Asennus mahdollistaa salauksen Nginxillä Ubuntu 16.04:ssä

Let's Encrypt on varmenteen myöntäjä (CA), joka tarjoaa ilmaisia ​​SSL-varmenteita automaattisen asiakkaan kanssa. Let's Encrypt SSL -varmenteen avulla voit salata liikennettä verkkosivustosi ja vierailijoidesi välillä. Koko prosessi on yksinkertainen, ja uusiminen voidaan automatisoida. Huomaa myös, että varmenteiden asennus tai uusiminen ei aiheuta seisokkeja.

Tässä opetusohjelmassa käytämme Certbotia SSL-varmenteen hankkimiseen, asentamiseen ja automaattiseen uusimiseen. Electronic Frontier Foundation (EFF) kehittää Certbotia aktiivisesti, ja se on Let's Encryptin suositeltu asiakas.

Edellytykset

• Vultr-instanssi, jossa on Ubuntu 16.04
• Rekisteröity verkkotunnus, joka osoittaa palvelimellesi
• Nginx

Asenna Certbot

Jotta saat Let's Encrypt SSL -sertifikaatin, sinun on asennettava Certbot-asiakasohjelma palvelimellesi.

Lisää arkisto. Paina ENTERnäppäintä, kun sinua kehotetaan hyväksymään.

add-apt-repository ppa:certbot/certbot

Päivitä pakettilista.

apt-get update

Jatka asentamalla Certbot ja Certbotin Nginx-paketti.

apt-get -y install python-certbot-nginx

Nginxin määrittäminen

Certbot määrittää automaattisesti SSL:n Nginxille, mutta tehdäkseen niin sen on löydettävä palvelinlohko Nginx-määritystiedostostasi. Se tekee tämän yhdistämällä server_namemääritystiedoston ohjeen verkkotunnuksen nimeen, jolle pyydät varmennetta.

Jos käytät oletusasetustiedostoa, /etc/nginx/sites-available/defaultavaa se tekstieditorilla, kuten nanoja etsi server_nameohje. Korvaa alaviiva _omilla verkkotunnuksillasi:

nano /etc/nginx/sites-available/default

Konfigurointitiedoston muokkauksen jälkeen server_nameohjeen pitäisi näyttää seuraavalta. Tässä esimerkissä oletetaan, että verkkotunnuksesi on example.com ja että pyydät varmennetta example.com ja www.example.com.

server_name example.com www.example.com;

Jatka tarkistamalla muokkaustesi syntaksi.

nginx -t

Jos syntaksi on oikea, käynnistä Nginx uudelleen käyttääksesi uutta kokoonpanoa. Jos saat virheilmoituksia, avaa asetustiedosto uudelleen ja tarkista kirjoitusvirheet ja yritä sitten uudelleen.

systemctl restart nginx

Let's Encrypt SSL -sertifikaatin hankkiminen

Seuraava komento hankkii sinulle varmenteen. Muokkaa Nginx-kokoonpanoasi käyttääksesi sitä ja lataa Nginx uudelleen.

certbot --nginx -d example.com -d www.example.com

Voit myös pyytää SSL-varmennetta muille verkkotunnuksille. Lisää vain -dvaihtoehto " " niin monta kertaa kuin haluat.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

Jos haluat vain hankkia sertifikaatin Let's Encryptiltä asentamatta sitä automaattisesti, voit käyttää seuraavaa komentoa. Tämä tekee tilapäisiä muutoksia Nginx-kokoonpanoosi varmenteen saamiseksi ja palauttaa ne, kun varmenne on ladattu.

certbot --nginx certonly -d example.com -d www.example.com

Jos käytät Certbotia ensimmäistä kertaa, sinua pyydetään antamaan sähköpostiosoite ja hyväksymään käyttöehdot. Tätä sähköpostiosoitetta käytetään uusimis- ja turvallisuusilmoituksiin. Kun olet antanut sähköpostiosoitteen, Certbot pyytää sertifikaattia Let's Encryptiltä ja suorittaa haasteen varmistaakseen, että hallitset kyseistä verkkotunnusta.

Jos Certbot voi hankkia SSL-varmenteen, se kysyy, kuinka haluat määrittää HTTPSasetukset. Voit joko uudelleenohjata vierailijat, jotka vierailevat verkkosivustollasi suojaamattoman yhteyden kautta, tai antaa heidän käyttää sitä suojaamattoman yhteyden kautta. Tämä tulee yleensä ottaa käyttöön, koska se varmistaa, että vierailijat pääsevät vain verkkosivustosi SSL-suojattuun versioon. Valitse valintasi ja paina sitten ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Lopuksi Certbot vahvistaa, että prosessi oli onnistunut ja missä varmenteesi on tallennettu. Varmenteet on nyt ladattu ja asennettu.

Automaattinen uusiminen

Koska Let's Encrypt on ilmainen varmenneviranomainen, ja kannustaaksemme käyttäjiä automatisoimaan uusimisprosessin, varmenteet ovat voimassa vain 90 päivää. Certbot huolehtii varmenteiden uusimisesta automaattisesti. Se tekee sen ajamalla certbot renewkahdesti päivässä -palvelun kautta systemd.

Voit tarkistaa, että automaattinen uusiminen toimii suorittamalla tämän komennon.

certbot renew --dry-run

Voit myös uusia varmenteen manuaalisesti milloin tahansa suorittamalla seuraavan komennon.

certbot renew

Parannettu kokoonpano

Yllä olevat komennot hankkivat ja asentavat SSL-varmenteen kokoonpanolla, joka sopii useimpiin tapauksiin. Jos haluat ottaa käyttöön edistyneitä suojaustoimenpiteitä verkkosivustollesi, voit hankkia varmenteen seuraavan komennon avulla.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

Se --rsa-key-size 4096käyttää 4096-bittistä RSA-avainta 2048-bittisen avaimen sijaan, mikä on turvallisempaa. Tämän haittapuolena on, että suurempi avain johtaa pieneen suorituskyvyn yleiskustannuksiin. Lisäksi vanhemmat selaimet ja laitteet eivät välttämättä tue 4096-bittisiä RSA-avaimia.

Se --must-staplelisää varmenteeseen OCSP Must Staple -laajennuksen ja määrittää Nginxin OCSP-nidontaan. Tämän laajennuksen avulla selaimet voivat varmistaa, että varmennettasi ei ole peruutettu ja että siihen voi luottaa. Kaikki selaimet eivät kuitenkaan tue tätä ominaisuutta.