La configuració permet xifrar amb Lighttpd a Ubuntu 16.04

Introducció

Let's Encrypt és una autoritat de certificació (CA) que emet certificats SSL/TLS gratuïts. Lighttpd és un servidor web lleuger que s'executa amb pocs recursos. Els certificats SSL de Let's Encrypt es poden instal·lar fàcilment en un servidor Lighttpd mitjançant Certbot, un client de programari que automatitza la major part del procés d'obtenció dels certificats.

Prerequisits

Aquest tutorial suposa que ja heu creat una instància de Vultr Cloud Compute amb Lighttpd instal·lat a Ubuntu 16.04 , teniu un nom de domini que apunta al vostre servidor i heu iniciat sessió com a root.

Primer pas: instal·leu Certbot

El primer pas és instal·lar Certbot. Afegiu el repositori Certbot. Premeu Enterquan se us demani la confirmació.

add-apt-repository ppa:certbot/certbot

Instal·leu Certbot.

apt-get update
apt-get install certbot

Segon pas: obteniu el certificat SSL

Un cop instal·lat Certbot, podeu obtenir un certificat SSL. Executeu l'ordre següent, substituint-lo example.compel vostre propi nom de domini:

certbot certonly --webroot -w /var/www/html -d example.com -d www.example.com

Continueu a través de l'instal·lador interactiu.

Pas tres: configureu els fitxers de certificat per utilitzar-los amb Lighttpd

Certbot col·locarà els fitxers de certificat obtinguts a /etc/letsencrypt/live/example.com. Haureu de concedir a l'usuari de Lighttpd accés a aquest directori.

chown :www-data /etc/letsencrypt
chown :www-data /etc/letsencrypt/live
chmod g+x /etc/letsencrypt
chmod g+x /etc/letsencrypt/live

Lighttpd requereix que el certificat i la clau privada estiguin en un sol fitxer. Haureu de combinar els dos fitxers. Executeu l'ordre següent, substituint-lo example.compel vostre propi nom de domini.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem > /etc/letsencrypt/live/example.com/merged.pem

El privkey.pemi cert.pemels arxius es combinaran i es guarda com merged.pem.

Pas quatre: configureu Lighttpd

Un cop els fitxers de certificat estiguin preparats, podeu continuar i configurar Lighttpd per utilitzar el certificat SSL. Obriu el fitxer de configuració de Lighttpd per editar-lo.

nano /etc/lighttpd/lighttpd.conf

Afegiu el bloc següent al final del fitxer, substituint-lo example.compel vostre propi nom de domini,

$SERVER["socket"] == ":443" {
    ssl.engine              = "enable"
    ssl.ca-file             = "/etc/letsencrypt/live/example.com/chain.pem"
    ssl.pemfile             = "/etc/letsencrypt/live/example.com/merged.pem"
}

Cinque pas: força l'ús de SSL

Per obtenir més seguretat, podeu forçar el vostre servidor Lighttpd a encaminar totes les sol·licituds HTTP a HTTPS. Obriu el lighttpd.conffitxer per editar-lo.

nano /etc/lighttpd/lighttpd.conf

Afegiu el bloc següent al final del fitxer,

$HTTP["scheme"] == "http" {
    $HTTP["host"] =~ ".*" {
        url.redirect = (".*" => "https://%0$0")
    }
}

Haureu de reiniciar el servidor Lighttpd perquè els canvis tinguin efecte.

systemctl restart lighttpd

Renovació del certificat SSL

Let's Encrypt emet certificats SSL amb una validesa de 90 dies. Haureu de renovar el vostre certificat abans que caduqui per evitar errors de certificat. Pots renovar el certificat amb Certbot.

certbot renew

Haureu de combinar el certificat i la clau privada per a Lighttpd. Executeu l'ordre següent, substituint-lo example.compel vostre nom de domini.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem     > /etc/letsencrypt/live/example.com/merged.pem

El vostre certificat es renovarà durant 90 dies més.