حساب علي يون!! كيفية تكوين شهادة SSL المجانية (Let's Encrypt) على خادم Alibaba Cloud لتنفيذ HTTPS ؟

في عالم الإنترنت اليوم ، إذا كان موقع الويب الخاص بك لا يزال يستخدم ht القديم

Tp: //

(نقل النص العادي) ، لن يتم وضع علامة تحذير "غير آمن" باللون الأحمر بلا رحمة على شريط عنوان المتصفح فحسب ، بل سيتم أيضًا تقييدها بشدة بواسطة محركات البحث مثل Google و Baidu. ومما زاد الطين بلة ، يمكن للإنتاج الأسود بسهولة اختطاف صفحة الويب الخاصة بك أثناء الإرسال وحشها بإعلانات الصدفية المثيرة للاشمئزاز.

الطريقة الوحيدة لحل هذه المشكلة هي الترقية إلى

HTTPS

. ولترقية HTTPS ، فإن الجوهر هو الحاجة إلى واحدة

شهادة أمن SSL

.

عندما سمع العديد من العملاء الجدد وأصحاب الأعمال عن شهادة SSL ، كان رد الفعل الأول هو: "هذه الأشياء تذهب إلى مصنع كبير للشراء. إنها مئات أو حتى آلاف اليوانات في السنة ، وهي باهظة الثمن."

حساب علي يون!

في هذا المقال اليوم ، سأستخدم أسلوب القيادة الحقيقي في اللغة العامية البحتة ، وأخذك على خادم Alibaba Cloud ، باستخدام أكثر وكالات إصدار الشهادات المجانية ضميرًا في العالم

لنبدأ

، مع القطع الأثرية الآلية

Certbot

، لتحقيق الممارسة النهائية لـ HTTPS من "التطبيق بنقرة واحدة ، التجديد التلقائي ، مجانًا مدى الحياة".

المبدأ الأساسي: لماذا تختار Let's Encrypt و Certbot ؟

Let's Encrypt: هذه منظمة غير ربحية برعاية مشتركة من كبرى عمالقة الإنترنت في العالم (Mozilla و Cisco و Google وما إلى ذلك) ، وهي متخصصة في إصدار شهادات SSL العادية والموثوق بها من قبل جميع المتصفحات مجانًا.

تكلفة مجانية مدى الحياة: "العيب الصغير" الوحيد هو أن كل طلب للحصول على شهادة صالحة لمدة 90 يومًا فقط.

حرفة الأتمتة Certbot: من أجل منعنا من القذف يدويًا كل ثلاثة أشهر ، تم إطلاق أداة سطر أوامر Certbot رسميًا. لا يمكنها فقط مساعدتنا في التقدم للحصول على شهادة بنقرة واحدة ، ولكن يمكنها أيضًا التحديق في وقت انتهاء الصلاحية في الخلفية ، وتجديدها تلقائيًا عندما تكون الشهادة على وشك الانتهاء. طالما أن الخادم لا يسقط ، فإن الشهادة ستكون دائمًا مجانية ولن تنتهي صلاحيتها أبدًا.

التحضير: فحص السلامة قبل الخروج

قبل أن تطرق الأمر ، تأكد من أن الأشياء الثلاثة التالية قد تم القيام بها ، وإلا فإن 100 ٪ من الخلف سوف "يضرب الجدار":

تم حل اسم المجال بنجاح إلى عنوان IP الخاص بخادم Ali Cloud الخاص بك: إذا لم تتمكن من الوصول إلى صفحة الويب الافتراضية لخادمك عن طريق كتابة اسم المجال الخاص بك (مثل www.yourname.com) في المتصفح ، يرجى حل اسم المجال أولاً.

منفذ 443 لمجموعة Alibaba Cloud Security Group: HTTPS يأخذ منفذ 443 (منفذ HTTP العادي 80). العملية: قم بتسجيل الدخول إلى Alibaba Cloud Console-> ابحث عن مثيلات ECS الخاصة بك-> انقر فوق [مجموعة الأمان] -> [قواعد التكوين] -> إطلاق المنفذ 443 في اتجاه الإدخال. إذا لم يتم الإفراج عنه ، بغض النظر عن مدى جودة تثبيت الشهادة ، لا يمكن توصيل الشبكة الخارجية بأمان.

تم تثبيت خدمة الويب على الخادم (خذ Nginx كمثال): وقد تم تكوين Nginx الخاص بك للوصول الأساسي إلى اسم المجال.

علي كلاود

الحساب!

بعد ذلك ، ندخل رسميًا مرحلة الأوامر العملية. نحن في الوقت الحاضر الأكثر انتشارا في البلاد

أوبونتو

و

CentOS/Alibaba Cloud Linux

نظامان ، على سبيل المثال.

الخطوة الأولى: تثبيت أداة Certbot على الخادم

نحتاج إلى دعوة "الخادم الآلي" إلى الخادم أولاً.

إذا كان نظام الخادم الخاص بك هو أوبونتو:

يأتي Ubuntu مع مدير الحزم الخاص به ، وهو مناسب ، حيث يقوم بتشغيل الأوامر التالية مباشرة:

باش

# تحديث مصدر البرنامج

Sudo apt update

# تثبيت certbot والإضافات المخصصة لـ nginx

Sudo apt install certbot python3-certbot-nginx -y

إذا كان نظام الخادم الخاص بك هو CentOS / Alibaba Cloud Linux:

يحتاج CentOS إلى فتح مصدر امتداد EPEL للعثور على Certbot.

باش

# تثبيت مصدر تمديد EPEL

Sudo yum install epel-release -y

# تثبيت المكونات الإضافية certbot و nginx

Sudo yum install certbot python3-certbot-nginx -y

الخطوة الثانية: سطر واحد من الأوامر ، التطبيق التلقائي وتكوين شهادة SSL

أفضل ما في Certbot هو أنه يحتوي على وضع المسح التلقائي "على غرار الغبي". سيقرأ تلقائيًا ملف تعريف Nginx في الخادم الخاص بك ، ويجد اسم المجال الذي قمت بربطه ، ثم يساعدك تلقائيًا على التقدم للحصول على شهادة إلى Let's Encrypt.

يرجى إدخال الأوامر التي لا تقهر التالية في المحطة الطرفية:

باش

Sudo certbot-nginx

بعد التنفيذ ، ستظهر المحطة مطالبة تفاعلية. لا داعي للذعر ، اتبع مطالبتي الحقيقية وأدخل خطوة بخطوة:

أدخل عنوان البريد الإلكتروني: أدخل بريدك الإلكتروني المعتاد. صندوق البريد هذا مهم للغاية ، إذا تم تعليق البرنامج النصي للتجديد التلقائي عن طريق الخطأ في يوم من الأيام ، فسوف يرسل Let's Encrypt رسالة بريد إلكتروني لتذكيرك بمكافحة الحريق قبل 20 يومًا من انتهاء صلاحية الشهادة.

الموافقة على شروط الخدمة: أدخل A(Agree) مباشرة.

ما إذا كنت ستقبل البريد الإلكتروني للراعي (يمكنك الذهاب إلى البريد الإلكتروني الخاص بك...): أدخل N(No) مرة أخرى لتجنب تلقي رسائل البريد الإلكتروني غير المرغوب فيها كل يوم.

اختر اسم المجال الذي تريد فتح HTTPS: في هذا الوقت ، ستدرج Certbot بشكل سحري جميع أسماء النطاقات التي تم تكوينها في Nginx (مثل 1: yourname.com ، 2: www)

. Yourname.com). كيفية الاختيار: إذا كنت ترغب في إضافة HTTPS لهذين النطاقين ، فاكتب مباشرة إلى السيارة (حدد الكل بشكل افتراضي) ، أو أدخل الأرقام المقابلة مفصولة بفاصلة.

بعد الضغط على السيارة الخلفية ، ستومض الشاشة بجنون عبر مجموعة من الرموز (هذا هو "التحقق من مصافحة الإنسان والآلة" الذي تقوم به Certbot مع خادم Let's Encrypt).

انتظر 5 إلى 10 ثوان عندما ترى كبيرة في النهاية على الشاشة

الكونغرس! لديك...

في ذلك الوقت ، اشرح أنه تم إصدار الشهادة بنجاح!

ما هو أكثر من ذلك ، Certbot بالفعل

تم تعديل ملف تعريف Nginx الخاص بك تلقائيًا

، قم بملء مسار المفتاح المرهق ، ومراقبة المنفذ 443 ، وخوارزمية تشفير SSL تلقائيًا.

الخطوة الثالثة: التحقق النهائي

في هذا الوقت ، يمكنك إغلاق سطر الأوامر السوداء وفتح متصفح الكمبيوتر الخاص بك.

أدخل اسم النطاق الذي لا يحمل https://s في شريط العنوان (على سبيل المثال:

إتش تي

Tp: // www.yourname.com) ، ستجد أن النظام سيساعدك تلقائيًا على القفز إلى ht مع قفل الأمان

Tps: // www.yourname.com

.

انقر فوق القفل الصغير الرائع على الجانب الأيسر من اسم المجال لعرض تفاصيل الشهادة ، وسترى أن الجهة الصادرة تقول بوضوح:

ليتس إنشاير

. في هذه المرحلة ، قام خادم Alibaba Cloud الخاص بك بارتداء الدروع الواقية من HTTPS!

الخطوة 4: راحة البال-تكوين مهام التجديد التلقائي

كما ذكرنا سابقًا ، هذه الشهادة صالحة لمدة 90 يومًا فقط. على الرغم من أن Certbot يضيف عادة مهمة توقيت إلى النظام افتراضيًا عند تثبيته ، لضمان عدم وجود أي خطأ ، يجب علينا التحقق يدويًا واختبار ما إذا كانت "الحلقة الميتة للتجديد" تعمل بشكل صحيح.

1. محاكاة اختبار التجديد (لا تمرين فعلي ، فقط العملية)

أدخل الأمر التالي للسماح لـ Certbot بمحاكاة عملية التجديد بعد انتهاء صلاحية الشهادة:

باش

Sudo certbot renew-dry-run

إذا كانت الشاشة تظهر في النهاية

أنت لست كذلك

أو لا يوجد خطأ ، مما يعني أن نواة التجديد التلقائي صحية تمامًا.

2. فرض التأمين: إضافة مهمة توقيت Linux Cron

من أجل منع التجديد التلقائي الافتراضي من التعليق بسبب التغييرات في بيئة النظام ، عادة ما يضيف السائقون القدامى في الصناعة تأمينًا مزدوجًا إلى مهمة توقيت Linux (Crontab).

حساب علي يون!

أدخل الأمر التالي لفتح محرر مهام توقيت النظام:

باش

Sudo crontab-

هـ

في الجزء السفلي من الملف ، قم بلصق السطر التالي من الأوامر:

نص عادي

0 3 * * * certbot renew-post-hook "systemctl reload nginx"

يعني هذا الرمز: دع الخادم ينفذ تلقائيًا أمر اجتماع certbot في الخلفية في الساعة 3:00 صباحًا كل يوم. Certbot ذكي للغاية. إذا وجدت أن الشهادة لم تنته بعد (الوقت المتبقي أكبر من 30 يومًا) ، فلن تفعل شيئًا ؛ بمجرد أن تكون الشهادة على بعد أقل من 30 يومًا من انتهاء الصلاحية ، ستتقدم تلقائيًا للحصول على شهادة جديدة في الخلفية ، وتمرر-hook دع Nginx يعيد تحميل (Reload) مجرد تكوين وتطبيق الشهادات الجديدة بسلاسة.

حفظ والخروج. مع هذا الأمر ، يمكنك حذف "انتهاء صلاحية شهادة SSL" تمامًا من منطقة ذاكرة دماغك.

خاتمة وملخص تجنب الحفرة

بعد قراءة العملية بأكملها ، هل وجدت أنه في الواقع ، يستغرق الأمر أقل من 5 دقائق للحصول على HTTPS مجاني على Aliyun ؟

أخيرًا ، لخص الحفر المظلمة التي يسهل على المبتدئين الدخول عليها:

لا تفوت أسماء نطاقات المستوى الثاني: إذا كنت تريد أن تصبح yourname.com آمنة api.yourname.com آمنة ، قبل التقدم بطلب للحصول على شهادة ، تأكد من أن Nginx server_name لأسماء نطاقات المستوى الثاني هذه قد تم تكوينها بشكل صحيح ، كما تمت إضافة تحليل سحابة علي.

يحظر خلط هذا الأمر على الخوادم التي تحتوي على لوحات Pagoda: إذا قمت بتثبيت "لوحة Pagoda" وغيرها من الأدوات المرئية على خادم Alibaba Cloud ، فيرجى النقر فوق "تطبيق شهادة Let's Encrypt" مباشرة في الواجهة الرسومية للوحة ، ولا تذهب إلى سطر الأوامر لتشغيل Certbot. نظرًا لأن لوحة التصور تحتوي على مجموعة قواعد تكوين Nginx الخاصة بها ، فإن استخدام الأوامر الأصلية لتغيير ملفات التكوين الخاصة باللوحة سيؤدي مباشرة إلى الانهيار.

الآن ، لا يقتصر موقع الويب الخاص بك على منع الاختطاف بشكل آمن فحسب ، بل يمكنه أيضًا الحصول على نقاط وزن أعلى في نظر محركات البحث الرئيسية. اسرع لتعليق القفل الصغير المجاني الخاص بك!

حساب علي يون!