Seadistamine võimaldab Nginxiga krüptimist Ubuntu 16.04-s

Let's Encrypt on sertifitseerimisasutus (CA), mis pakub automaatse kliendiga tasuta SSL-sertifikaate. Kasutades Let's Encrypt SSL-sertifikaati, saate krüpteerida oma veebisaidi ja külastajate vahelise liikluse. Kogu protsess on lihtne ja uuendamist saab automatiseerida. Samuti pange tähele, et sertifikaatide installimine või uuendamine ei põhjusta seisakuid.

Selles õpetuses kasutame teie SSL-sertifikaadi hankimiseks, installimiseks ja automaatseks uuendamiseks Certbotit. Certbot arendab aktiivselt Electronic Frontier Foundation (EFF) ja see on Let's Encrypti soovitatav klient.

Eeltingimused

• Vultri eksemplar, milles töötab Ubuntu 16.04
• Registreeritud domeeninimi, mis osutab teie serverile
• Nginx

Installige Certbot

Let's Encrypt SSL-sertifikaadi saamiseks peate oma serverisse installima Certboti kliendi.

Lisage hoidla. ENTERKui teil palutakse nõustuda, vajutage klahvi.

add-apt-repository ppa:certbot/certbot

Värskendage pakettide nimekirja.

apt-get update

Jätkake Certboti ja Certboti Nginxi paketi installimisega.

apt-get -y install python-certbot-nginx

Nginxi konfigureerimine

Certbot konfigureerib Nginxi jaoks automaatselt SSL-i, kuid selleks peab ta leidma teie Nginxi konfiguratsioonifailist serveriploki. Seda teeb see, sobitades server_namekonfiguratsioonifailis oleva direktiivi domeeninimega, mille jaoks sertifikaati taotlete.

Kui kasutate vaikekonfiguratsioonifaili, /etc/nginx/sites-available/defaultavage see tekstiredaktoriga (nt nanoja leidke server_namekäsk). Asendage allkriips , _oma domeeninime(de)ga:

nano /etc/nginx/sites-available/default

Pärast konfiguratsioonifaili redigeerimist server_namepeaks direktiiv välja nägema järgmine. Selles näites eeldan, et teie domeen on example.com ja te taotlete sertifikaati näiteks.com ja www.example.com.

server_name example.com www.example.com;

Jätkake, kontrollides oma muudatuste süntaksit.

nginx -t

Kui süntaks on õige, taaskäivitage Nginx uue konfiguratsiooni kasutamiseks. Kui saate veateate, avage konfiguratsioonifail uuesti ja kontrollige kirjavigu ning proovige seejärel uuesti.

systemctl restart nginx

Let's Encrypt SSL-sertifikaadi saamine

Järgmine käsk hangib teile sertifikaadi. Muutke oma Nginxi konfiguratsiooni selle kasutamiseks ja laadige Nginx uuesti.

certbot --nginx -d example.com -d www.example.com

SSL-sertifikaati saate taotleda ka täiendavatele domeenidele. Lihtsalt lisage -dvalik " " nii mitu korda kui soovite.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

Kui soovite hankida Let's Encrypti sertifikaati ilma seda automaatselt installimata, saate kasutada järgmist käsku. See muudab teie Nginxi konfiguratsiooni ajutisi muudatusi sertifikaadi saamiseks ja ennistab need pärast sertifikaadi allalaadimist.

certbot --nginx certonly -d example.com -d www.example.com

Kui kasutate Certbotit esimest korda, palutakse teil sisestada e-posti aadress ja nõustuda teenusetingimustega. Seda e-posti aadressi kasutatakse uuendamise ja turvateatiste jaoks. Kui olete e-posti aadressi sisestanud, taotleb Certbot ettevõttelt Let's Encrypt sertifikaati ja käivitab väljakutse, et kontrollida, kas te kontrollite kõnealust domeeni.

Kui Certbot saab hankida SSL-sertifikaadi, küsib see, kuidas soovite oma HTTPSsätteid konfigureerida . Saate külastajaid, kes külastavad teie veebisaiti turvamata ühenduse kaudu, ümber suunata või lubada neil sellele turvamata ühenduse kaudu juurde pääseda. See peaks tavaliselt olema lubatud, kuna see tagab külastajatele juurdepääsu ainult teie veebisaidi SSL-kaitsega versioonile. Valige oma valik, seejärel vajutage ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Lõpuks kinnitab Certbot, et protsess oli edukas ja kus teie sertifikaadid on salvestatud. Teie sertifikaadid on nüüd alla laaditud ja installitud.

Uuendamise automatiseerimine

Kuna Let's Encrypt on tasuta sertifitseerimisasutus ja julgustamaks kasutajaid uuendamisprotsessi automatiseerima, kehtivad sertifikaadid vaid 90 päeva. Certbot hoolitseb sertifikaatide automaatse uuendamise eest. See toimib certbot renewkaks korda päevas rakenduse kaudu systemd.

Selle käsu käivitamisega saate kontrollida, kas automaatne uuendamine töötab.

certbot renew --dry-run

Samuti saate oma sertifikaati igal ajal käsitsi uuendada, käivitades järgmise käsu.

certbot renew

Täiustatud konfiguratsioon

Ülaltoodud käsud hangivad ja installivad SSL-sertifikaadi konfiguratsiooniga, mis sobib enamikul juhtudel. Kui soovite oma veebisaidi jaoks rakendada täpsemaid turvameetmeid, saate sertifikaadi hankimiseks kasutada järgmist käsku.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

See --rsa-key-size 4096kasutab 2048-bitise võtme asemel 4096-bitist RSA-võtit, mis on turvalisem. Selle negatiivne külg on see, et suurem võti toob kaasa väikese jõudluse. Lisaks ei pruugi vanemad brauserid ja seadmed 4096-bitiseid RSA-võtmeid toetada.

See --must-staplelisab sertifikaadile laienduse OCSP Must Staple ja konfigureerib Nginxi OCSP klammerdamiseks. See laiendus võimaldab brauseritel kontrollida, kas teie sertifikaati ei ole tühistatud ja et seda saab usaldada. Kuid mitte kõik brauserid ei toeta seda funktsiooni.