使用域上的真实SSL证书为.NET Core Web API创建Digital Ocean Droplet

最新推荐文章于 2023-08-23 11:40:18 发布
最新推荐文章于 2023-08-23 11:40:18 发布
阅读量399 收藏 2
点赞数
分类专栏: ASP.NET CORE 文章标签: Ocean Droplet .NET Core
原文链接:https://www.codeproject.com/Articles/5326406/Create-a-Digital-Ocean-Droplet-for-NET-Core-Web-AP
版权

目录

介绍

步骤

第 0 步:在您的计算机上安装WinSCP和PuTTY

第 1 步:创建一个Droplet

第 2 步:安装openssh-server

第 3 步:连接PuTTY

第 4 步:安装.NET 6

第 5 步:创建示例WeatherForecast Web API

第 6 步:安装Nginx

第 7 步:配置.NET启动设置

第 8 步:配置Nginx

第 9 步:测试Web API

第 10 步:使用Certbot和LetsEncrypt的SSL证书

第 11 步:发布并保持Web API运行

第 12 步:可选——设置VirtualBox

结论

介绍

我想在真实的HTTPS域下托管一些简单的应用程序。这篇文章描述了我用Digital Ocean Droplet做这件事的尝试。这实际上很容易,但有一些有趣的故事。

在截图中,我在写这篇文章时实际上正在经历一个真正的Droplet创建/配置过程。写完这篇文章后,Droplet将被删除,因此我在这里可能提供的任何安全信息都无关紧要。

除了创建VM之外,此处描述的步骤也适用于其他VM提供商,例如AzureAWS

步骤

0 步:在您的计算机上安装WinSCPPuTTY

使用WinSCPPuTTY使用远程服务器要方便得多,因此请在本地计算机上安装这些应用程序。

1 步:创建一个Droplet

注册Digital Ocean并创建一个Droplet

重要提示:确保创建Ubuntu 18.04 (LTS) x64 dropletUbuntu 20.04不是一个快乐的.NET露营者!

使用基本计划和 CPU 选项 SSD 的常规英特尔,每月 5 美元:

对于身份验证,我选择了密码选项而不是SSH密钥选项。

密码要求有点有趣:

2 步:安装openssh-server

我不想使用Digital Ocean的控制台,因为PuTTY有点复杂(例如,复制和粘贴真的很容易。)也就是说,我们必须从控制台开始。

创建Droplet后,您将在资源选项卡中看到它:

单击它,您将在右侧看到Console链接:

单击它,您将自动以root身份登录:

首先,通过运行以下命令确保Ubuntu的版本是最新的:

sudo apt update

由于Ubuntu 18没有安装openssh,请使用以下命令安装:

sudo apt install openssh-server

你会看到这个提示:

选择了默认的保持当前安装的本地版本

3 步:连接PuTTY

记下DropletIP地址。复制IP——当您将鼠标悬停在IP上时,会出现一个方便的复制按钮。打开Putty并输入IP

然后单击打开按钮并使用您分配的密码以root身份登录。您将首先看到:

单击接受并完成登录过程,您应该会看到类似以下内容:

4 步:安装.NET 6

PuTTY终端窗口中运行这些命令,如下所述:在Linux上使用Snap安装.NET——.NET | 微软文档

最简单的方法是复制下面代码块中的每一行,左键单击终端窗口,然后右键单击粘贴。

sudo snap install dotnet-sdk --classic --channel=6.0
sudo snap alias dotnet-sdk.dotnet dotnet 
sudo snap install dotnet-runtime-60 --classic
export DOTNET_ROOT=/snap/dotnet-sdk/current

请注意,对于Debian安装,命令是不同的,如下所述:在Debian上安装.NET——.NET | 微软文档

重要的!我使用最新版本的UbuntuUbuntu VirtualBox尝试了上述命令,并在安装了.NET时,尝试运行示例Weather Forecast .NET应用程序导致了这个错误:GLIBC_2.2.5 not defined in file libpthread.so.0 with link time reference,具有讽刺意味的是,我最终使用了Debian VirtualBox镜像,因为这是人们说的唯一有效的解决方案。

检查.NET 6安装:

sudo dotnet --info

你应该看到:

(精明的读者会注意到我的Droplet名称已更改——我最初安装的是Ubuntu 20.04,然后发现它不适用于.NET 6!)

5 步:创建示例WeatherForecast Web API

再次在PuTTY控制台中,复制并粘贴:

然后从/home文件夹中创建testapi

cd /home
mkdir testapi
cd testapi
dotnet new webapi
dotnet build
dotnet run

你应该看到:

如果您不这样做——如果dotnet run只是返回到命令行,这意味着您使用错误版本的Ubuntu创建了Droplet

Ctrl+C停止Web API 。稍后我们需要进行一些配置更改。

6 步:安装Nginx

我使用Nginx是因为它支持反向代理,我们将看到将传入请求路由到.NET Web API应用程序是必要的。

安装Nginx

sudo apt-get install nginx

并使用以下命令启动服务器:

sudo /etc/init.d/nginx start

我们将改变Nginx的配置,所以这个命令:

sudo /etc/init.d/nginx reload

重新加载Nginx,知道是有用的。

7 步:配置.NET启动设置

我们不希望.NET管理HTTPS连接——这将由Nginx完成,所以我们打开WinSCP

在证书提示上单击是:

在右侧面板上,导航到/home/testapi/Properties

双击launchSettings.json并:

在这条线上:

"applicationUrl": "https://localhost:7176;http://localhost:5129",

删除https路由并将本地主机更改为5000

"applicationUrl": "http://localhost:5000",

保存文件——编辑器窗口右上角的磁盘图标。

使用以下命令重新启动 Web API

dotnet build
dotnet run

你应该看到:

请注意,Web API现在正在侦听端口5000,而不是侦听https

8 步:配置Nginx

再次在WinSCP中,导航到/etc/nginx/site-available

并双击默认

编辑location配置,使其显示为:

location / {
    # First attempt to serve request as file, then
    # as directory, then fall back to displaying a 404.
    # try_files $uri $uri/ =404;
    proxy_pass http://localhost:5000;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection keep-alive;
            proxy_set_header Host $host;
            proxy_cache_bypass $http_upgrade;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
}

我们在这里所做的更改是注释掉try_files选项,最重要的是,添加以下proxy_pass行:

proxy_pass http://localhost:5000;

以及一些代理设置选项。

重要提示:我们必须使用localhost,而不是127.0.0.1,否则Web API将不会响应。

使用以下命令重新加载Nginx

sudo /etc/init.d/nginx reload

9 步:测试Web API

您现在应该能够浏览到Web API

10 步:使用CertbotLetsEncryptSSL证书

这里有一篇很好的文章:如何设置Nginx Certbot (haydenjames.io)

此时,您必须注册一个域。编辑域上的DNS记录,创建两条A记录。我使用Namecheap,因此我的域temporalagency.comA记录看起来像这样。您的A记录中的IP应该是您的DropletIP地址。

在安装SSL证书之前,您必须等待24小时左右才能通过Internet渗透。

同时,您可以安装Certbot

sudo apt install python-certbot-nginx

还应使用以下命令配置防火墙:

ufw allow ssh
ufw enable
ufw allow http
ufw allow https
sudo ufw allow 'Nginx Full'
sudo ufw status

最后一条命令显示防火墙状态,运行上述命令后,应如下所示:

一旦你给A记录时间通过InernetDNS系统更新,你可以运行这个命令:

sudo certbot --nginx -d [domain].[ext] -d www.[domain].[ext]

其中[domain]是您的域名,[ext]是通用顶级名称,例如comorgnet等。系统将提示您输入用于警报的电子邮件地址以及其他一些选择加入的问题,包括是否应将http自动重新路由到https,我对此的回答是肯定的。

此时,您应该能够使用https://www.[domain].[ext]/WeatherService访问Web API,例如,使用我的域temporalagency.com

要手动更新证书(每 90 天过期),您可以使用以下命令:

sudo certbot renew --dry-run

但是,证书应该自动更新。您可以使用以下命令验证它是否在systemd计时器中:

systemctl list-timers

你应该看到:

certbot服务每隔几个小时运行一次——这并不意味着它每次运行时都会刷新证书!

certbot做了什么?

如果你查看Nginx文件夹中的default文件,你会看到certbot创建了一个新的服务器定义文件,重点是:

1、监听443端口:

server {

	# SSL configuration
	#
	listen 443 ssl ;
	listen [::]:443 ssl

2、服务器名称已配置:

server_name www.temporalagency.com temporalagency.com; # managed by Certbot

3、证书设置:

ssl_certificate /etc/letsencrypt/live/temporalagency.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/temporalagency.com/privkey.pem; # managed by Certbot

4、配置了重定向(假设您要求certbothttp重定向到https):

server {
    if ($host = www.temporalagency.com) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


    if ($host = temporalagency.com) {
        return 301 https://$host$request_uri;
    } # managed by Certbot

	listen 80 ;
	listen [::]:80 ;
    server_name www.temporalagency.com temporalagency.com;
    return 404; # managed by Certbot

11 步:发布并保持Web API运行

最后,我们希望在关闭PuTTY窗口后保持Web API运行,或者在服务器重新启动时自动重新启动。

首先,注释掉这一行:

// app.UseHttpsRedirection();

因为Nginx正在处理https重定向。

接下来,创建应用程序的发布版本:

dotnet publish --configuration Release

这将创建一个Publish文件夹,我们可以在WinSCP中看到该文件夹​​

使用WinSCP,在/etc/systemd/system中创建一个服务定义文件:

例如,我简单地将我的称为testapi.service.”

文件的内容(来自此处)应为:

[Unit]
Description=Example .NET Web API App running on Ubuntu

[Service]
WorkingDirectory=/var/www/PUBLISH_DIRECTORY
ExecStart=/usr/bin/dotnet /var/www/MYAPP_DIRECTORY/STARUP_PROJECT_NAME.dll
Restart=always
# Restart service after 10 seconds if the dotnet service crashes:
RestartSec=10
KillSignal=SIGINT
SyslogIdentifier=dotnet-example
User=www-data
Environment=ASPNETCORE_ENVIRONMENT=Production
Environment=DOTNET_PRINT_TELEMETRY_MESSAGE=false

[Install]
WantedBy=multi-user.target

除了/var/www/PUBLISH_DIRECTORY/var/www/MYAPP_DIRECTORY/STARUP_PROJECT_NAME.dll需要相应地替换,并且由于我的服务在home/testapi中,我分别使用了:

/home/testapi/bin/Release/net6.0/publish//home/testapi/bin/Release/net6.0/publish/testapi.dll

WorkingDirectory=/home/testapi/bin/Release/net6.0/publish
ExecStart=/snap/dotnet-sdk/current/dotnet /home/testapi/bin/Release/net6.0/publish/testapi.dll

重要提示:注意dotnet的路径——服务需要绝对路径。

保存文件并启用服务(显然用您选择的任何服务名称替换服务名称):

sudo systemctl enable testapi.service

使用以下命令启动服务:

sudo systemctl start testapi.service

如果您需要停止服务,请使用:

sudo systemctl stop testapi.service

使用以下命令测试服务是否在重新启动后启动:

sudo reboot

等待一分钟左右,让Droplet重新启动,然后测试Web API是否正常工作。

12 步:可选——设置VirtualBox

我并不是特别热衷于在Droplet上测试代码,虽然我显然可以在Windows中开发.NET 6应用程序,但我认为使用Ubuntu 18.04Debian当前的LTS版本的VirtualBox镜像测试Linux系统的部署很有用的。简单来说:

  1. 从Oracle下载并安装VirtualBox
  2. 下载所需的Ubuntu或Debian镜像
  3. 如果您安装Debian在Debian上安装.NET——.NET | 微软文档
  4. 如果您安装Ubuntu在Linux上使用Snap安装.NET——.NET | 微软文档

如果您安装Debian,您需要在Debian服务器上编辑/etc/network/interfaces文件,使其看起来与此类似,具体取决于您的IP地址和名称服务器:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0 
iface eth0 inet static 
address 192.168.10.115 
netmask 255.255.255.0 
gateway 192.168.10.1 
dns-nameservers 8.8.8.8 192.168.10.1

另请注意,Debian镜像已经安装openssh

要在本地计算机上将 VirtualBox镜像与PuTTYWinSCP一起使用,您需要创建一个网桥作为适配器2,与设置中的类似:

结论

在本文中:

  1. 我们创建了一个Digital Ocean Droplet
  2. 选择了正确版本的Ubuntu以便与.NET 6配合使用。
  3. 在我们的本地计算机上安装了PuTTYWinSCP,以便轻松访问Droplet
  4. Droplet配置了我们的域注册器。
  5. Droplet上:
    1. 安装了.NET 6
    2. 安装了Nginx
    3. 创建了一个测试Web API
    4. SSL配置了我们的Droplet
    5. .NET Web API修改为不使用HTTPS重定向。
    6. 使用certbot通过LetsEncrypt创建90证书。

最终结果是有效HTTPS Web API的功能演示!

https://www.codeproject.com/Articles/5326406/Create-a-Digital-Ocean-Droplet-for-NET-Core-Web-AP

寒冰屋
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
digitalocean云服务器,最快55秒 DigitalOcean Droplet虚拟服务器搭建
weixin_42237925的博客
07-30 1086
DigitalOcean可提供虚拟服务器和droplet;你搭建的每个droplet都将成为你所独有的虚拟服务器。安装十分简单,整个过程甚至只需1分钟!第一步,登陆请访问:https://www.DigitalOcean.com/droplets搭建一个droplet,并用邮箱账号和密码登陆。若你之前从未搭建过droplet,可点击首页的“搭建新服务器”按钮。如果你已经有droplet,可点击左侧...
如何在ASP.NET Core使用证书
寒冰屋的专栏
07-06 2199
在本文中,我们将了解证书以及为什么需要它们。我们还将了解如何在我们的计算机上创建用于测试的自签名证书,以及如何在服务器端和客户端使用ASP.NET Core证书
C#调用webapi HTTPS报错:基础连接已经关闭: 未能为 SSL/TLS 安全通道建立信任关系--安全证书问题
weixin_42064877的博客
03-03 3566
C#调用webapi HTTPS报错:基础连接已经关闭: 未能为 SSL/TLS 安全通道建立信任关系--安全证书问题
搞定需要HTTPS证书访问的WebAPI
加菲猫的VFP
10-12 1086
今年开展的VFP极简BS入门训练营,很多朋友开启了自己的应用,像教育系统用的报名系统,像房地产的工地进度展示等等,学员们的成长让我非常感动。开启学习的捷径,其实是跟对老师,少走弯路。 有时候,老师一句话,可以少走多少弯路。还有不能解决的可以呼叫猫猫的远程技术支持,猫猫的课程就是这么硬核。 学习要怎么学,掌握三点就好 先听再抄,不看课件,再抄。猫猫的训练营的宗旨,就是跟课一定让你学得会,不会可以找我补课。 VUE是什么? 1、Vue.js目前最火的的一个前端框架...
.NetCore项目使用Https证书
wzl644的专栏
07-24 6706
.NetCore项目使用Https证书 1.Https证书 举例介绍SSL证书,属Https证书SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本,因为配置在服务器上,也称为SSL服务器证书SSL证书就是遵守SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发, 具有服务器身份验证和传输加密功能。 2.为什么部署Https证书 1、服务器部署了SSL证书后可以确保用户到服务器之间的数据以https高强度加密传输,可防止数据在传输过程中被第三方监听、截取和篡改,保护通信的安全
DigitalOcean.API::whale2:DigitalOcean API.NET实现
02-05
dotnet add package DigitalOcean.API例var client = new DigitalOceanClient ( " api_token " );var request = new Droplet { Name = " example.com " , Region = " nyc3 " , Size = " s-1vcpu-1gb " , Image = " ...
ansible-digitalocean-sample-playbook:一个示例剧本,说明如何使用Ansible创建和配置DigitalOcean Droplet
01-31
这是一个示例剧本,说明了如何使用Ansible创建和设置DigitalOcean小滴。 您可以通过此剧本使用命令行启动并配置小滴。 该剧本具有以下功能: 旋转DigitalOcean小滴 将小滴的IP地址添加到 设置交换文件 安装和设置...
vdm:通过 vagrant 在 digitalocean droplet创建 minecraft 服务器
07-03
流浪者 :: Digitalocean :: Minecraft 有很多方法可以创建我的世界服务器:这是我的。 在 debian stable 上创建 minecraft 服务器,包括每天更新的地图。 它应该被充分调整以处理 1GB 数字海洋图像上的 5 到 10 个...
bigdrop:利用APIDigitalOcean python工具可创建和管理多个自定义的Droplet
05-07
主要的烦恼是您需要将DigitalOcean API密钥硬编码到脚本中,我可以添加'-t'参数或其他内容,但是我太懒了。 对不起! 在API调用方面,我也没有费心编写自己的代码(毫无意义地重新发明轮子),因为我发现了这一点...
terraform-digitalocean-droplet:社区维护的Terraform模块,用于管理DigitalOcean Droplet和相关资源
02-04
`terraform-digitalocean-droplet`模块正是基于这一理念,为DigitalOceanDroplet提供了便利的管理方式。 DigitalOcean DropletDigitalOcean提供的基础计算单元,相当于其他云服务商的虚拟机实例。这个Terraform...
ASP.NET Core Kestrel 中使用 HTTPS (SSL
10-21
主要为大家详细介绍了ASP.NET Core Kestrel 中使用 HTTPS(SSL)的相关资料,感兴趣的小伙伴们可以参考一下
关于.NET6后端程序(api)部署ssl证书的问题(https) 解决ing
weixin_45507349的博客
08-23 1737
首先 一般情况下,后端不用https,但vs默认创建工程时,很容易勾选,这是需要将https改为http。参考:https://www.cnblogs.com/jackyfei/p/16416868.html。这里没有密码 说是密码配置在环境里 应该直接在这里输密码也可以 具体应用还不清楚 有大神用过请指教啊。然后 对于安全级别很高的项目,需要走https的,还在研究,资料确实很少。首先Kestrel肯定是要使用,直接配ssl证书的方法我是没找到。一、把program.cs的。把program改成这样。
VS2019,DotNetCoreWebApi发布到linux(CentOS 7)全过程
xueren_83的博客
04-25 4093
.Net开发,在生产过程中还是有一定用户群的,最近研究了下使用VS2019环境,使用Core开发webApi并发布到Linux(CenOS 7)上,过程不算复杂,简单做个备忘! 一、创建Core WebApi 项目 Api项目默认文件如上图, Properties下的launchSettings.json文件 { "$schema": "http://json.schemastore.org/launchsettings.json", "iisSettings...
ASP.NET Core Web APISSL
weixin_34050005的博客
06-20 248
SSL 一直没有真正研究过SSL,不知道下面的理解是否正确。 SSL是Secure Sockets Layer的缩写,它用来保护服务器和客户端之前的通信。它是基于信任+加密的概念。 在介绍SSL的原理之前,首先介绍一下加密(Encryption)的概念。 在很多的应用/API里,最常见的一种加密的方式是对称加密(Symmetric Encryptio...
NetCore WebApi使用Jwtbearer实现认证和授权
无名指的约定
12-23 1767
1. 什么是JWT? JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 可以通过URL,POST参数或者在HTTP header发送,因为数据量小,传输速度也很快自包含(Self-contained):负载中包含了所...
https安全解决方案证书certbot教程
wangyun381974024的博客
01-04 3121
https安全解决方案证书certbot教程
dotnet core配置ssl https
weixin_37744986的博客
08-03 4389
1.首先得有一个名,没有的话去购买一个。 2.申请一个ssl证书,可以去https://freessl.cn/,或者去阿里云里面的ssl控制台里面申请,有免费1年的 3.申请好了,就在你所在的名服务商里面的DNS配置解析,ssl证书里面的TXT值 4.在ssl里面验证下。这样就好了 以下是dotnet core使用时的代码 Program.cs脚本里面 public ...
.Net core Https SSL
liwan09的博客
07-18 2244
一、功能实现大步骤 1、首先得有一个名(DNS),没有的话需要购买 2、申请一个SSL证书,可以去https://freessl.cn/,或者去阿里云里面的ssl控制台里面申请,有免费1年的 3、申请好了,就在你所在的名服务商里面的DNS配置解析,ssl证书里面的TXT值 4、SSL中验证 二、具体实现 1、由于我没有DNS,只能在Windows本机设置一个本机DNS了 windows本机名设置 进入 C:\Windows\System32\drivers\etc 下,找到ho...
Windows IIS 环境部署 .NET Core 语言文件 SSL证书 HTTPS协议
KingCruel的专栏
03-25 1313
Azure 应用服务和 IIS 上 ASP.NET Core 的常见错误参考 1、安装 DotNetCore-WindowsHosting 下载并安装.NET Core Hosting Bundle .NET Core 3.0 Hosting Bundle 2、发布程序 3、配置IIS 4、应用程序池 ...
(1)What+forces+act+on+the+oil+droplet+when+it+is+stationary+in+an+electrostatic+field?+If+the+field
最新发布
10-23
When an oil droplet is stationary in an electrostatic field, there are two forces acting on it: the gravitational force and the electrostatic force. The gravitational force pulls the droplet downwards...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值