ئەو ڤیدیۆی بوویە هۆی تۆبە کردنی زۆر گەنج
فہرست کا خانہ:
- شرطیں
- سرٹبوٹ انسٹال کریں
- مضبوط ڈی ایچ (ڈفی ہیلمین) گروپ تیار کریں
- آئیے اینکرپٹ ایس ایس ایل سرٹیفکیٹ حاصل کرنا
- خود نو تجدید کرتے ہوئے آئی ایس کو اینکرپٹ ایس ایس ایل سرٹیفکیٹ دیں
- نتیجہ اخذ کرنا
چلو انکرپٹ ایک مفت اور کھلا سرٹیفکیٹ اتھارٹی ہے جو انٹرنیٹ سیکیورٹی ریسرچ گروپ (ISRG) کے ذریعہ تیار کیا گیا ہے۔ چلو انکرپٹ کے ذریعہ جاری کردہ سرٹیفکیٹس پر آج تقریبا almost تمام براؤزرز پر بھروسہ کیا گیا ہے۔
اس ٹیوٹوریل میں ، ہم مرحلہ وار ہدایات فراہم کریں گے کہ اوبنٹو 18.04 پر سندٹبوٹ ٹول کا استعمال کرتے ہوئے لیٹ انکرپٹ کے ذریعہ اپنے نگنیکس کو کیسے محفوظ بنایا جائے۔
شرطیں
اس ٹیوٹوریل کو جاری رکھنے سے پہلے یقینی بنائیں کہ آپ نے مندرجہ ذیل شرائط کو پورا کرلیا ہے۔
- آپ کا ایک ڈومین نام ہے جو آپ کے عوامی سرور IP کی طرف اشارہ کرتا ہے۔ اس ٹیوٹوریل میں ہم
example.comکا استعمال کریں گے۔ آپ نے ان ہدایات پر عمل کرکے Nginx انسٹال کیا ہے آپ کے ڈومین کیلئے سرور بلاک ہے۔ آپ ان ہدایات پر عمل کرسکتے ہیں تاکہ ان کو کیسے بنایا جائے۔
سرٹبوٹ انسٹال کریں
سیرٹبوٹ ایک مکمل خصوصیات والا اور استعمال میں آسان ٹول ہے جو چلو انکرٹ SSL سرٹیفکیٹ کے حصول اور تجدید اور سرٹیفکیٹ کو استعمال کرنے کے لئے ویب سرورز کو تشکیل دینے کے کاموں کو خود بخود بنا سکتا ہے۔ سیرٹبوٹ پیکیج اوبنٹو کے پہلے سے موجود ذخیروں میں شامل ہے۔
پیکجوں کی فہرست کو اپ ڈیٹ کریں اور سیرٹبوٹ پیکیج انسٹال کریں:
sudo apt update
sudo apt install certbot
sudo apt update
sudo apt install certbot
مضبوط ڈی ایچ (ڈفی ہیلمین) گروپ تیار کریں
ڈیفی – ہیلمین کیچ ایکسچینج (ڈی ایچ) غیر محفوظ مواصلات کے چینل پر کرپٹوگرافک چابیاں کا محفوظ طریقے سے تبادلہ کرنے کا ایک طریقہ ہے۔ ہم سلامتی کو مستحکم کرنے کے لئے 2048 بٹ ڈی ایچ پیرامیٹرز کا ایک نیا سیٹ تیار کرنے جارہے ہیں۔
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
اگر آپ پسند کرتے ہیں تو آپ سائز کو 4096 بٹس تک تبدیل کرسکتے ہیں ، لیکن اس صورت میں ، نسل انسٹروپی کے حساب سے 30 منٹ سے زیادہ وقت لے سکتی ہے۔
آئیے اینکرپٹ ایس ایس ایل سرٹیفکیٹ حاصل کرنا
ہمارے ڈومین کے لئے ایس ایس ایل سرٹیفکیٹ حاصل کرنے کے ل we're ہم ویبروٹ پلگ ان کا استعمال کرنے جارہے ہیں جو domain
${webroot-path}/.well-known/acme-challenge
ڈائرکٹری میں مطلوبہ ڈومین کی توثیق کرنے کے لئے عارضی فائل تشکیل دے کر کام کرتا ہے۔ چلو انکرپٹ سرور عارضی فائل سے HTTP درخواست کرتا ہے تاکہ یہ تصدیق کی جاسکے کہ درخواست کردہ ڈومین سرور میں حل ہوجاتا ہے جہاں سرٹیٹ بوٹ چلتا ہے۔
اس کو مزید آسان بنانے کے
/var/lib/letsencrypt
ایک واحد ڈائرکٹری ،
/var/lib/letsencrypt
.well-known/acme-challenge
لئے تمام HTTP درخواستوں کا نقشہ
/var/lib/letsencrypt
گے۔
مندرجہ ذیل کمانڈز ڈائریکٹری تشکیل دیں گے اور اسے نینگس سرور کیلئے قابل تحریر بنا دیں گے۔
mkdir -p /var/lib/letsencrypt/.well-known
chgrp www-data /var/lib/letsencrypt
chmod g+s /var/lib/letsencrypt
نقل کوڈ سے بچنے کے لئے درج ذیل دو ٹکڑوں کو تخلیق کریں جسے ہم اپنی تمام Nginx سرور بلاک فائلوں میں شامل کرنے جارہے ہیں۔
اپنا ٹیکسٹ ایڈیٹر کھولیں اور پہلا ٹکڑا ،
letsencrypt.conf
۔
sudo nano /etc/nginx/snippets/letsencrypt.conf
/etc/nginx/snippets/letsencrypt.conf
location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; }
دوسرا ٹکڑا
ssl.conf
بنائیں جس میں موزیلا کے ذریعہ تجویز کردہ
ssl.conf
شامل ہوں ، او سی ایس پی اسٹپلنگ ، HTTP سخت ٹرانسپورٹ سیکیورٹی (HSTS) کو قابل بنائے اور کچھ سیکیورٹی پر مرکوز HTTP ہیڈر نافذ کرے۔
sudo nano /etc/nginx/snippets/ssl.conf
/etc/nginx/snippets/ssl.conf
ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;
ایک بار اس کے ٹکڑوں کے
letsencrypt.conf
بعد ، ڈومین سرور بلاک کھولیں اور
letsencrypt.conf
کا ٹکڑا شامل کریں جیسا کہ ذیل میں دکھایا گیا ہے:
sudo nano /etc/nginx/sites-available/example.com
/etc/nginx/sites-aval/example.com
server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }
نئی سرور بلاک فائل کو فعال کرنے کے ل we ہمیں فائل سے
sites-enabled
ڈائریکٹری میں ایک علامتی لنک بنانے کی ضرورت ہے ، جسے آغاز کے دوران اینجنیکس پڑھتا ہے۔
sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/
ننگینکس سروس کو تبدیل کرنے کے ل for دوبارہ شروع کریں:
sudo systemctl restart nginx
اب آپ ویبروٹ پلگ ان کے ساتھ سیرٹ بوٹ چلا سکتے ہیں اور جاری کرکے ایس ایس ایل سرٹیفکیٹ فائلیں حاصل کرسکتے ہیں۔
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
اگر ایس ایس ایل سرٹیفکیٹ کامیابی کے ساتھ حاصل کرلیا گیا ہے ، تو سرٹی بوٹ مندرجہ ذیل پیغام کو پرنٹ کرے گا۔
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-07-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:
اب جب کہ آپ کے پاس سرٹیفکیٹ فائلیں ہیں ، آپ اپنے ڈومین سرور بلاک میں درج ذیل ترمیم کرسکتے ہیں۔
sudo nano /etc/nginx/sites-available/example.com
/etc/nginx/sites-aval/example.com
server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }
مذکورہ بالا ترتیب کے ساتھ ہم ایچ ٹی ٹی پی ایس پر مجبور ہو رہے ہیں اور www سے نان www ورژن میں بھیج رہے ہیں۔
تبدیلیوں کے اثر انداز ہونے کے لئے نینگینکس سروس کو دوبارہ لوڈ کریں:
خود نو تجدید کرتے ہوئے آئی ایس کو اینکرپٹ ایس ایس ایل سرٹیفکیٹ دیں
آئیے اینکرپٹ کے سرٹیفکیٹ 90 دن کے لئے موزوں ہیں۔ سرٹیفکیٹ کی میعاد ختم ہونے سے پہلے خود بخود تجدید کرنے کے لئے ، سرٹ بوٹ پیکیج ایک ایسا کراؤن کام تیار کرتا ہے جو دن میں دو بار چلتا ہے اور خود بخود کسی بھی سرٹیفکیٹ کی میعاد ختم ہونے سے 30 دن پہلے ہی تجدید کردیتا ہے۔
چونکہ جب ہم سرٹیفکیٹ کی تجدید ہوجاتا ہے تو ہم سرٹبوٹ ویبروٹ پلگ ان کا استعمال کر رہے ہیں ، ہمیں نین ایکس ایکس سروس بھی دوبارہ لوڈ کرنا ہوگی۔
/etc/cron.d/certbot
فائل میں
--renew-hook "systemctl reload nginx"
کریں تاکہ جیسے یہ نظر آئے:
sudo nano /etc/cron.d/certbot
/etc/cron.d/certbot
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"
تجدید کاری کے عمل کی جانچ کرنے کے لئے ، آپ سرٹ بوٹ
--dry-run
ڈرائی
--dry-run
سوئچ استعمال کرسکتے ہیں:
sudo certbot renew --dry-run
اگر کوئی غلطیاں نہیں ہیں تو ، اس کا مطلب ہے کہ تجدید کا عمل کامیاب رہا۔
نتیجہ اخذ کرنا
اس ٹیوٹوریل میں ، آپ نے اپنے ڈومین کے لئے ایس ایس ایل سرٹیفکیٹ ڈاؤن لوڈ کرنے کے لئے لیٹس اینکرپٹ کلائنٹ ، سرٹ بوٹ کا استعمال کیا۔ ڈپلیکیٹ کوڈ سے بچنے کے لئے آپ نے Nginx کے ٹکڑوں کو بھی تشکیل دیا ہے اور سرٹیفکیٹ کو استعمال کرنے کے لئے Nginx کو تشکیل دیا ہے۔ سبق کے اختتام پر آپ نے خود کار طریقے سے سرٹیفکیٹ کی تجدید کیلئے ایک کرون کام ترتیب دیا ہے۔
nginx ubuntu آئیے encrypt certbot ssl کریںیہ پوسٹ اوبنٹو 18-04 سیریز میں انسٹال-لیمپ اسٹیک آن انسٹال کرنے کا ایک حصہ ہے۔
اس سلسلے میں دیگر پوسٹس:
U اوبنٹو 18.04 پر Nginx انسٹال کرنے کا طریقہ U اوبنٹو 18.04 پر Nginx سرور بلاکس کیسے ترتیب دیں U اوبنٹو 18.04 پر اینکریکس کے ساتھ Nginx محفوظ کریں U اوبنٹو 18.04 پر MySQL کو انسٹال کرنے کا طریقہ • Ubuntu 18.04 پر پی ایچ پی انسٹال کرنے کا طریقہمائیکروولا اور ٹی موبائل کے ساتھ ساتھ ساتھ ساتھ ساتھ ساتھ ساتھ ساتھ ساتھ ساتھ ساتھ ساتھ ساتھ ساتھ ساتھ بغاوت کرنے کی امید ہے.
موٹوولا نے اپنے موبائل موبائل آلہ کو Google لوڈ، اتارنا Android آپریٹنگ سسٹم پر مبنی اعلان کیا.
FavBackup کے ساتھ تقریبا کسی بھی براؤزر کی ترتیبات کو محفوظ کریں اور مگریٹ کریں کے ساتھ تقریبا کسی بھی براؤزر کی ترتیبات کو محفوظ کریں اور منتقل کریں
FavBackup آپ کو صرف چند کلکس کے ساتھ بیک اپ بیک اپ اور براؤزر کے ڈیٹا منتقل کرنے کی اجازت دیتا ہے.
اوبنٹو 16.04 پر انکرپٹ کے ساتھ محفوظ nginx
اس ٹیوٹوریل میں ، ہم مرحلہ وار ہدایات فراہم کریں گے کہ اوبنٹو 16.04 پر سندٹبوٹ ٹول کا استعمال کرتے ہوئے لیٹ انکرپٹ کے ذریعہ اپنے نگنیکس کو کیسے محفوظ بنایا جائے۔