Pokud na Virtuálním serveru (VPS) máme nainstalovaný LEMP, zůstává nám ještě nastavit základní bezpečnost při zobrazení webových stránek přes protokol HTTPS. Bezplatné a plně automatizované řešení existuje pod názvem Let’s Encrypt SSL.
Návod jak v Ubuntu Linux 20.04 LTS nainstalovat Nginx, MySQL a PHP (LEMP)
Let’s Encrypt (LE) je certifikační autorita, která zadarmo automatizuje ne úplně jednoduchý proces ručního vytváření, ověřování, podepisování, instalace a obnovování certifikátu. Cílem je, aby bylo šifrované spojení přes protokol TLS v rámci webových stránek (WWW) snadno, rychle a bezplatně aplikovatelné. Důvěryhodnost této služby potvrzují i zainteresované strany, jako např. Google, Facebook, Mozilla Foundation nebo Cisco.
Registrujeme doménu a nastavujeme DNS záznamy
Abychom mohli pomocí Let’s Encrypt získat bezpečnostní certifikát, nejdřív musíme registrovat doménu, protože pro IP adresu certifikát od Let’s Encrypt zatím není možné vytvořit.
Po registraci domény ještě musíme propojit IP adresu se zaregistrovanou doménou. Upravíme DNS záznamy tak, aby se po zadaní názvu domény do webového prohlížeče zobrazil obsah webové stránky zatím přes nezabezpečené spojení protokolu HTTP:
http://nazev-domeny.cz
Jako příklad v návodu budeme uvádět doménu nazev-domeny.cz
Instalujeme Let’s Encrypt certifikát (Certbot)
V první řadě je potřeba zabezpečit aktuálnost všech balíků. Nainstalujeme tedy všechen updatovaný software pomocí dvou příkazů v jedné dávce:
sudo apt update && sudo apt upgrade
Když systém najde aktualizovatelné balíčky, takto se zeptá, jestli je chcete začít instalovat:
Do you want to continue? [Y/n]
Stlačte klávesu y když chcete začít aktualizační proces nebo klávesu n, když aktualizovat nechcete. Následně stlačte klávesu Enter.
Abychom mohli služby certifikační autority Let’s Encrypt využívat, musíme nainstalovat nástroj Certbot:
sudo apt install certbot python3-certbot-nginx
Stlačíme klávesu y a následně klávesu Enter a počkáme na dokončení instalace.
Jediným příkazem získáme certifikát a nastavíme Nginx tak, aby webové stránky dokázal zobrazovat přes zabezpečený protokol HTTPS:
sudo certbot --nginx
V procesu nastavovaní zadáme e-mailovou adresu administrátora, musíme souhlasit s podmínkami používání služby (klávesy a + Enter), radši nezveřejníme e-mailovou adresu administrátora (klávesy n + Enter), napíšeme název vlastnění domény (něco ve tvaru nazev-domeny.cz) a necháme přesměrovat HTTP na bezpečný HTTPS (číslo 2 + Enter).
Testujeme funkčnost zabezpečeného spojení
Zůstává už pouze otestovat, jestli se celý proces instalování bezpečnostního certifikátu dokončil správně. Ve webovém prohlížeči si tedy načítáme stránku přes protokol HTTPS:
https://nazev-domeny.cz
Výsledek by měl vypovídat o tom, že se webová stránka načítala přes zabezpečené spojení a má platný certifikát. Ve webovém prohlížeči klikněte na ikonu zamknutého visacího zámku nahoře vlevo:
Shrnutí
Nainstalovali jsme si nástroj Certbot, díky kterému jsme zdarma získali bezpečnostní certifikát pro doménu od služby Let’s Encrypt. Odteď můžeme webové stránky zobrazovat bezpečně přes protokol HTTPS, přičemž se nemusíme starat o to, jestli a kdy certifikát expiruje, protože se automaticky obnovuje.