Nastavení umožňuje šifrování pomocí Nginx na Ubuntu 16.04

Let's Encrypt je certifikační autorita (CA), která poskytuje bezplatné certifikáty SSL s automatizovaným klientem. Pomocí certifikátu Let's Encrypt SSL můžete šifrovat provoz mezi vaším webem a vašimi návštěvníky. Celý proces je jednoduchý a obnovy lze automatizovat. Všimněte si také, že instalace nebo obnova certifikátů nezpůsobí žádné prostoje.

V tomto tutoriálu použijeme Certbot k získání, instalaci a automatické obnově vašeho certifikátu SSL. Certbot je aktivně vyvíjen Electronic Frontier Foundation (EFF) a je doporučeným klientem pro Let's Encrypt.

Předpoklady

• Instance Vultr se systémem Ubuntu 16.04
• Registrovaný název domény směřující na váš server
• Nginx

Nainstalujte Certbot

Chcete-li získat certifikát Let's Encrypt SSL, musíte na svůj server nainstalovat klienta Certbot.

Přidejte úložiště. ENTERPo zobrazení výzvy k přijetí stiskněte klávesu.

add-apt-repository ppa:certbot/certbot

Aktualizujte seznam balíčků.

apt-get update

Pokračujte instalací Certbota a Certbotova balíčku Nginx.

apt-get -y install python-certbot-nginx

Konfigurace Nginx

Certbot automaticky nakonfiguruje SSL pro Nginx, ale k tomu potřebuje najít blok serveru ve vašem konfiguračním souboru Nginx. Dělá to tak, že odpovídá server_namedirektivě v konfiguračním souboru s názvem domény, pro kterou požadujete certifikát.

Pokud používáte výchozí konfigurační soubor, /etc/nginx/sites-available/defaultotevřete jej pomocí textového editoru, jako je nanoa najděte server_namedirektivu. Nahraďte podtržítko , _svým vlastním doménovým jménem (názvy):

nano /etc/nginx/sites-available/default

Po úpravě konfiguračního souboru by server_namesměrnice měla vypadat následovně. V tomto příkladu předpokládám, že vaše doména je example.com a že požadujete certifikát pro example.com a www.example.com.

server_name example.com www.example.com;

Pokračujte ověřením syntaxe vašich úprav.

nginx -t

Pokud je syntaxe správná, restartujte Nginx, abyste mohli použít novou konfiguraci. Pokud se zobrazí nějaké chybové zprávy, znovu otevřete konfigurační soubor a zkontrolujte případné překlepy a zkuste to znovu.

systemctl restart nginx

Získání certifikátu Let's Encrypt SSL

Následující příkaz pro vás získá certifikát. Upravte konfiguraci Nginx, abyste ji mohli používat, a znovu načtěte Nginx.

certbot --nginx -d example.com -d www.example.com

Můžete také požádat o certifikát SSL pro další domény. Stačí přidat možnost " -d" tolikrát, kolikrát chcete.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

V případě, že chcete certifikát získat pouze z Let's Encrypt bez jeho automatické instalace, můžete použít následující příkaz. To provede dočasné změny v konfiguraci Nginx za účelem získání certifikátu a vrátí je, jakmile bude certifikát stažen.

certbot --nginx certonly -d example.com -d www.example.com

Pokud spouštíte Certbot poprvé, budete vyzváni k zadání e-mailové adresy a souhlasu s podmínkami služby. Tato e-mailová adresa bude použita pro oznámení o obnovení a zabezpečení. Jakmile zadáte e-mailovou adresu, Certbot si vyžádá certifikát od Let's Encrypt a spustí výzvu k ověření, že ovládáte danou doménu.

Pokud Certbot může získat certifikát SSL, zeptá se, jak chcete nakonfigurovat HTTPSnastavení. Návštěvníky, kteří navštíví váš web, můžete buď přesměrovat přes nezabezpečené připojení, nebo jim umožnit přístup přes nezabezpečené připojení. To by mělo být obvykle povoleno, protože zajišťuje, že návštěvníci přistupují pouze k verzi vašeho webu chráněnou protokolem SSL. Vyberte svou volbu a stiskněte ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Nakonec Certbot potvrdí, že proces byl úspěšný a kde jsou vaše certifikáty uloženy. Vaše certifikáty jsou nyní staženy a nainstalovány.

Automatizace obnovy

Protože Let's Encrypt je bezplatná certifikační autorita, a abychom povzbudili uživatele k automatizaci procesu obnovy, jsou certifikáty platné pouze 90 dní. Certbot se o obnovu certifikátů postará automaticky. Dělá to tak, že běží certbot renewdvakrát denně přes systemd.

Spuštěním tohoto příkazu můžete zkontrolovat, zda automatické obnovení funguje.

certbot renew --dry-run

Svůj certifikát můžete také kdykoli ručně obnovit spuštěním následujícího příkazu.

certbot renew

Vylepšená konfigurace

Výše uvedené příkazy získají a nainstalují certifikát SSL s konfigurací, která je vhodná pro většinu případů. Pokud chcete implementovat pokročilá bezpečnostní opatření pro svůj web, můžete k získání certifikátu použít následující příkaz.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

--rsa-key-size 4096Využívá 4096-bitový RSA klíč namísto 2048 bitovým klíčem, který je mnohem bezpečnější. Nevýhodou je, že větší klíč má za následek mírnou režii výkonu. Starší prohlížeče a zařízení navíc nemusí podporovat 4096bitové klíče RSA.

K --must-staplecertifikátu přidá rozšíření OCSP Must Staple a nakonfiguruje Nginx pro sešívání OCSP. Toto rozšíření umožňuje prohlížečům ověřit, že váš certifikát nebyl odvolán a lze mu důvěřovat. Ne všechny prohlížeče však tuto funkci podporují.