برای فعالسازی HTTPS روی وب سرور انجینکس باید پارامتر SSL رو داخل کانفیگ قرار بدیم تا فعال بشه.

علاوه بر اضافه کردن پارامتر SSL ما نیاز به یک گواهینامه SSL هم داریم که توی مقاله دیگه تحت عنوان نحوه دریافت SSL رایگان آموزش دادیم

خب بریم سراغ کانفیگ…

server {
    listen              443 ssl;
    server_name         www.dailynginx.ir dailynginx.ir;
    ssl_certificate     /path/fullchain.pem;
    ssl_certificate_key /path/privkey.pem;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers         HIGH:!aNULL:!MD5;
    ...
}

همونطور که می‌بینید پارامتر ssl رو توی بلاک سرور در قسمت خصوصیت listen قرار دادیم و دوتا خصوصیت دیگه هم اینجا وجود داره به نام‌های:

ssl_certificate
ssl_certificate_key

حالا آدرس فایل گواهینامه‌هایی که دریافت کردیم در مراحل قبل رو به این خصوصیات پاس میدیم.

به این شکل:

ssl_certificate     /path/fullchian.pem;
ssl_certificate_key /path/privkey.pem;

• دقت کنید که به جای /path/ باید مسیری که فایل‌ها در درونش قرار داره رو بنویسید.

حالا وب سرورتون رو ری استارت کنید.

خب تبریک میگم، وب سرور شما الان میتونه ریکوئست‌هایی که تحت https میاد رو بدون نمایش خطای امنیتی دریافت کنه و ریسپانس بده

اما هنوز یه مرحله دیگه مونده، اونم اینکه حالا که https فعال هستش ما دیگه نباید درخواست‌های http رو ریسپانس بدیم، پس باید هرچیزی که تحت http ارسال میشه رو بفرستیم به سمت https، چطوری؟ به شکل زیر:

server {
        listen 80;
        server_name www.dailynginx.ir dailynginx.ir;
        return 301 https://$host$request_uri;
}

اینجا تعریف کردیم که اگر هردرخواستی روی پورت ۸۰ برای ما ارسال شد اون درخواست رو بگیر و ریدایرکتش کن به https، به همین راحتی
پس کانفیگ ما به این شکل شد:

server {
        listen 80;
        server_name www.dailynginx.ir dailynginx.ir;
        return 301 https://$host$request_uri;
}
server {
    listen              443 ssl;
    server_name         www.dailynginx.ir dailynginx.ir;
    ssl_certificate     /path/fullchain.pem;
    ssl_certificate_key /path/privkey.pem;
    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers         HIGH:!aNULL:!MD5;
    location / {
        return 200 'Hello, HTTPS!';
        add_header Content-Type text/plain;
    }
}

امیدوارم که مفید واقع شه :دی، همچنین اگر دیگربخش‌های مرتبط با این مقاله منتشر شوند، لینک آن در این مقاله نیز قرارگرفته و بروز رسانی می‌شود.

اینجا میخوایم باهم یادبگیریم که چطوری برای خودمون بدون هیچ هزینه‌ای و بدون نیاز به هیچ مراحل خاصی گواهینامه SSL بگیریم و سایتمون رو HTTPS کنیم (البته بدون گواهینامه هم میشه HTTPS کرد ولی خطای امنیتی نشون میده)

این گواهینامه‌ها ۳ ماه اعتبار دارن و بعد از سه ماه میتونید مجدد گواهی بگیرید.

اگر نمیدونید که چطوری از این گواهینامه‌ها استفاده کنید و فایل‌ها رو توی انجینکس تعریف کنید، نگران نباشید، به این مقاله یه سر بزنید. نحوه کانفیگ HTTPS در وب سرور انجینیکس

خب بریم شروع کنیم…

توی این مقاله قراره که از Let’s Encrypt  گواهینامه رایگان بگیریم، Let’s Encrypt یک استاندارد رمز نگاری است که با استفاده از اون اطلاعاتی که بین کاربر و سرور ما رد و بدل میشه رو رمزنگاری میکنه.

شاید براتون سوال پیش بیاد که اگه بخوایم برای زیردامنه‌هامون هم گواهینامه معتبر داشته باشیم آیا Let’s Encrypt اینکار رو برامون انجام میده؟ مثل: my.dailynginx.ir

باید بگم که بله به این روش Wildcard میگن، حتی برای زیردامنه‌ی زیردامنه‌ها هم میشه ازش گواهینامه گرفت.

چطوری باید ازش SSL بگیریم؟ کاری نداره که فقط با یه کامند میشه اینکار رو انجام داد در ضمن توی روشی که در زیر بهتون معرفی میکنم نیازی نیست حتی برای اعتبار سنجی فایلی رو در درون سرورتون قرار بدید! این نوع از اعتبار سنجی براساس DNS انجام میشه.

certbot certonly --manual --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory -d "*.your-domain" -d your-domain

خب همونطور که میبینید ما اینجا از طریق ابزار certbot اقدام به گرفتن گواهینامه میکنیم، توی کامند بالا به جای your-domain باید آدرس دامنه‌ای که می‌خواید برای اون SSL بگیرید رو وارد کنید.

توی دستور بالا “*your-domain” به این معنی هستش که ما برای زیردامنه‌هامون هم این گواهی رو نیاز داریم پس لطفا Wildcard صادر کن.

شاید براتون سوال پیش بیاد که آیا ما باید حتما اینکار رو داخل سرور انجام بدیم؟ اگر سرور نداشته باشیم چی؟

باید بگم که خیر، این شکلی نیست دوست من شما فقط باید certbot رو روی یک سیستم نصب کنی و ازش استفاده کنی، این سیستم میتونه هرچیزی باشه و نیازی نیست که حتما سرور داشته باشی. تازه نیازی هم نیست که حتما گنو/لینوکس باشه روی ویندوز هم می‌تونی برنامشو نصب کنی، ما برای نصبش هم یه آموزش جداگونه در نظرگرفتیم. نحوه نصب Certbot

خب بریم ادامه دستورمون، بعد از زدن دستور بالا پیغامی مشابه تصویر زیر مشاهده خواهید کرد، ازتون میخواد که یک ایمیل وارد کنید(مهم نیست واقعی باشه یا فیک)

• دقت کنید که باید دستور رو با sudo اجرا کنید.

برای ادامه Y تایپ کنید و اینتر بزنید و به مرحله بعد برید.(مطابق تصویر زیر)

توی این مرحله ازتون می‌خواد که تایید کنید که قوانین رو قبول دارید یا نه؟ Y بزنید و بیاید مرحله بعد(مطابق تصویر زیر)

توی تصویر بالا ازتون میپرسه که مایل به دریافت ایمیل هستید یا نه؟ اگر دوست دارید ایمیل دریافت کنید Y بزنید.

بعد از زدن اینتر در تصویر بالا به مرحله مهم میرسیم (مطابق تصویر زیر)

توی این مرحله باید وارد قسمت مدیریت DNS دامنتون بشید، (جایی که رکوردهای DNSهاتون رو تعریف می‌کنید)

ازتون میخواد که یک رکورد جدید از نوع TXT ایجاد کنید با عنوان _acme-challenge

• سپس اون کدی که تولید شده رو به عنوان مقدار برای TXT رکوردی که ایجاد کردید قرار بدید.

اینجا کدی که تولید شده اینه: eIbrhLopaj__VFtNUF6gJRIDwDqdYZ-Iv2qdy2CRVSQ

حالا اگر اینتر بزنید مرحله ای مشابه تصویر زیر میبینید

• دقت کنید که مرحله قبل مجدد تکرار میشه منتهی با کدی متفاوت

توی این مرحله هم باز ازتون میخواد که یه رکورد جدید از نوع TXT با همون عنوان _acme-challenge بسازید و مقدارش رو برابر با کد تولید شده قرار بدید.

• دقت کنید که TXT رکورد قبلی رو پاک یا ویرایش نکنید، باید حتما یک رکورد جدید با همون مشخصات فقط با مقدار متفاوت بسازید.

حالا با کمی تاخیر چندثانیه ای، اینتر بزنید. چرا تاخیر؟ به این دلیل که ممکنه هنوز تغییرات مورد نظرمون روی DNS سرور مورد نظر اعمال نشده باشه و اگر نشده باشه، صدور گواهینامه با مشکل مواجه میشه.

حالا اینتر بزنید

اگر پیغامی مثل تصویر بالا مشاهده کردید، تبریک میگم بهتون

گواهینامه شما با موفقیت ساخته شد.

توی تصویر بالا اگر دقت کنید به ما یک مسیر داده شده، /etc/letsencrypt/live/daily-nginx.ir

این مسیر دقیقا جایی هستش که گواهینامه SSL ما داخلش قرار گرفته. حالا اگه بیاید بریم توی اون مسیر فایل‌ها رو خواهیم دید.

• دقت کنید که برای cd کردن توی مسیر مورد نظر باید با دسترسی root اینکار رو انجام بدیم.

همونطور که میبینید فایلای مورد نیاز ما تولید شدن. مهمترینشون fullchain.pem و privkey.pem هستند.

حالا این دوتا فایل رو بردارید و با من بیاید به مقاله نحوه کانفیگ HTTPS در وب سرور انجینیکس تا ازشون توی انجینیکس استفاده کنیم