Le domaine d'un site Web doit avoir un cryptage SSL/TLS s'il a l'intention d'attirer des visiteurs. Les certificats SSL/TLS fournissent une connexion solide entre les serveurs Web et les navigateurs. Auparavant, la sécurité n'était pas une préoccupation majeure. Il était relativement courant que les sites Web fournissent des données via le protocole HTTP établi. De nos jours, le canal utilisé pour communiquer avec le serveur doit cependant être sécurisé, car les cybercrimes, notamment le vol d'identité, la fraude par carte de crédit et l'espionnage, sont en augmentation.
Une autorité de certification (CA) appelée Let's Encrypt propose des certificats SSL/TLS gratuits, permettant le cryptage HTTPS sur les serveurs Web. C'est un domaine vérifié, donc une adresse IP dédiée n'est pas nécessaire. Il est généralement conseillé d'avoir un certificat SSL activé sur votre site Web pour améliorer votre classement SEO, en particulier sur Google.
Fonctionnement de Let's Encrypt
Let's Encrypt confirme la propriété du domaine avant de fournir un certificat. Lorsque le token est validé, le serveur de validation Let’s Encrypt effectue une requête HTTP pour obtenir le fichier et s’assure que l’enregistrement DNS du domaine pointe vers le serveur hébergeant le client Let’s Encrypt.
Conditions
Vous devez faire ce qui suit avant d'utiliser Let's Encrypt :
Suivez les instructions de ce premier tutoriel de configuration de serveur pour Ubuntu 20.04, une fois le serveur Ubuntu 20.04 configuré, avec un pare-feu et un utilisateur non root avec un accès sudo.
Un nom de domaine avec enregistrement. Tout au long de cet article, myfirstproject1.com sera utilisé. Vous pouvez acheter un domaine.
Les deux enregistrements DNS suivants sont configurés sur votre serveur.
- Un enregistrement 'myproject1' avec myfirstproject1.com pointant vers l'adresse IP publique de votre serveur
- Un enregistrement 'myproject2' avec myfirstproject2.com pointant vers l'adresse IP publique de votre serveur.
Nginx doit être installé et vous devez vous assurer que votre domaine dispose d'un bloc de serveur.
Étapes pour installer Let's Encrypt sur Digital Ocean
Les principales étapes pour installer Let’s Encrypt sur l’océan numérique sont :
Installation de Certbot
Le logiciel Certbot est le principal besoin d'utiliser Let's Encrypt pour obtenir un certificat SSL. Pour installer Certbot et son plugin Nginx, nous utilisons la commande suivante :
La plupart des sociétés d'hébergement mutualisé et certaines sociétés d'hébergement cloud intègrent Certbot ou un plugin similaire dans le panneau d'hébergement de site Web qui vous permet d'acheter, de renouveler et d'administrer des certificats SSL/TLS en quelques clics.
Alors que 'python3-certbot-nginx' est un package utilisé pour :
Démontrez immédiatement à l'autorité de certification Let's Encrypt que vous êtes responsable du site Web.
- Conservez des enregistrements indiquant quand votre licence doit être mise à niveau et quand elle est sur le point d'expirer.
- Obtenez et installez un certificat approuvé par le navigateur sur n'importe quel serveur Web.
- Vous aider à révoquer le certificat en cas de besoin.
Certbot est maintenant prêt à être utilisé, mais certains de ses paramètres doivent être confirmés avant de pouvoir configurer automatiquement SSL pour Nginx.
Vérification de la configuration de Nginx
Certbot doit pouvoir configurer SSL automatiquement. Il doit pouvoir localiser le bloc de serveur approprié dans votre configuration Nginx. Plus précisément, il accomplit cela en recherchant une directive de nom de serveur correspondant au domaine pour lequel vous demandez un certificat.
Il devrait déjà avoir la directive de nom de serveur correctement configurée dans un bloc de serveur pour le domaine, que nous utiliserons dans '/etc/nginx/sites-available/myfirstproject1.com'.
Ouvrez le fichier de configuration du domaine dans nano ou votre autre éditeur de texte pour vérifier que votre fichier sera ouvert s'il existe, fermez votre éditeur et passez à l'action suivante. Le nom du serveur ressemblera à 'server_name domain_name www.domain_name.com ', comme le montre l'extrait ci-dessous.
S'il ne change pas, il correspond. Vérifiez la syntaxe de vos modifications de configuration après avoir enregistré le fichier et fermé votre éditeur. Utilisez les instructions suivantes pour vérifier :
$ sudo nginx-tRechargez Nginx pour charger la configuration mise à jour après vous être assuré que la syntaxe de votre fichier de configuration est correcte :
$ sudo systemctl recharger nginxDésormais, Certbot peut automatiquement localiser le bon bloc de serveur et le mettre à jour. Un systemctl est chargé d'inspecter et de gérer le système systemd et la gestion des services. Il remplace le démon d'initialisation System V et se compose de plusieurs bibliothèques, outils et démons d'administration système.
Activer HTTPS via le pare-feu
Les recommandations requises vous conseillent d'activer le pare-feu UFW. Vous devez modifier les paramètres pour autoriser le trafic HTTPS.
L'option d'état UFW nous permet d'afficher l'état le plus récent d'UFW. L'état UFW affiche une liste de réglementations si UFW est activé. Bien sûr, si vous disposez des informations d'identification nécessaires, vous ne pouvez exécuter la commande qu'en tant qu'utilisateur root ou en la préfixant avec sudo.
Activez le profil complet Nginx et supprimez l'allocation de profil HTTP Nginx inutile pour autoriser également le trafic HTTPS :
L'extrait précédent montre la méthode pour autoriser le trafic complet de Nginx et le second montre comment supprimer l'autre trafic que nous avons autorisé.
Comment obtenir un certificat SSL
À l'aide de plugins, Certbot propose plusieurs façons d'obtenir des certificats SSL. La configuration de Nginx et le rechargement de la configuration seront gérés par le plugin Nginx selon les besoins.
Utilisez le Certbot pour obtenir immédiatement le certificat SSL du domaine. Pour indiquer le domaine, un argument '-d' est nécessaire. Un certificat est émis par Let's Encrypt pour le sous-domaine www et la racine. Il est nécessaire d'obtenir le certificat pour les deux versions car le fait d'en avoir un seul pour l'une ou l'autre version entraînera un avertissement dans le navigateur si un visiteur visualise l'autre version. Pour les nouveaux utilisateurs, certbot vous demande de fournir votre e-mail pour la première fois et de confirmer que vous acceptez les conditions d'utilisation.
Si cela réussissait, il vous demanderait de faire votre sélection et d'appuyer sur ENTER. Après la mise à jour de la configuration, Nginx rechargera et prendra en compte les nouveaux paramètres. Une fois terminé, certbot vous informera que la procédure a réussi.
Conclusion
Dans ce guide, nous avons montré comment installer et utiliser le certbot logiciel Let's Encrypt, obtenir un certificat SSL, configurer votre mise à jour automatique pour un certificat SSL et configurer Nginx. De plus, nous vous avons également fourni quelques exemples de situations pouvant entraîner des problèmes de compilation lors de l'utilisation de Let's Encrypt Digital Ocean.