第二部分：為網站加裝 SSL 憑證

為避免網站在傳輸資料時被有心人士竊取，建議您參考以下步驟，為您的網站服務加裝 SSL 憑證，所有的資料都會在加密的狀態下進行安全傳輸。

Step 1. 申請 Domain Name

透過申請網站 Domain Name，使用者在網址列輸入好記的 Domain Name (而非生硬的 IP 位址)，就可以快速開始使用您的網頁服務！

您可以依需求選擇付費或免費網站申請 Domain Name，範例採用 No-IP 做為範例網站，申請免費 Domain Name：

1. 註冊 No-IP 帳號
2. 登入後，左側選單 「My Services」 > 「DNS Records」 > 上方選單 「Create HostName」
3. 設定 Hostname (Domain Name)：oliversslwebsite.ddns.net
4. 設定 IP Address：輸入 負載平衡器的公用 IP

5. 點選頁面右下角「Add Hostname」

6. 設定完成

• 可使用 NsLookup 工具確認可查詢到該主機 (負載平衡器)
  　1. 輸入 Domain Name　
  　2. 點選 「go」
  　3. 確認可查詢，下方將顯示查詢資訊；Domain Name、負載平衡器之 IP 位址

Step 2. 申請 SSL 憑證

您可以依需求選擇付費或免費網站申請 SSL 憑證，以下範例透過 Let's Encrypt 工具，申請免費 SSL 憑證：

• 輸入以下指令在 vcs001 個體中使用 Domain Name，透過 Let's Encrypt 申請 SSL 憑證：

sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d <Domain_Name>

信息

1. 以下輸入 e-mail 接收緊急或安全性通知

   

2. 閱讀並同意服務條款

   

3. 是否接收 Let's Encrypt 相關訊息

   

4. 憑證製作成功

   

Step 3. 將憑證轉檔為 Base64 格式

目前 TWSC SSL 憑證僅支援 PKCS #12 及 Base64 編碼格式，請輸入以下指令轉碼為 Base64 格式， 詳細內容可參考「轉換 SSL 憑證格式」。

sudo su
cd /etc/letsencrypt/live/<Domain_Name>/ 
openssl pkcs12 -export -out server.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem
base64 server.p12 | tr -d \\n  > twcc_ssl_base64.txt
cat  twcc_ssl_base64.txt

信息

以下內容可按 Enter 略過：

• 請「複製」畫面顯示的 twcc_ssl_base64.txt 所有內容

Step 4. 將 SSL 上傳至 TWSC

• 由服務列表點選「SSL 憑證 」頁面，點擊「＋建立」

• 貼上 Step 3 複製的 base64 檔內容，並建立憑證

• 接著，請至負載平衡器詳細資料頁：

  1. 點選「編輯」
  2. 調整目標群組：
     • 刪除原目標個體 vcs001 (目標埠 80)
     • 新增目標個體 vcs001 (目標埠設定 443)
     • 新增目標個體 vcs002 (目標埠設定 80)
  3. 調整監聽器：
     • 刪除原監聽器 listener01
     • 新增監聽器 listener02
       • 協定選擇 HTTPS with SSL
       • 連接埠為 443
       • SSL 憑證選擇剛剛建立的憑證