Postavljanje omogućuje šifriranje pomoću Lighttpd-a na Ubuntu 16.04

Uvod

Let's Encrypt je tijelo za izdavanje certifikata (CA) koje izdaje besplatne SSL/TLS certifikate. Lighttpd je lagani web poslužitelj koji radi na malim resursima. Let's Encrypt SSL certifikati mogu se jednostavno instalirati na Lighttpd poslužitelj pomoću Certbota, softverskog klijenta koji automatizira većinu procesa dobivanja certifikata.

Preduvjeti

Ovaj vodič pretpostavlja da ste već stvorili Vultr Cloud Compute instancu s Lighttpd instaliranim na Ubuntu 16.04 , da imate naziv domene koji upućuje na vaš poslužitelj i da ste se prijavili kao root.

Prvi korak: Instalirajte Certbot

Prvi korak je instaliranje Certbota. Dodajte Certbot repozitorij. Pritisnite Enterkada se od vas zatraži potvrda.

add-apt-repository ppa:certbot/certbot

Instalirajte Certbot.

apt-get update
apt-get install certbot

Drugi korak: Nabavite SSL certifikat

Nakon što je Certbot instaliran, možete dobiti SSL certifikat. Pokrenite sljedeću naredbu, zamijenivši je example.comvlastitim imenom domene:

certbot certonly --webroot -w /var/www/html -d example.com -d www.example.com

Nastavite kroz interaktivni instalacijski program.

Treći korak: Postavite datoteke certifikata za korištenje sa Lighttpd

Certbot će dobivene datoteke certifikata smjestiti u /etc/letsencrypt/live/example.com. Morat ćete dopustiti korisniku Lighttpd pristup ovom direktoriju.

chown :www-data /etc/letsencrypt
chown :www-data /etc/letsencrypt/live
chmod g+x /etc/letsencrypt
chmod g+x /etc/letsencrypt/live

Lighttpd zahtijeva da certifikat i privatni ključ budu u jednoj datoteci. Morat ćete kombinirati dvije datoteke. Pokrenite sljedeću naredbu, zamijenivši je example.comvlastitim imenom domene.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem > /etc/letsencrypt/live/example.com/merged.pem

privkey.pemI cert.pemdatoteke će se kombinirati i spremiti kao merged.pem.

Četvrti korak: Konfigurirajte Lighttpd

Nakon što su vaše datoteke certifikata spremne, možete nastaviti i konfigurirati Lighttpd da koristi SSL certifikat. Otvorite konfiguracijsku datoteku Lighttpd za uređivanje.

nano /etc/lighttpd/lighttpd.conf

Dodajte sljedeći blok na kraj datoteke, zamjenjujući ga example.comvlastitim imenom domene,

$SERVER["socket"] == ":443" {
    ssl.engine              = "enable"
    ssl.ca-file             = "/etc/letsencrypt/live/example.com/chain.pem"
    ssl.pemfile             = "/etc/letsencrypt/live/example.com/merged.pem"
}

Peti korak: prisilno korištenje SSL-a

Za dodatnu sigurnost, možete prisiliti vaš Lighttpd poslužitelj da sve HTTP zahtjeve usmjeri na HTTPS. Otvorite lighttpd.confdatoteku za uređivanje.

nano /etc/lighttpd/lighttpd.conf

Dodajte sljedeći blok na kraj datoteke,

$HTTP["scheme"] == "http" {
    $HTTP["host"] =~ ".*" {
        url.redirect = (".*" => "https://%0$0")
    }
}

Morat ćete ponovno pokrenuti Lighttpd server kako bi promjene stupile na snagu.

systemctl restart lighttpd

Obnavljanje SSL certifikata

Let's Encrypt izdaje SSL certifikate s valjanošću od 90 dana. Morat ćete obnoviti svoj certifikat prije nego što istekne kako biste izbjegli pogreške certifikata. Certifikat možete obnoviti uz Certbot.

certbot renew

Morat ćete kombinirati certifikat i privatni ključ za Lighttpd. Pokrenite sljedeću naredbu, zamijenivši je example.comimenom svoje domene.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem     > /etc/letsencrypt/live/example.com/merged.pem

Vaš certifikat će se obnoviti za još 90 dana.