, як Electronic Frontier Foundation (EFF), Mozilla Foundation, Akamai, Cisco Systems.
Процес отримання та встановлення сертифіката автоматизований, але у випадку з сайтом, що працює на Django і Nginx, потрібно буде додатково попрацювати над налаштуваннями сервера Nginx.
Отримання сертифіката
Для отримання сертифікату та оновлення в автоматичному режимі використовується програмне забезпечення Certbot. На сайті Let`s encrypt є посилання на це програмне забезпечення, де можна вибрати тип вашої операційної системи та сервер, який використовується за віддачу контенту на вашому сайті. У моєму випадку це Nginx та Ubuntu 16.04 .
Там же буде інструкція з встановлення та процесу отримання сертифіката.
Для встановлення програмного забезпечення сертифікації скористаємося наступною командою:
sudo apt-get install letsencrypt
Далі необхідно отримати сертифікат за допомогою плагіну webroot наступною командою:
sudo letsencrypt certonly --webroot -w /var/www/example -d example.com -d www.example.com
Де вказується каталог для сертифікації вашого сайту, в даному випадку /var/www/example , його необхідно буде створити відповідні домени, для яких Ви отримуєте сертифікати.
У цьому випадку є один аспект. Вже на цьому кроці необхідно налаштовувати Nginx , оскільки в каталозі /var/www/example буде створюватись прихований каталог .well-known , який потрібний для отримання сертифіката. Докладніше про початкове настроювання Nginx можете прочитати у відповідній статті .
Тому попередньо налаштовуємо Nginx , як показано нижче та перезапускаємо його.
server {
listen 80;
listen [::]:80;
server_name example.com;
location /.well-known {
alias /var/www/example/.well-known;
}
location / {
proxy_pass http://127.0.0.1:8000;
proxy_set_header Host $server_name;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
Тоді Ви успішно отримаєте Ваш SSL сертифікат.
Налаштуйте протокол https
Після того, як ми отримали сертифікат, необхідно налаштувати протокол https, а для цього необхідно відкрити на сервері 443 порт.
sudo ufw allow 443/tcp
І налаштувати Nginx.
server {
listen 80;
listen [::]:80;
listen 443 ssl;
listen [::]:443 ssl;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
location /.well-known {
alias /var/www/example/.well-known;
}
location / {
proxy_pass http://127.0.0.1:8000;
proxy_set_header Host $server_name;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
В даному випадку вказуються шляхи до ваших сертифікатів і порти на яких сервер чекатиме підключення.
Налаштування підключення за http
Чи залишати можливість підключення за http протоколом для користувачів - це вирішувати вже Вам, але який сенс залишати можливість роботи по даному протоколу, якщо вже є https. Тому зробимо редирект користувача зі сторінок з http на ту саму сторінку з https .
server {
listen 80;
listen [::]:80;
server_name example.com;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
location /.well-known {
alias /var/www/example/.well-known;
}
location / {
proxy_pass http://127.0.0.1:8000;
proxy_set_header Host $server_name;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
Перезапускаємо Nginx і переконуємося, що при спробі підключення http нас автоматично перенаправляє на з'єднання https .
Автоматичне оновлення сертифіката
Для оновлення сертифіката використовується така команда:
letsencrypt renew
Але процес можна автоматизувати за допомогою cron (програма-демон, призначена для виконання завдань у певний час, або через певні проміжки часу).
Для редагування cron від root користувача виконаємо таку команду:
sudo crontab -e
Буде наданий вибір між можливими редакторами, вибирайте свій редактор до смаку. А я користуюсь nano. Після чого вставте наступний рядок у конфіг cron.
30 2 * * 1 /usr/bin/letsencrypt renew >> /var/log/letsencrypt-renew.log
У цьому випадку по понеділках о 2:30 буде спроба продовження сертифікату.
Коригування контенту
Останнє, що залишилося, - це коригування всіх посилань на сайті. Тобто необхідно поміняти http на https, щоб внутрішня лінківка сайту не створювала додаткових перенаправлень.
Для Django рекомендую VDS-сервера хостера Timeweb .
Добрый день хочу обновить сертификат, но получаю следующее
. Как правильно обновить сертифика, подскажите? Может что в конфиге поправить?Добрый день. Либо webroot не отработал как следует, либо вы где-то в настройке http накосячили. Смотрите строчки, где указывается путь к ssl сертификату в конфиге nginx.