আরএইচইএল/সেন্টোস 7/6 এ এনগিনেক্সের জন্য এনক্রিপ্ট এসএসএল শংসাপত্রের সাথে এইচটিটিপিএস সেট আপ করা হচ্ছে

Your. আপনার মেশিনে একাধিক প্যাকেজ এবং নির্ভরতা ইনস্টল হওয়ার পরে আসুন আসুন এর এনক্রিপ্ট আপনাকে আপনার অ্যাকাউন্টে প্রবেশ করতে অনুরোধ জানাবে যা হারানো কী পুনরুদ্ধার বা জরুরি বিজ্ঞপ্তির জন্য ব্যবহৃত হবে।

Next. এরপরে আপনার এন্টার কী টিপে লাইসেন্সের শর্তাদি সম্মত করা উচিত।

৮. অবশেষে, যদি সবকিছু ঠিক যেমনটি ঘটে তবে আপনার বাশ টার্মিনালে একটি অভিনন্দন তথ্য বার্তা প্রদর্শিত হবে। শংসাপত্রের মেয়াদ শেষ হয়ে গেলে বার্তাটি প্রদর্শিত হবে।

পদক্ষেপ 4: এনগিনেক্সে লেট এর এনক্রিপ্ট এসএসএল শংসাপত্র ইনস্টল করুন

৯. এখন আপনি যখন একটি নিখরচায় এসএসএল/টিএলএস শংসাপত্রের মালিক হন, আপনার ডোমেনটি এটি ব্যবহার করার জন্য এটি Nginx ওয়েব সার্ভারে এটি ইনস্টল করার সময় এসেছে।

সমস্ত নতুন এসএসএল শংসাপত্রগুলি আপনার ডোমেনের নামের পরে একটি ডিরেক্টরিতে /etc/letsencrypt/live/ এ স্থাপন করা হয়েছে। আপনার ডোমেনের জন্য জারি করা শংসাপত্র ফাইলগুলি তালিকাভুক্ত করতে এবং তাদের সনাক্ত করতে ls কমান্ডটি ব্যবহার করুন।

# sudo ls /etc/letsencrypt/live/
# sudo ls -al /etc/letsencrypt/live/your_domain.tld

10. এনগিনেক্সে শংসাপত্র ফাইলগুলি ইনস্টল করতে এবং এসএসএল সক্ষম করতে, সম্পাদনার জন্য /etc/nginx/nginx.conf ফাইলটি খুলুন এবং সার্ভার ব্লক থেকে শেষ শোনার লাইনের পরে নীচের বিবৃতিগুলি যুক্ত করুন। গাইড হিসাবে নীচের চিত্র ব্যবহার করুন।

# vi /etc/nginx/nginx.conf

এনগিনেক্স এসএসএল ব্লক অংশ:

# SSL configuration
listen 443 ssl default_server;
ssl_certificate /etc/letsencrypt/live/your_domain.tld/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/your_domain.tld/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

আপনার নিজের ডোমেনের সাথে মেলে এসএসএল শংসাপত্রগুলির জন্য ডোমেন নেম স্ট্রিং প্রতিস্থাপন করুন।

১১. অবশেষে, এনগিনেক্স পরিষেবা পুনরায় চালু করুন এবং https:/yourdomain এ HTTPS প্রোটোকলের মাধ্যমে আপনার ডোমেনটি দেখুন। পৃষ্ঠার কোনও শংসাপত্রের ত্রুটি ছাড়াই মসৃণ লোড করা উচিত।

# systemctl restart nginx
# service nginx restart

12. এসএসএল/টিএলএস শংসাপত্র এবং এর সরলতা যাচাই করতে নীচের লিঙ্কটি দেখুন:

https://www.ssllabs.com/ssltest/analyze.html 

১৩. আপনি যদি কোনও বিজ্ঞপ্তি পান যে আপনার সার্ভারটি দুর্বল ডিএইচ কী এক্সচেঞ্জ এবং বি গ্রেডের সামগ্রিক রেটিং সমর্থন করে, লগজাম আক্রমণ থেকে আপনার সার্ভারকে রক্ষা করার জন্য/etc/nginx/ssl/ডিরেক্টরিতে একটি নতুন ডিফি-হেলম্যান সিফার তৈরি করুন নিম্নলিখিত কমান্ড চলমান।

# mkdir /etc/nginx/ssl
# cd /etc/nginx/ssl
# openssl dhparam -out dhparams.pem 4096

এই উদাহরণে আমরা একটি 4096 বিট কী ব্যবহার করেছি, যা প্রকৃতপক্ষে উত্পন্ন করতে অনেক সময় নেয় এবং আপনার সার্ভার এবং এসএসএল হ্যান্ডশেকটিতে একটি অতিরিক্ত ওভারহেড রাখে।

এই দীর্ঘায়িত কোনও কী ব্যবহার করার কোনও স্পষ্ট প্রয়োজন নেই এবং আপনি ভৌত হতে না চাইলে আপনার 2048 বিট কী দিয়ে নিরাপদ থাকা উচিত।

১৪. ডিএইচ কী উত্পন্ন হওয়ার পরে, এনগিনক্স কনফিগারেশন ফাইলটি খুলুন এবং ডিএইচ কী যুক্ত করতে এবং আপনার ডোমেনের সুরক্ষা স্তরটিকে A + গ্রেড

# vi /etc/nginx/nginx.conf

Nginx.conf- এ নিম্নলিখিত ব্লক অংশগুলি যুক্ত করুন:

ssl_dhparam /etc/nginx/ssl/dhparams.pem;
ssl_session_timeout 30m;
ssl_session_cache shared:SSL:10m;
ssl_buffer_size 8k;
add_header Strict-Transport-Security max-age=31536000;

15. পরিবর্তনগুলি প্রয়োগ করতে এবং আপনার উল্লিখিত লিঙ্কটি থেকে পূর্ববর্তী ফলাফলের ক্যাশে সাফ করে আপনার এসএসএল শংসাপত্রটির পুনরায় পরীক্ষা করতে Nginx পরিষেবাটি পুনরায় চালু করুন।

# systemctl restart nginx
# service nginx restart

পদক্ষেপ 5: অ্যান্টি এনগিনেক্স বিনামূল্যে এনক্রিপ্ট এসএসএল শংসাপত্রগুলি পুনর্নবীকরণ করুন

16. আসুন এর এনক্রিপ্ট CA 90 দিনের জন্য কার্যকর এসএসএল/টিএলএস শংসাপত্র প্রকাশ করে। নীচের কমান্ডগুলি জারি করে আপনার ওয়েব সার্ভারটি বন্ধ না করেই ওয়েবরুট প্লাগইন ব্যবহার করে শংসাপত্রগুলি ম্যানুয়ালি পুনর্নবীকরণ এবং মেয়াদ শেষ হওয়ার আগে প্রয়োগ করা যেতে পারে:

# ./letsencrypt-auto certonly -a webroot --agree-tos --renew-by-default --webroot-path=/usr/share/nginx/html/ -d yourdomain.tld -d www.yourdomain.tld
# systemctl reload nginx

উপরের কমান্ডটি চালনার সময় নিশ্চিত হয়ে নিন যে আপনি Nginx রুট স্টেটমেন্ট দ্বারা নির্দিষ্ট আপনার ওয়েব সার্ভার ডকুমেন্ট রুটের সাথে মেলে ওয়েবরুট-পাথ প্রতিস্থাপন করেছেন।

১../ইউএসআর/লোকাল/বিন/ডিরেক্টরিতে গিথুব ইরিকাহিদী থেকে এই ব্যাশ স্ক্রিপ্টটি তৈরি করার আগে শংসাপত্রটিকে স্বয়ংক্রিয়ভাবে পুনর্নবীকরণ করতে এবং নীচের বিষয়বস্তু যুক্ত করুন (স্ক্রিপ্টটি এটি Nginx সেটিংস প্রতিফলিত করার জন্য সামান্য পরিবর্তিত হয়েছে)।

# vi /usr/local/bin/cert-renew

শংসাপত্র পুনর্নবীকরণ ফাইলটিতে নিম্নলিখিত লাইনগুলি যুক্ত করুন।

#!/bin/bash

webpath='/usr/share/nginx/html/'
domain=$1
le_path='/opt/letsencrypt'
le_conf='/etc/letsencrypt'
exp_limit=30;

get_domain_list(){
        certdomain=$1
        config_file="$le_conf/renewal/$certdomain.conf"

        if [ ! -f $config_file ] ; then
                echo "[ERROR] The config file for the certificate $certdomain was not found."
                exit 1;
        fi

        domains=$(grep --only-matching --perl-regex "(?<=domains \= ).*" "${config_file}")
        last_char=$(echo "${domains}" | awk '{print substr($0,length,1)}')

        if [ "${last_char}" = "," ]; then
                domains=$(echo "${domains}" |awk '{print substr($0, 1, length-1)}')
        fi

        echo $domains;
}

if [ -z "$domain" ] ; then
        echo "[ERROR] you must provide the domain name for the certificate renewal."
        exit 1;
fi

cert_file="/etc/letsencrypt/live/$domain/fullchain.pem"

if [ ! -f $cert_file ]; then
        echo "[ERROR] certificate file not found for domain $domain."
        exit 1;
fi

exp=$(date -d "`openssl x509 -in $cert_file -text -noout|grep "Not After"|cut -c 25-`" +%s)
datenow=$(date -d "now" +%s)
days_exp=$(echo \( $exp - $datenow \) / 86400 |bc)

echo "Checking expiration date for $domain..."

if [ "$days_exp" -gt "$exp_limit" ] ; then
        echo "The certificate is up to date, no need for renewal ($days_exp days left)."
        exit 0;
else
        echo "The certificate for $domain is about to expire soon. Starting renewal request..."
        domain_list=$( get_domain_list $domain )
"$le_path"/letsencrypt-auto certonly -a webroot --agree-tos --renew-by-default --webroot-path=”$webpath” --domains "${domain_list}"
        echo "Reloading Nginx..."
sudo systemctl reload nginx
        echo "Renewal process finished for domain $domain"
        exit 0;
fi

18. আপনার এনগিনেক্স ডকুমেন্টের মূলের সাথে মেলে স্ক্রিপ্টের শুরু থেকে $ওয়েবপাথ পরিবর্তনশীল প্রতিস্থাপন করুন। স্ক্রিপ্টটি কার্যকর হয়ে গেছে এবং নিম্নলিখিত কমান্ডগুলি জারি করে আপনার সিস্টেমে বিসি ক্যালকুলেটর ইনস্টল করা আছে তা নিশ্চিত করুন।

# chmod +x /usr/local/bin/cert-renew
# yum install bc

নিম্নলিখিত কমান্ড জারি করে আপনি আপনার ডোমেনের বিপরীতে স্ক্রিপ্টটি পরীক্ষা করতে পারেন:

# /usr/local/bin/cert-renew yourdomain.tld

19. পরিশেষে, শংসাপত্র পুনর্নবীকরণ প্রক্রিয়াটি স্বয়ংক্রিয়ভাবে চালানোর জন্য, প্রতি সপ্তাহে স্ক্রিপ্টটি কার্যকর করতে একটি নতুন ক্রোন জব যুক্ত করুন যাতে মেয়াদ শেষ হওয়ার তারিখের 30 দিনের মধ্যে শংসাপত্রটি আপডেট হয়।

# crontab -e

ফাইলের নীচে নিম্নলিখিত লাইনটি যুক্ত করুন।

@weekly  /usr/local/bin/cert-renew your_domain.tld >> /var/log/your_domain.tld-renew.log 2>&1

এখানেই শেষ! এখন এনগিনেক্স সার্ভার আপনার ওয়েবসাইটে একটি বিনামূল্যে এসএসএল/টিএলএস এর এনক্রিপ্ট শংসাপত্রের সাথে সুরক্ষিত ওয়েব সামগ্রী সরবরাহ করতে পারে।