Opsætning lader kryptere med Nginx på Ubuntu 16.04

Let's Encrypt er en Certificate Authority (CA), der leverer gratis SSL-certifikater med en automatiseret klient. Ved at bruge et Let's Encrypt SSL-certifikat kan du kryptere trafikken mellem din hjemmeside og dine besøgende. Hele processen er enkel, og fornyelser kan automatiseres. Bemærk også, at installation eller fornyelse af certifikater ikke forårsager nedetid.

I denne vejledning bruger vi Certbot til at hente, installere og automatisk forny dit SSL-certifikat. Certbot udvikles aktivt af Electronic Frontier Foundation (EFF), og det er den anbefalede klient til Let's Encrypt.

Forudsætninger

• En Vultr-instans, der kører Ubuntu 16.04
• Et registreret domænenavn, der peger på din server
• Nginx

Installer Certbot

For at få et Let's Encrypt SSL-certifikat skal du installere Certbot-klienten på din server.

Tilføj lageret. Tryk på ENTERtasten, når du bliver bedt om at acceptere.

add-apt-repository ppa:certbot/certbot

Opdater pakkelisten.

apt-get update

Fortsæt ved at installere Certbot og Certbots Nginx-pakke.

apt-get -y install python-certbot-nginx

Konfiguration af Nginx

Certbot konfigurerer automatisk SSL til Nginx, men for at gøre det skal den finde serverblokken i din Nginx-konfigurationsfil. Det gør den ved at matche server_namedirektivet i konfigurationsfilen med det domænenavn, som du anmoder om et certifikat for.

Hvis du bruger standardkonfigurationsfilen, skal du /etc/nginx/sites-available/defaultåbne den med en teksteditor som f.eks. nanoog finde server_namedirektivet. Erstat understregningen, _, med dine egne domænenavne:

nano /etc/nginx/sites-available/default

Efter redigering af konfigurationsfilen skal server_namedirektivet se ud som følger. I dette eksempel antager jeg, at dit domæne er example.com, og at du anmoder om et certifikat for eksempel.com og www.example.com.

server_name example.com www.example.com;

Fortsæt ved at bekræfte syntaksen for dine redigeringer.

nginx -t

Hvis syntaksen er korrekt, genstart Nginx for at bruge den nye konfiguration. Hvis du får nogen fejlmeddelelser, skal du genåbne konfigurationsfilen og kontrollere for eventuelle stavefejl, og derefter prøve igen.

systemctl restart nginx

Opnåelse af et Let's Encrypt SSL-certifikat

Følgende kommando vil få et certifikat til dig. Rediger din Nginx-konfiguration for at bruge den, og genindlæs Nginx.

certbot --nginx -d example.com -d www.example.com

Du kan også anmode om et SSL-certifikat for yderligere domæner. Du skal blot tilføje " -d" muligheden så mange gange du vil.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

Hvis du kun ønsker at få certifikatet fra Let's Encrypt uden at installere det automatisk, kan du bruge følgende kommando. Dette foretager midlertidige ændringer af din Nginx-konfiguration for at få certifikatet og vender tilbage, når certifikatet er blevet downloadet.

certbot --nginx certonly -d example.com -d www.example.com

Hvis du kører Certbot for første gang, vil du blive bedt om at indtaste en e-mailadresse og acceptere servicevilkårene. Denne e-mailadresse vil blive brugt til fornyelse og sikkerhedsmeddelelser. Når du har angivet en e-mailadresse, vil Certbot anmode om et certifikat fra Let's Encrypt og køre en udfordring for at bekræfte, at du kontrollerer det pågældende domæne.

Hvis Certbot kan få et SSL-certifikat, vil den spørge, hvordan du vil konfigurere dine HTTPSindstillinger. Du kan enten omdirigere besøgende, der besøger din hjemmeside via en usikker forbindelse eller lade dem få adgang til den via den usikrede forbindelse. Dette bør normalt være aktiveret, fordi det sikrer, at besøgende kun får adgang til den SSL-beskyttede version af dit websted. Vælg dit valg, og tryk derefter på ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Endelig vil Certbot bekræfte, at processen var vellykket, og hvor dine certifikater er gemt. Dine certifikater er nu downloadet og installeret.

Automatisering af fornyelse

Fordi Let's Encrypt er en gratis certifikatmyndighed, og for at opmuntre brugerne til at automatisere fornyelsesprocessen, er certifikater kun gyldige i 90 dage. Certbot sørger for automatisk fornyelse af certifikater. Det gør den ved at køre certbot renewto gange om dagen via systemd.

Du kan kontrollere, at automatisk fornyelse fungerer ved at køre denne kommando.

certbot renew --dry-run

Du kan også manuelt forny dit certifikat til enhver tid ved at køre følgende kommando.

certbot renew

Forbedret konfiguration

Kommandoerne ovenfor henter og installerer SSL-certifikatet med en konfiguration, der passer til de fleste tilfælde. Hvis du vil implementere avancerede sikkerhedsforanstaltninger til dit websted, kan du bruge følgende kommando til at få certifikatet.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

Den --rsa-key-size 4096bruger en 4096-bit RSA-nøgle i stedet for en 2048-bit nøgle, hvilket er mere sikkert. Ulempen ved dette er, at en større nøgle resulterer i en lille ydeevne overhead. Derudover understøtter ældre browsere og enheder muligvis ikke 4096-bit RSA-nøgler.

Den --must-stapletilføjer OCSP Must Staple-udvidelsen til certifikatet og konfigurerer Nginx til OCSP-hæftning. Denne udvidelse giver browsere mulighed for at bekræfte, at dit certifikat ikke er blevet tilbagekaldt og kan stole på. Ikke alle browsere understøtter dog denne funktion.