چلو ڈیبین 10 لینکس پر انکرپٹ کے ساتھ محفوظ nginx

چلو انکرپٹ ایک آزاد ، خودکار اور اوپن سرٹیفکیٹ اتھارٹی ہے جو انٹرنیٹ سیکیورٹی ریسرچ گروپ (ISRG) کے ذریعہ تیار کیا گیا ہے جو مفت SSL سرٹیفکیٹ مہیا کرتا ہے۔

لیٹ انکرپٹ کے ذریعہ جاری کردہ سرٹیفکیٹ پر تمام بڑے براؤزرز پر بھروسہ کیا جاتا ہے اور جاری ہونے کی تاریخ سے 90 دن کے لئے موزوں ہوتا ہے۔

اس ٹیوٹوریل میں دکھایا گیا ہے کہ ڈیبین 10 ، بیسٹر پر بطور ایک ویب سرور کی حیثیت سے چلنے والے ایک مفت چلو ینکرپٹ ایس ایس ایل سرٹیفکیٹ کو کیسے انسٹال کرنا ہے۔ ہم یہ بھی دکھائیں گے کہ SSL سرٹیفکیٹ کو استعمال کرنے اور HTTP / 2 کو فعال کرنے کے لئے Nginx کو کس طرح تشکیل دیں۔

شرطیں

گائیڈ کے ساتھ آگے بڑھنے سے قبل یقینی بنائیں کہ درج ذیل شرائط کو پورا کیا گیا ہو:

• سوڈو مراعات کے حامل روٹ یا صارف کی حیثیت سے لاگ ان۔ جس ڈومین کے لئے آپ SSL سرٹیفکیٹ لینا چاہتے ہیں اسے آپ کے عوامی سرور IP کی طرف اشارہ کرنا ہوگا۔ ہم example.com ڈاٹ کام استعمال کریں گے۔

سرٹبوٹ انسٹال کرنا

ہم سرٹیفکیٹ لینے اور تجدید کرنے کے لئے سرٹبوٹ ٹول کا استعمال کریں گے۔

سیرٹبوٹ ایک مکمل خصوصیات والا اور استعمال میں آسان ٹول ہے جو چلو انکرپٹ ایس ایس ایل سرٹیفکیٹ کے حصول اور تجدید اور سرٹیفکیٹ کو استعمال کرنے کے لئے ویب سرورز کو تشکیل دینے کے کاموں کو خود کار کرتا ہے۔

سیرٹبوٹ پیکیج ڈیبین کے پہلے سے موجود ذخیروں میں شامل ہے۔ سیرٹبوٹ انسٹال کرنے کے لئے درج ذیل کمانڈ چلائیں:

sudo apt update sudo apt install certbot sudo apt update sudo apt install certbot

ڈی ایچ (ڈیفی ہیلمین) گروپ تیار کرنا

ڈیفی – ہیلمین کیچ ایکسچینج (ڈی ایچ) غیر محفوظ مواصلات چینل پر کرپٹوگرافک چابیاں کا محفوظ طریقے سے تبادلہ کرنے کا ایک طریقہ ہے۔

ہم سلامتی کو مستحکم کرنے کے لئے 2048 بٹ ڈی ایچ پیرامیٹرز کا ایک نیا سیٹ تیار کرنے جارہے ہیں۔

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

آپ سائز کو 4096 بٹس تک بھی تبدیل کرسکتے ہیں ، لیکن سسٹم اینٹروپی کے لحاظ سے نسل 30 منٹ سے زیادہ وقت لے سکتی ہے۔

آئیے اینکرپٹ ایس ایس ایل سرٹیفکیٹ حاصل کرنا

ڈومین کے لئے ایس ایس ایل سرٹیفکیٹ حاصل کرنے کے ل we're ، ہم ویبروٹ پلگ ان استعمال کرنے جارہے ہیں۔ یہ domain ${webroot-path}/.well-known/acme-challenge ڈائرکٹری میں مطلوبہ ڈومین کی توثیق کرنے کے لئے ایک عارضی فائل تشکیل دے کر کام کرتا ہے۔ چلو انکرپٹ سرور عارضی فائل سے HTTP درخواستوں کی توثیق کرتا ہے تاکہ یہ تصدیق کی جاسکے کہ درخواست کردہ ڈومین سرور میں حل ہوجاتا ہے جہاں سرٹیٹ بوٹ چلتا ہے۔

ہم ایک واحد ڈائریکٹری ، /var/lib/letsencrypt .well-known/acme-challenge لئے تمام HTTP درخواستوں کا نقشہ تیار کرنے /var/lib/letsencrypt ۔

ڈائریکٹری بنانے اور اسے Nginx سرور کے ل writ قابل تحریر بنانے کے لئے درج ذیل کمانڈز چلائیں:

mkdir -p /var/lib/letsencrypt/.well-known chgrp www-data /var/lib/letsencrypt chmod g+s /var/lib/letsencrypt

نقل کوڈ سے بچنے کے ل we ، ہم دو ٹکڑوں کو بنائیں گے جو تمام Nginx سرور بلاک فائلوں میں شامل ہوں گے۔

اپنا ٹیکسٹ ایڈیٹر کھولیں اور پہلا ٹکڑا ، letsencrypt.conf ۔

sudo nano /etc/nginx/snippets/letsencrypt.conf /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; }

دوسرے ssl.conf میں موزیلا کی تجویز کردہ ssl.conf شامل ہیں ، OCSP اسٹپلنگ ، HTTP سخت ٹرانسپورٹ سیکیورٹی (HSTS) کو قابل بناتا ہے ، اور کچھ سیکیورٹی پر مرکوز HTTP ہیڈر نافذ کرتا ہے۔

sudo nano /etc/nginx/snippets/ssl.conf /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=63072000" always; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;

ایک بار کام کرنے کے بعد ، ڈومین سرور بلاک فائل کھولیں اور جیسے کہ ذیل میں دکھایا گیا ہے letsencrypt.conf کا ٹکڑا شامل کریں:

sudo nano /etc/nginx/sites-available/example.com /etc/nginx/sites-aval/example.com

server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }

ڈومین سرور بلاک کو اہل بنانے کے ل sites-enabled ڈائریکٹری میں ایک علامتی لنک بنائیں:

sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/

ننگینکس سروس کو تبدیل کرنے کے ل for دوبارہ شروع کریں:

sudo systemctl restart nginx

اب آپ درج ذیل کمانڈ کو چلاتے ہوئے SSL سرٹیفکیٹ فائلوں کو حاصل کرنے کے لئے تیار ہیں:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

اگر SSL سرٹیفکیٹ کامیابی کے ساتھ حاصل کرلیا گیا ہے تو ، مندرجہ ذیل پیغام آپ کے ٹرمینل پر چھا جائے گا:

IMPORTANT NOTES: IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2020-02-22. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

ڈومین سرور بلاک میں ترمیم کریں اور ایس ایس ایل سرٹیفکیٹ فائلوں کو مندرجہ ذیل شامل کریں:

sudo nano /etc/nginx/sites-available/example.com /etc/nginx/sites-aval/example.com

server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }

مذکورہ بالا ترتیب Nginx سے کہتی ہے کہ وہ HTTP سے HTTPS پر اور www سے نان www ورژن میں منتقل ہو۔

تبدیلیوں کے اثر انداز ہونے کے لئے نگنکس سروس کو دوبارہ اسٹارٹ کریں یا دوبارہ لوڈ کریں:

sudo systemctl restart nginx

https:// کا استعمال کرتے ہوئے اپنی ویب سائٹ کھولیں ، اور آپ کو گرین لاک آئیکن نظر آئے گا۔

خودکار تجدید کرتے ہوئے آئی ایس کو اینکرپٹ ایس ایس ایل سرٹیفکیٹ دیں

آئیے اینکرپٹ کے سرٹیفکیٹ 90 دن کے لئے موزوں ہیں۔ سرٹیفکیٹ کی میعاد ختم ہونے سے پہلے خود بخود تجدید کرنے کے لئے ، سرٹ بوٹ پیکیج ایک ایسا کراؤن کام تیار کرتا ہے جو دن میں دو بار چلتا ہے اور خود بخود کسی بھی سرٹیفکیٹ کی میعاد ختم ہونے سے 30 دن پہلے ہی تجدید کرتا ہے۔

تجدید پر سرور کو سرٹیفکیٹ کو لوڈ کرنے کے ل the نینیکس سروس کو دوبارہ لوڈ کرنا ضروری ہے۔ /etc/cron.d/certbot فائل میں --renew-hook "systemctl reload nginx" کریں تاکہ جیسے یہ نظر آئے:

sudo nano /etc/cron.d/certbot /etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"

اس کمانڈ کو چلاتے ہوئے ، خودکار تجدید کے عمل کی جانچ کریں:

sudo certbot renew --dry-run

اگر کوئی غلطیاں نہیں ہیں تو ، اس کا مطلب ہے کہ تجدید کا عمل کامیاب رہا۔

نتیجہ اخذ کرنا

آج کل ایس ایس ایل کا سرٹیفکیٹ ہونا ضروری ہے۔ یہ آپ کی ویب سائٹ کو محفوظ بناتا ہے ، ایس ای آر پی کی درجہ بندی کی پوزیشن کو بڑھاتا ہے ، اور آپ کو اپنے ویب سرور پر HTTP / 2 کو اہل بنانے کی اجازت دیتا ہے۔

اس ٹیوٹوریل میں ، ہم نے آپ کو بتایا ہے کہ کس طرح سیرٹبوٹ اسکرپٹ کا استعمال کرکے SSL سرٹیفکیٹ تیار اور تجدید کریں۔ ہم نے یہ بھی آپ کو دکھایا ہے کہ سرٹیفکیٹ کو استعمال کرنے کے لئے Nginx کو کس طرح تشکیل دیں۔

سرٹبوٹ کے بارے میں مزید جاننے کے لئے ، سرٹبوٹ دستاویزات دیکھیں۔

nginx ڈیبین آئیے خفیہ کاری کرتے ہیں certbot ssl