खुद को देवोप्स करें या उबंटू में अपाचे टॉम्केट के लिए निगेंक्स प्रॉक्सी को https और फ़ायरवॉल के साथ 5 मिनट में कॉन्फ़िगर करें

मैं एक व्यवस्थापक नहीं हूं, लेकिन कभी-कभी ऐसे कार्य होते हैं जो किसी को सौंपने की तुलना में खुद को हल करने के लिए आसान (और अधिक दिलचस्प) होते हैं।

कभी-कभी, हमें सर्वलेट कंटेनर (सबसे अक्सर Apache Tomcat) को "बढ़ाने" और इसके लिए समीपवर्ती कॉन्फ़िगर करने, ssl समाप्ति (या बस https) को कॉन्फ़िगर करने और इसे फ़ायरवॉल (केवल ssh और http और https को छोड़कर) के साथ कवर करने की आवश्यकता है।

ऐसा हुआ कि पिछले हफ्ते मैंने इस समस्या को तीन बार हल किया (जैसा कि सितारे बन गए, और उससे पहले - दो साल पहले) और यह अनुभव इस छोटे से ओपस में बदल गया था।

तो, दिए गए उबंटू सर्वर 18.04 या 16.04 (सबसे अधिक संभावना है कि आपको पहले वाले संस्करण 14.04 या इसके बाद की समस्याएं नहीं होंगी)। यदि आपके पास उबंटू सर्वर नहीं है, तो आप जल्दी से इसे "पिक अप" कर सकते हैं, उदाहरण के लिए, डिजिटल ओशन (मेरा रेफरल लिंक)। लेख लिखने के बाद, मैंने देखा कि नए खातों के लिए DO 60 दिनों के लिए 100 डॉलर देता है, यदि आप ऋण का संकेत देते हैं।

डीएनएस

लेट्स एनक्रिप्ट से मुक्त https प्रमाणपत्र प्राप्त करने के लिए एक सरल योजना के लिए, हमें DNS सर्वर तक पहुंच की आवश्यकता है। हम इसमें अपने उबंटू सर्वर का आईपी पता लिखते हैं, जिसका नाम xyz है। आइए, निश्चितता के लिए, कि आपके पास mydomain.com है, अर्थात हमारे सर्वर का DNS नाम xyz.mydomain.com होगा

स्थापना

Apache Tomcat स्थापित करें (मैं संस्करण 8 का उपयोग करूंगा)

apt install tomcat8 

और अब नगीनक्स

 apt install nginx-core 

समायोजन

nginx

DNS सर्वर नाम (फ़ाइल / etc / nginx / साइट्स-उपलब्ध / डिफ़ॉल्ट ) में पहले से पंजीकृत Nginx को कॉन्फ़िगर करें

 server_name xyz.mydomain.com; 

हम स्थापित Apache Tomcat का लिंक रजिस्टर करते हैं (यदि आपने कुछ भी नहीं बदला है, तो यह पोर्ट 8080 पर "रहता है")। हमें सर्वर ब्लॉक में अपस्ट्रीम ब्लॉक को जोड़ना होगा।

 upstream tomcat { server 127.0.0.1:8080 fail_timeout=0; } server { ... 

स्थान ब्लॉक में परिवर्तन करें और Apache Tomcat पर सभी ट्रैफ़िक को पुनर्निर्देशित करें

 server { ... location / { # try_files $uri $uri/ =404; include proxy_params; proxy_pass http://tomcat/; } 

हम जांचते हैं कि सब कुछ सही तरीके से दर्ज किया गया है

 service nginx configtest 

और नग्नेक्स को पुनः आरंभ करें

 service nginx restart 

अपाचे टॉमकट

सिद्धांत रूप में, यह हिस्सा वैकल्पिक है, और अगर यह आपके लिए मायने नहीं रखता है कि वास्तविक आईपी पते, पोर्ट, योजना जिसके लिए अनुरोध आ रहा है (मैं https के बारे में बात कर रहा हूं) और अनुरोधित सर्वर को टॉमकैट के लिए भेजा जाता है, तो यह चरण छोड़ा जा सकता है। हालाँकि, कुछ मामलों में यह कदम आवश्यक है (उदाहरण के लिए, जावा वेब स्टार्ट उर्फ़ जेएनएलपी तकनीक के लिए)।

<होस्ट /> ब्लॉक में /etc/tomcat8/server.xml फ़ाइल में जोड़ें।

 <Host> ... <Valve className="org.apache.catalina.valves.RemoteIpValve" remoteIpHeader="x-forwarded-for" remoteIpProxiesHeader="x-forwarded-by" protocolHeader="x-forwarded-proto" /> </Host> 

टॉमकैट को फिर से शुरू करें

 service tomcat8 restart 

Https प्रमाण पत्र

Http के माध्यम से सत्यापन के साथ एक वीटी प्रमाण पत्र हमें सर्टिफिकेट बॉट प्राप्त करने में मदद करेगा, या नगिनक्सा के लिए इसका संशोधन - पायथन-सर्टिफोट-नगीने

Ubuntu 18.04 पर, प्रमाणित करने के लिए, बस चलाएँ

 apt install python-certbot-nginx 

उबंटू 16.04 के लिए - आपको रिपॉजिटरी आदि जोड़ने के साथ टिंकर करना होगा ( लिंक के लिए विस्तृत गाइड देखें)।

हम लॉन्च करते हैं

 certbot --nginx 

इस प्रक्रिया में, अपना ईमेल निर्दिष्ट करें, लाइसेंस समझौते को स्वीकार करें, हमें लेट्स एनक्रिप्ट के साथ हमारे डेटा को "फ़ंबल" करने की अनुमति न दें, DNS नाम की पुष्टि करें कि प्रमाण पत्र जारी किया जाएगा, इस बात से सहमत हैं कि बॉट स्वयं "nginx" को कॉन्फ़िगर करेगा।

वोइला :)

बस मामले में, हम जांचते हैं कि प्रमाण पत्र का नवीनीकरण समस्याओं के बिना पारित हो जाएगा (प्रमाण पत्र 90 दिनों के लिए जारी किया जाता है और उसके बाद इसे उसी अवधि के लिए अनिश्चित काल तक बढ़ाया जा सकता है)।

 certbot renew --dry-run 

और आंतरिक व्यामोह के लिए, हम जांचते हैं कि क्रोन फ़ाइल किस स्थान पर है

 ls -al /etc/cron.d/certbot 

फ़ायरवॉल

हम रोकते हैं और वर्चुअल मशीन का बैकअप (स्नैपशॉट) बनाते हैं।

 ufw allow ssh ufw allow http ufw allow https ufw default allow outgoing ufw default deny incoming ufw show added 

प्रे!

 ufw enable ufw status 

हम सत्यापित करते हैं कि सब कुछ काम कर गया - साइट https के माध्यम से सुलभ है, http ट्रैफ़िक पुनर्निर्देशित है, और ऊपर सूचीबद्ध और ssh के अलावा अन्य पोर्ट सुरक्षित रूप से बंद हैं।

पीएस मुझे पूरी उम्मीद है कि यह पाठ किसी के लिए उपयोगी हो सकता है और मुझे रचनात्मक आलोचना करने में खुशी होगी।

पीपीएस या शायद सभी जानने वाले सभी मुझे विंडोज के लिए सर्टिफिकेट के प्रतिस्थापन के बारे में बताएंगे? आपको प्रारंभिक प्रमाण पत्र प्राप्त करने की आवश्यकता है (आदर्श रूप से, इसे शेड्यूल के अनुसार अपडेट करें, या सामान्य रूप से ठाठ चमक) मैंने स्वयं नंगेक्स को कॉन्फ़िगर किया था। हां, मैं समझता हूं कि आप शायद एन्क्रिप्ट + IIS के लिए टूल ले सकते हैं और इसे मेरी स्क्रिप्ट में उपयोग कर सकते हैं, लेकिन अचानक एक तैयार "आदर्श" है?