ວິທີການຮັບປະກັນ Nginx ດ້ວຍ SSL ແລະ Let’s Encrypt ໃນ FreeBSD


ໃນຄູ່ມືນີ້ພວກເຮົາຈະປຶກສາຫາລືກ່ຽວກັບວິທີການຮັບປະກັນເຄື່ອງແມ່ຂ່າຍເວັບໄຊທ໌ Nginx ໃນ FreeBSD ດ້ວຍໃບຢັ້ງຢືນ TLS/SSL ທີ່ສະ ເໜີ ໂດຍ Let’s Encrypt Certificate Authority. ພວກເຮົາຍັງຈະສະແດງວິທີການຕໍ່ໃບຢັ້ງຢືນການເຂົ້າລະຫັດຂອງຂໍ້ມູນໃຫ້ໂດຍອັດຕະໂນມັດກ່ອນວັນ ໝົດ ອາຍຸ.

TLS, ຊື່ຫຍໍ້ ສຳ ລັບຄວາມປອດໄພຂອງລະບົບການຂົນສົ່ງ, ແມ່ນໂປໂຕຄອນທີ່ເຮັດວຽກພາຍໃຕ້ໂປໂຕຄອນ HTTP ແລະໃຊ້ໃບຢັ້ງຢືນແລະກຸນແຈເພື່ອ encapsulate ແພັກເກັດແລະເຂົ້າລະຫັດຂໍ້ມູນທີ່ແລກປ່ຽນລະຫວ່າງເຄື່ອງແມ່ຂ່າຍແລະລູກຄ້າ, ຫຼືໃນກໍລະນີນີ້ລະຫວ່າງເຄື່ອງແມ່ຂ່າຍເວັບໄຊຕ໌ Nginx ແລະລູກຄ້າຂອງລູກຄ້າ browser, ເພື່ອຮັບປະກັນການເຊື່ອມຕໍ່, ດັ່ງນັ້ນບຸກຄົນທີສາມ, ຜູ້ທີ່ອາດຈະຂັດຂວາງການຈະລາຈອນ, ບໍ່ສາມາດຖອດລະຫັດການສົ່ງຕໍ່.

ຂັ້ນຕອນໃນການໄດ້ຮັບໃບຢັ້ງຢືນລະຫັດ Let’s Encrypt ໃນ FreeBSD ສາມາດເຮັດໄດ້ງ່າຍຂື້ນໂດຍການຕິດຕັ້ງເຄື່ອງໃຊ້ ສຳ ລັບລູກຄ້າ certboot, ເຊິ່ງລູກຄ້າຂອງ Let’s Encrypt ຢ່າງເປັນທາງການໃຊ້ໃນການຜະລິດແລະດາວໂຫລດໃບຢັ້ງຢືນ.

<

  • ຕິດຕັ້ງ FBEMP (Nginx, MariaDB ແລະ PHP) ຕິດຕັ້ງໃນ FreeBSD
  • ຂັ້ນຕອນທີ 1: ຕັ້ງຄ່າ Nginx TLS/SSL

    1. ໂດຍຄ່າເລີ່ມຕົ້ນ, ການຕັ້ງຄ່າເຊີຟເວີ TLS/SSL ບໍ່ຖືກເປີດໃຊ້ໃນ FreeBSD ເພາະວ່າເອກະສານລາຍງານການບລັອກເຊີຟເວີຂອງ TLS ຈະຖືກສະແດງ ຄຳ ເຫັນໃນເອກະສານການຕັ້ງຄ່າເລີ່ມຕົ້ນຂອງ Nginx.

    ເພື່ອກະຕຸ້ນເຄື່ອງແມ່ຂ່າຍຂອງ TLS ໃນ Nginx, ເປີດໄຟລ໌ການຕັ້ງຄ່າ nginx.conf, ຄົ້ນຫາເສັ້ນທີ່ ກຳ ນົດການເລີ່ມຕົ້ນຂອງ SSL server ແລະປັບປຸງ block ທັງ ໝົດ ໃຫ້ຄືໃນຕົວຢ່າງຂ້າງລຸ່ມນີ້.

    # nano /usr/local/etc/nginx/nginx.conf
    

    ບົດຄັດຫຍໍ້ຂອງ Nginx HTTPS:

    server {
           listen 443 ssl  default_server;
           server_name  www.yourdomain.com;
    	
    	access_log /var/log/nginx/access.log;
    	error_log /var/log/nginx/error.log;
    	error_page   500 502 503 504  /50x.html;
            
    	location = /50x.html {
                root   /usr/local/www/nginx-dist;
            }
    	
    	location / {
    	    root   /usr/local/www/nginx;
           	    index  index.html index.htm;
    	    try_files $uri $uri/ /index.php?$args;
    				}
    
    	ssl_certificate "/usr/local/etc/letsencrypt/live/www.yourdomain.com/cert.pem";
    	ssl_certificate_key "/usr/local/etc/letsencrypt/live/www.yourdomain.com/privkey.pem";
    	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    	ssl_dhparam /usr/local/etc/nginx/dhparam.pem;
    	ssl_session_cache shared:SSL:1m;
    	ssl_session_timeout 10m;
    	ssl_ciphers HIGH:!aNULL:!MD5;
    	ssl_prefer_server_ciphers  on;
    
    	# Use gzip compression
    gzip on;
    gzip_disable "msie6";
    gzip_vary on;
    gzip_proxied any;
    gzip_comp_level 5;
    gzip_buffers 16 8k;
    gzip_http_version 1.0;
    
    	# Set a variable to work around the lack of nested conditionals
    	
    	set $cache_uri $request_uri;
    	
    	location ~ /.well-known {
    	allow all;
    		}
        
    
    
            location ~ \.php$ {
            root	/usr/local/www/nginx;
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            #fastcgi_param  SCRIPT_FILENAME /scripts$fastcgi_script_name;
            fastcgi_param SCRIPT_FILENAME $request_filename;    
    		include        fastcgi_params;
            }	
        }
    

    ບລັອກຂ້າງເທິງ, ນອກ ເໜືອ ຈາກ SSL block, ຍັງມີບາງ ຄຳ ຖະແຫຼງການ ສຳ ລັບການເຮັດໃຫ້ການບີບອັດ gzip ແລະຜູ້ຈັດການ Process FastCGI, ໃຊ້ ສຳ ລັບການຖ່າຍທອດລະຫັດ PHP ໄປທີ່ປະຕູ PHP-FPM ເພື່ອໃຫ້ສາມາດ ນຳ ໃຊ້ໂປແກຼມເວັບແບບເຄື່ອນໄຫວໄດ້.

    ຫຼັງຈາກທີ່ທ່ານໄດ້ເພີ່ມລະຫັດຂ້າງເທິງໃສ່ແຟ້ມການຕັ້ງຄ່າຕົ້ນຕໍຂອງ Nginx, ຢ່າເລີ່ມຕົ້ນ daemon ຫຼືໃຊ້ການຕັ້ງຄ່າກ່ອນທີ່ຈະຕິດຕັ້ງແລະໄດ້ຮັບໃບຢັ້ງຢືນ Let’s Encrypt ສຳ ລັບໂດເມນຂອງທ່ານ.

    ຂັ້ນຕອນທີ 2: ຕິດຕັ້ງລູກຄ້າ Certbot ໃນ FreeBSD

    2. ຂັ້ນຕອນໃນການຕິດຕັ້ງລະບົບປະໂຫຍດຂອງລູກຄ້າ Let’s Encrypt certbot ໃນ FreeBSD ກ່ຽວຂ້ອງກັບການດາວໂຫລດລະຫັດແຫຼ່ງ ສຳ ລັບ py-certbot ແລະລວບລວມຂໍ້ມູນໃນທ້ອງຖິ່ນ, ໂດຍການອອກ ຄຳ ສັ່ງລຸ່ມນີ້.

    # cd /usr/ports/security/py-certbot
    # make install clean
    

    3. ການລວບລວມຜົນປະໂຫຍດຂອງ py-certbot ໃຊ້ເວລາຫຼາຍເມື່ອທຽບໃສ່ກັບການຕິດຕັ້ງຊຸດໄບນາລີ ທຳ ມະດາ. ໃນລະຫວ່າງເວລານີ້, ຈຳ ເປັນຕ້ອງມີການດາວໂຫລດຫລາຍເພື່ອກຂື້ນໃນການລວບລວມຢູ່ໃນທ້ອງຖິ່ນໃນ FreeBSD.

    ພ້ອມກັນນີ້, ຊຸດຂໍ້ແນະ ນຳ ຕ່າງໆຈະປາກົດຢູ່ ໜ້າ ຈໍຂອງທ່ານ, ຮຽກຮ້ອງໃຫ້ທ່ານເລືອກເອົາຊຸດໃດທີ່ຈະຖືກ ນຳ ໃຊ້ໃນເວລາລວບລວມ ສຳ ລັບແຕ່ລະການເພິ່ງພາອາໃສ. ໃນ ໜ້າ ຈໍ ທຳ ອິດ, ເລືອກເຄື່ອງມືຕໍ່ໄປນີ້, ໂດຍກົດປຸ່ມ [space], ສຳ ລັບການລວບລວມຄວາມເພິ່ງພາຂອງ python27, ດັ່ງທີ່ສະແດງຢູ່ໃນຮູບຂ້າງລຸ່ມນີ້.

    • IPV6
    • LIBFFI
    • NLS
    • PYMALLOC
    • ບາດແຜ
    • UCS4 ສຳ ລັບການສະ ໜັບ ສະ ໜູນ Unicode

    4. ຕໍ່ໄປ, ເລືອກ DOCS ແລະ THREADS ເພື່ອຄວາມເອື່ອຍອີງຂອງເຄື່ອງມື gettext ແລະກົດ OK ເພື່ອ ດຳ ເນີນການຕໍ່ໄປດັ່ງຮູບຂ້າງລຸ່ມ

    5. ໃນ ໜ້າ ຈໍຕໍ່ໄປປ່ອຍໃຫ້ TESTS Option ຖືກປິດໃຊ້ງານ ສຳ ລັບ libffi-3.2.1 ແລ້ວກົດ OK ເພື່ອຍ້າຍຕໍ່ໄປ.

    6. ຖັດໄປ, ກົດພື້ນທີ່ເພື່ອເລືອກ DOCS ສຳ ລັບຄວາມເພິ່ງພາອາໄສ py27-enum34, ເຊິ່ງຈະຕິດຕັ້ງເອກະສານ ສຳ ລັບເຄື່ອງມືນີ້, ແລະກົດ OK ເພື່ອ ດຳ ເນີນການຕໍ່, ດັ່ງທີ່ສະແດງຢູ່ໃນ ໜ້າ ຈໍຂ້າງລຸ່ມນີ້.

    7. ສຸດທ້າຍ, ເລືອກທີ່ຈະຕິດຕັ້ງຕົວຢ່າງຕົວຢ່າງ ສຳ ລັບການເພິ່ງພາອາໄສ py27-openssl ໂດຍກົດປຸ່ມ [space] ແລະກົດ OK ເພື່ອ ສຳ ເລັດຂັ້ນຕອນການລວບລວມແລະຕິດຕັ້ງ ສຳ ລັບລູກຄ້າ py-certbot.

    8. ຫຼັງຈາກຂັ້ນຕອນການລວບລວມແລະຕິດຕັ້ງອຸປະກອນໄຟຟ້າ py-certbot ສິ້ນສຸດແລ້ວ, ໃຫ້ເຮັດຕາມ ຄຳ ສັ່ງດ້ານລຸ່ມເພື່ອຍົກລະດັບເຄື່ອງມືດັ່ງກ່າວໃນເວີຊັນລ້າສຸດຂອງຊຸດດັ່ງທີ່ສະແດງຢູ່ໃນພາບ ໜ້າ ຈໍຂ້າງລຸ່ມນີ້.

    # pkg install py27-certbot
    

    9. ເພື່ອຫລີກລ້ຽງບັນຫາບາງຢ່າງມັນອາດຈະເກີດຂື້ນໃນຂະນະທີ່ໄດ້ຮັບໃບຢັ້ງຢືນ Let’s Encrypt ແບບບໍ່ເສຍຄ່າ, ຂໍ້ຜິດພາດທົ່ວໄປທີ່ສຸດແມ່ນ“ pkg_resources.DistributionNotFound”, ໃຫ້ແນ່ໃຈວ່າການເພິ່ງພາສອງຕໍ່ໄປນີ້ຍັງມີຢູ່ໃນລະບົບຂອງທ່ານຄື: py27-salt ແລະ py27-acme .

    # pkg install py27-salt
    # pkg install py27-acme
    

    ຂັ້ນຕອນທີ 3: ຕິດຕັ້ງໃບຢັ້ງຢືນລະຫັດ Letin encryption ຂອງ Nginx ໃນ FreeBSD

    10. ເພື່ອທີ່ຈະໄດ້ໃບຢັ້ງຢືນການຢືນຢັນຂອງ Let’s Encrypt ສຳ ລັບໂດເມນຂອງທ່ານ, ດຳ ເນີນການ ຄຳ ສັ່ງຕໍ່ໄປນີ້ແລະໃຫ້ຊື່ໂດເມນແລະໂດເມນຍ່ອຍທັງ ໝົດ ທີ່ທ່ານຕ້ອງການທີ່ຈະໄດ້ຮັບໃບຢັ້ງຢືນ ສຳ ລັບໂດຍການ ນຳ ໃຊ້ທຸງ -d .

    # certbot certonly --standalone -d yourdomain.com -d www.yourdomain.com
    

    11. ໃນຂະນະທີ່ຜະລິດໃບຢັ້ງຢືນທ່ານຈະຖືກຮ້ອງຂໍໃຫ້ໃສ່ທີ່ຢູ່ອີເມວຂອງທ່ານແລະເຫັນດີກັບຂໍ້ ກຳ ນົດຂອງການໃຫ້ບໍລິການຂອງ Encrypt. ພິມລະຫັດ ຈາກແປ້ນພິມເພື່ອຕົກລົງເຫັນດີແລະ ດຳ ເນີນຕໍ່ໄປແລະທ່ານຍັງຈະຖືກຖາມວ່າທ່ານຍິນດີທີ່ຈະແບ່ງປັນທີ່ຢູ່ອີເມວຂອງທ່ານກັບຄູ່ຮ່ວມງານຂອງ Encrypt.

    ໃນກໍລະນີທີ່ທ່ານບໍ່ຕ້ອງການແບ່ງປັນທີ່ຢູ່ອີເມວຂອງທ່ານ, ພຽງແຕ່ພິມ ຄຳ ສັ່ງ <ລະຫັດທີ່ບໍ່ມີ ໃນປຸ່ມພ້ອມແລະກົດປຸ່ມ [enter] ເພື່ອ ດຳ ເນີນການຕໍ່ໄປ. ຫຼັງຈາກໃບຢັ້ງຢືນ ສຳ ລັບໂດເມນຂອງທ່ານໄດ້ຮັບຜົນ ສຳ ເລັດແລ້ວ, ທ່ານຈະໄດ້ຮັບບັນທຶກທີ່ ສຳ ຄັນເຊິ່ງຈະແຈ້ງໃຫ້ທ່ານຊາບວ່າໃບຢັ້ງຢືນຖືກເກັບໄວ້ໃນລະບົບຂອງທ່ານແລະເມື່ອພວກເຂົາ ໝົດ ອາຍຸ.

    12. ໃນກໍລະນີທີ່ທ່ານຕ້ອງການໄດ້ຮັບໃບຢັ້ງຢືນ Let’s Encrypt ໂດຍໃຊ້ໂປແກຼມ“ webroot” ໂດຍການເພີ່ມເວັບໄຊທ໌ໄດເລກະທໍລີ Nginx ສຳ ລັບໂດເມນຂອງທ່ານ, ໃຫ້ອອກ ຄຳ ສັ່ງຕໍ່ໄປນີ້ກັບ --webroot ແລະ -w ທຸງ. ໂດຍຄ່າເລີ່ມຕົ້ນ, ຖ້າທ່ານບໍ່ໄດ້ປ່ຽນເສັ້ນທາງ Nginx webroot, ມັນຄວນຕັ້ງຢູ່ໃນ/usr/local/www/nginx/ລະບົບເສັ້ນທາງ.

    # certbot certonly --webroot -w /usr/local/www/nginx/ -d yourdomain.com -d www.yourdomain.com
    

    ເຊັ່ນດຽວກັບໃນຂັ້ນຕອນ --strandalone ເພື່ອຂໍໃບຢັ້ງຢືນ, ຂັ້ນຕອນ --webroot ຍັງຈະຮ້ອງຂໍໃຫ້ທ່ານສະ ໜອງ ທີ່ຢູ່ອີເມວ ສຳ ລັບການຕໍ່ອາຍຸໃບຢັ້ງຢືນແລະແຈ້ງການຄວາມປອດໄພ, ເພື່ອກົດ < a ເພື່ອເຫັນດີກັບຂໍ້ ກຳ ນົດແລະຂໍ້ ກຳ ນົດຂອງ Let's Encrypt ແລະ ບໍ່ ຫຼື ແມ່ນແລ້ວ ເພື່ອຫຼືບໍ່ແບ່ງປັນທີ່ຢູ່ອີເມວໃຫ້ຄູ່ຮ່ວມງານ Encrypt ເປັນດັ່ງທີ່ສະແດງຢູ່ໃນຕົວຢ່າງຂ້າງລຸ່ມນີ້.

    ຈົ່ງຮູ້ວ່າລູກຄ້າ certbot ສາມາດກວດພົບທີ່ຢູ່ອີເມວປອມແລະຈະບໍ່ຊ່ວຍໃຫ້ທ່ານສືບຕໍ່ສ້າງໃບຢັ້ງຢືນຈົນກວ່າທ່ານຈະສະ ໜອງ ທີ່ຢູ່ອີເມວທີ່ແທ້ຈິງ.

    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    Enter email address (used for urgent renewal and security notices) (Enter 'c' to
    cancel):[email   #A fake email address will be detected
    There seem to be problems with that address. Enter email address (used for
    urgent renewal and security notices)  If you really want to skip this, you can
    run the client with --register-unsafely-without-email but make sure you then
    backup your account key from /etc/letsencrypt/accounts   (Enter 'c' to cancel):[email 
    
    -------------------------------------------------------------------------------
    Please read the Terms of Service at
    https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf. You must agree
    in order to register with the ACME server at
    https://acme-v01.api.letsencrypt.org/directory
    -------------------------------------------------------------------------------
    (A)gree/(C)ancel: a ------------------------------------------------------------------------------- Would you be willing to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about EFF and our work to encrypt the web, protect its users and defend digital rights. ------------------------------------------------------------------------------- (Y)es/(N)o: n Obtaining a new certificate Performing the following challenges: http-01 challenge for www.domain.com Using the webroot path /usr/local/www/nginx/ for all unmatched domains. Waiting for verification... Cleaning up challenges IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /usr/local/etc/letsencrypt/live/www.yourdomain.com/fullchain.pem. Your cert will expire on 2017-12-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - Your account credentials have been saved in your Certbot configuration directory at /usr/local/etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le

    ຂັ້ນຕອນທີ 4: ປັບປຸງໃບຢັ້ງຢືນ Nginx TLS

    13. ທີ່ຕັ້ງຂອງໃບຢັ້ງຢືນ Let’s Encrypt ແລະຄີໃນ FreeBSD ແມ່ນ /usr/local/etc/letsencrypt/live/www.yourdomain.com/ ລະບົບເສັ້ນທາງ. ອອກ ຄຳ ສັ່ງ ls ເພື່ອສະແດງສ່ວນປະກອບຂອງໃບຢັ້ງຢືນ Let’s Encrypt: ເອກະສານລະບົບຕ່ອງໂສ້, ແຟ້ມ fullchain, ຄີສ່ວນຕົວແລະເອກະສານໃບຢັ້ງຢືນ, ດັ່ງທີ່ສະແດງໃນຕົວຢ່າງຕໍ່ໄປນີ້.

    # ls /usr/local/etc/letsencrypt/live/www.yourdomain.com/
    

    14. ໃນການຕິດຕັ້ງໃບຢັ້ງຢືນ Let's Encrypt ສຳ ລັບໂດເມນຂອງທ່ານໃນ Nginx web server, ເປີດແຟ້ມການຕັ້ງຄ່າຕົ້ນຕໍຂອງ Nginx ຫຼືແຟ້ມການຕັ້ງຄ່າ ສຳ ລັບເຄື່ອງແມ່ຂ່າຍ Nginx TLS, ໃນກໍລະນີມັນເປັນເອກະສານແຍກຕ່າງຫາກ, ແລະປັບປ່ຽນເສັ້ນທາງລຸ່ມນີ້ເພື່ອສະທ້ອນໃຫ້ເຫັນເສັ້ນທາງຂອງການເຂົ້າລະຫັດຂອງ Encrypt. ອອກໃບຢັ້ງຢືນເປັນຮູບຂ້າງລຸ່ມນີ້.

    # nano /usr/local/etc/nginx/nginx.conf
    

    ປັບປຸງສາຍຕໍ່ໄປນີ້ເພື່ອເບິ່ງໃນຕົວຢ່າງນີ້:

    ssl_certificate "/usr/local/etc/letsencrypt/live/www.yourdomain.com/cert.pem";
    	ssl_certificate_key "/usr/local/etc/letsencrypt/live/www.yourdomain.com/privkey.pem";
    

    15. ພ້ອມກັນນີ້, ຖ້າເສັ້ນ ssl_dhparam ມີຢູ່ໃນການຕັ້ງຄ່າ Nginx SSL, ທ່ານຄວນສ້າງຄີ Diffie – Hellman ທີ່ມີຄ່າ ໃໝ່ 2048 ນ້ອຍພ້ອມດ້ວຍ ຄຳ ສັ່ງຕໍ່ໄປນີ້:

    # openssl dhparam –out /usr/local/etc/nginx/dhparam.pem 2048 
    

    16. ສຸດທ້າຍ, ເພື່ອກະຕຸ້ນການຕັ້ງຄ່າ Nginx TLS, ທຳ ອິດກວດເບິ່ງການຕັ້ງຄ່າ Nginx ທົ່ວໂລກ ສຳ ລັບຂໍ້ຜິດພາດຂອງ syntax ທີ່ເປັນໄປໄດ້ແລະຈາກນັ້ນ, ເລີ່ມການບໍລິການ Nginx ເພື່ອ ນຳ ໃຊ້ການຕັ້ງຄ່າ SSL ໂດຍການອອກ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

    # nginx -t
    # service nginx restart
    

    17. ຢືນຢັນຖ້າ Nginx daemon ກຳ ລັງຜູກຢູ່ເທິງພອດ 443 ໂດຍການອອກ ຄຳ ສັ່ງຕໍ່ໄປນີ້ເຊິ່ງສາມາດບອກລາຍຊື່ທຸກເຄືອຂ່າຍທີ່ເປີດຢູ່ໃນລະບົບໃນສະຖານະການຟັງ.

    # netstat -an -p tcp| grep LISTEN
    # sockstat -4 
    

    18. ທ່ານຍັງສາມາດເຂົ້າເບິ່ງທີ່ຢູ່ໂດເມນຂອງທ່ານໄດ້ໂດຍຜ່ານໂປແກຼມ HTTPS ໂດຍການເປີດໂປແກຼມທ່ອງເວັບແລະພິມທີ່ຢູ່ຕໍ່ໄປນີ້ເພື່ອເປັນການຢັ້ງຢືນວ່າໃບຢັ້ງຢືນ Let’s Encrypt ກຳ ລັງເຮັດວຽກຕາມທີ່ຄາດໄວ້. ເນື່ອງຈາກວ່າທ່ານ ກຳ ລັງໃຊ້ໃບຢັ້ງຢືນທີ່ຜະລິດໂດຍເຈົ້າ ໜ້າ ທີ່ໃບຢັ້ງຢືນທີ່ຖືກຕ້ອງ, ບໍ່ຄວນສະແດງຂໍ້ຜິດພາດໃນຕົວທ່ອງເວັບ.

    https://www.yourdomain.com
    

    ຜົນປະໂຫຍດ Openssl ຍັງສາມາດຊ່ວຍທ່ານຊອກຫາຂໍ້ມູນກ່ຽວກັບໃບຢັ້ງຢືນທີ່ໄດ້ຮັບຈາກ Let’s Encrypt CA, ໂດຍການເຮັດວຽກ ຄຳ ສັ່ງດ້ວຍຕົວເລືອກຕໍ່ໄປນີ້.

    # openssl s_client -connect www.yourdomain.com:443
    

    ໃນກໍລະນີທີ່ທ່ານຕ້ອງການທີ່ຈະບັງຄັບໃຫ້ Nginx ຊີ້ ນຳ ທັງ ໝົດ http ກັບ https ທີ່ໄດ້ຮັບ ສຳ ລັບໂດເມນຂອງທ່ານທີ່ port 80 ເຖິງ HTTPS, ເປີດເອກະສານການຕັ້ງຄ່າ Nginx, ຊອກຫາທິດທາງ server ສຳ ລັບ port 80 ແລະເພີ່ມເສັ້ນທາງລຸ່ມຫຼັງຈາກ ຄຳ ຖະແຫຼງ server_name ດັ່ງທີ່ສະແດງຢູ່ໃນຕົວຢ່າງຂ້າງລຸ່ມນີ້ .

    rewrite ^(.*) https://www.yourdomain.com$1 permanent;
    

    20. ການຕັ້ງຄ່າການຕໍ່ອາຍຸອັດຕະໂນມັດ ສຳ ລັບໃບຢັ້ງຢືນທີ່ອອກໂດຍເຈົ້າ ໜ້າ ທີ່ Let’s Encrypt ກ່ອນທີ່ພວກເຂົາຈະ ໝົດ ອາຍຸໂດຍສາມາດເຮັດວຽກ cron ເພື່ອເຮັດວຽກມື້ລະ ໜຶ່ງ ຄັ້ງໂດຍການອອກ ຄຳ ສັ່ງດັ່ງຕໍ່ໄປນີ້.

    # crontab -e
    

    ວຽກງານ Cron ເພື່ອຕໍ່ໃບຢັ້ງຢືນ.

    0 0 * * * certbot renew >> /var/log/letsencrypt.log
    

    ຫມົດເທົ່ານີ້! ຕອນນີ້ Nginx ສາມາດໃຫ້ບໍລິການຜ່ານເວັບທີ່ປອດໄພຕໍ່ຜູ້ມາຢ້ຽມຢາມຂອງທ່ານໂດຍໃຊ້ໃບຢັ້ງຢືນຂອງ Let’s Encrypt ຟລີ.