Настройката позволява криптиране с Nginx на Ubuntu 16.04

Let's Encrypt е сертифициращ орган (CA), който предоставя безплатни SSL сертификати с автоматизиран клиент. С помощта на Let's Encrypt SSL сертификат можете да шифровате трафика между вашия уебсайт и посетителите си. Целият процес е прост и подновяванията могат да бъдат автоматизирани. Също така имайте предвид, че инсталирането или подновяването на сертификати не води до прекъсване.

В този урок ще използваме Certbot за получаване, инсталиране и автоматично подновяване на вашия SSL сертификат. Certbot се разработва активно от Electronic Frontier Foundation (EFF) и е препоръчителният клиент за Let's Encrypt.

Предпоставки

• Инстанция Vultr, работеща с Ubuntu 16.04
• Регистрирано име на домейн, насочващо към вашия сървър
• Nginx

Инсталирайте Certbot

За да получите Let's Encrypt SSL сертификат, трябва да инсталирате клиента Certbot на вашия сървър.

Добавете хранилището. Натиснете ENTERклавиша, когато бъдете подканени да приемете.

add-apt-repository ppa:certbot/certbot

Актуализирайте списъка с пакети.

apt-get update

Продължете, като инсталирате Certbot и пакета Nginx на Certbot.

apt-get -y install python-certbot-nginx

Конфигуриране на Nginx

Certbot автоматично конфигурира SSL за Nginx, но за да направи това, той трябва да намери сървърния блок във вашия конфигурационен файл на Nginx. Той прави това, като съпоставя server_nameдирективата в конфигурационния файл с името на домейна, за който искате сертификат.

Ако използвате конфигурационния файл по подразбиране, /etc/nginx/sites-available/defaultотворете го с текстов редактор като например nanoи намерете server_nameдирективата. Заменете долната черта, _, с вашето собствено име на домейн:

nano /etc/nginx/sites-available/default

След редактиране на конфигурационния файл, server_nameдирективата трябва да изглежда по следния начин. В този пример предполагам, че вашият домейн е example.com и че искате сертификат за example.com и www.example.com.

server_name example.com www.example.com;

Продължете, като проверите синтаксиса на вашите редакции.

nginx -t

Ако синтаксисът е правилен, рестартирайте Nginx, за да използвате новата конфигурация. Ако получите някакви съобщения за грешка, отворете отново конфигурационния файл и проверете за печатни грешки, след което опитайте отново.

systemctl restart nginx

Получаване на Let's Encrypt SSL сертификат

Следната команда ще получи сертификат за вас. Редактирайте конфигурацията на Nginx, за да я използвате, и презаредете Nginx.

certbot --nginx -d example.com -d www.example.com

Можете също да поискате SSL сертификат за допълнителни домейни. Просто добавете опцията " -d" толкова пъти, колкото искате.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

В случай, че искате да получите сертификата само от Let's Encrypt, без да го инсталирате автоматично, можете да използвате следната команда. Това прави временни промени във вашата конфигурация на Nginx, за да получите сертификата, и ги връща, след като сертификатът бъде изтеглен.

certbot --nginx certonly -d example.com -d www.example.com

Ако стартирате Certbot за първи път, ще бъдете подканени да въведете имейл адрес и да приемете условията за ползване. Този имейл адрес ще се използва за известия за подновяване и сигурност. След като предоставите имейл адрес, Certbot ще поиска сертификат от Let's Encrypt и ще стартира предизвикателство, за да потвърди, че контролирате въпросния домейн.

Ако Certbot може да получи SSL сертификат, той ще попита как искате да конфигурирате вашите HTTPSнастройки. Можете или да пренасочите посетителите, които посещават уебсайта ви през незащитена връзка, или да им позволите достъп до него през незащитена връзка. Това обикновено трябва да бъде активирано, защото гарантира, че посетителите имат достъп само до защитената със SSL версия на вашия уебсайт. Изберете своя избор, след което натиснете ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Накрая Certbot ще потвърди, че процесът е бил успешен и къде се съхраняват вашите сертификати. Вашите сертификати вече са изтеглени и инсталирани.

Автоматизиране на подновяването

Тъй като Let's Encrypt е безплатен сертифициращ орган и за да насърчи потребителите да автоматизират процеса на подновяване, сертификатите са валидни само за 90 дни. Certbot ще се погрижи за автоматично подновяване на сертификати. Това става, като работи certbot renewдва пъти на ден чрез systemd.

Можете да проверите дали автоматичното подновяване работи, като изпълните тази команда.

certbot renew --dry-run

Можете също така ръчно да подновите сертификата си по всяко време, като изпълните следната команда.

certbot renew

Подобрена конфигурация

Горните команди получават и инсталират SSL сертификата с конфигурация, която е подходяща за повечето случаи. Ако искате да приложите разширени мерки за сигурност за вашия уебсайт, можете да използвате следната команда, за да получите сертификата.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

Най --rsa-key-size 4096използва 4096-битов RSA ключ вместо 2048 битов ключ, който е по-сигурен. Недостатъкът на това е, че по-голям ключ води до леки разходи за производителност. Освен това по-старите браузъри и устройства може да не поддържат 4096-битови RSA ключове.

Най --must-stapleдобавя разширението на OCSP Трябва Staple към сертификата и конфигурира Nginx за OCSP поставяне на скоби. Това разширение позволява на браузърите да проверят дали сертификатът ви не е отменен и че може да му се има доверие. Не всички браузъри обаче поддържат тази функция.