Uppsetning gerir kleift að dulkóða með Nginx á Ubuntu 16.04

Let's Encrypt er vottunaryfirvöld (CA) sem veitir ókeypis SSL vottorð með sjálfvirkum biðlara. Með því að nota Let's Encrypt SSL vottorð geturðu dulkóðað umferð milli vefsíðu þinnar og gesta þinna. Allt ferlið er einfalt og endurnýjun getur verið sjálfvirk. Athugaðu einnig að uppsetning eða endurnýjun skírteina veldur ekki stöðvunartíma.

Í þessari kennslu munum við nota Certbot til að fá, setja upp og endurnýja SSL vottorðið þitt sjálfkrafa. Certbot er virkt þróað af Electronic Frontier Foundation (EFF) og það er ráðlagður viðskiptavinur fyrir Let's Encrypt.

Forkröfur

• Vultr tilvik sem keyrir Ubuntu 16.04
• Skráð lén sem vísar á netþjóninn þinn
• Nginx

Settu upp Certbot

Til að fá Let's Encrypt SSL vottorð þarftu að setja upp Certbot biðlarann ​​á netþjóninum þínum.

Bættu við geymslunni. Ýttu á ENTERtakkann þegar beðið er um að samþykkja.

add-apt-repository ppa:certbot/certbot

Uppfærðu pakkalistann.

apt-get update

Haltu áfram með því að setja upp Certbot og Nginx pakkann frá Certbot.

apt-get -y install python-certbot-nginx

Stillir Nginx

Certbot stillir SSL sjálfkrafa fyrir Nginx, en til að gera það þarf það að finna netþjónablokkina í Nginx stillingarskránni þinni. Það gerir þetta með því að passa server_nametilskipunina í stillingarskránni við lénið sem þú ert að biðja um vottorð fyrir.

Ef þú ert að nota sjálfgefna stillingarskrá skaltu /etc/nginx/sites-available/defaultopna hana með textaritli eins og nanoog finna server_nametilskipunina. Skiptu út undirstrikinu, _, fyrir eigin lén:

nano /etc/nginx/sites-available/default

Eftir að stillingarskránni hefur verið breytt server_nameætti tilskipunin að líta út sem hér segir. Í þessu dæmi geri ég ráð fyrir að lénið þitt sé example.com og að þú sért að biðja um vottorð fyrir example.com og www.example.com.

server_name example.com www.example.com;

Haltu áfram með því að staðfesta setningafræði breytinganna þinna.

nginx -t

Ef setningafræðin er rétt skaltu endurræsa Nginx til að nota nýju stillingarnar. Ef þú færð einhver villuboð skaltu opna stillingarskrána aftur og athuga hvort einhverjar innsláttarvillur séu, reyndu svo aftur.

systemctl restart nginx

Að fá Let's Encrypt SSL vottorð

Eftirfarandi skipun mun fá vottorð fyrir þig. Breyttu Nginx stillingunum þínum til að nota hana og endurhlaða Nginx.

certbot --nginx -d example.com -d www.example.com

Þú getur líka beðið um SSL vottorð fyrir fleiri lén. Bættu bara við " -d" valkostinum eins oft og þú vilt.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

Ef þú vilt aðeins fá vottorðið frá Let's Encrypt án þess að setja það upp sjálfkrafa geturðu notað eftirfarandi skipun. Þetta gerir tímabundnar breytingar á Nginx stillingum þínum til að fá vottorðið og dregur þær til baka þegar vottorðinu hefur verið hlaðið niður.

certbot --nginx certonly -d example.com -d www.example.com

Ef þú ert að keyra Certbot í fyrsta skipti verðurðu beðinn um að slá inn netfang og samþykkja þjónustuskilmálana. Þetta netfang verður notað fyrir endurnýjun og öryggistilkynningar. Þegar þú hefur gefið upp netfang mun Certbot biðja um vottorð frá Let's Encrypt og keyra áskorun til að staðfesta að þú hafir stjórn á viðkomandi léni.

Ef Certbot getur fengið SSL vottorð mun það spyrja hvernig þú vilt stilla HTTPSstillingarnar þínar. Þú getur annað hvort vísað gestum sem heimsækja vefsíðuna þína í gegnum ótryggða tengingu eða látið þá fá aðgang að henni í gegnum ótryggðu tenginguna. Þetta ætti venjulega að vera virkt vegna þess að það tryggir að gestir fái aðeins aðgang að SSL-vernduðu útgáfunni af vefsíðunni þinni. Veldu val þitt og ýttu síðan á ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Að lokum mun Certbot staðfesta að ferlið hafi gengið vel og hvar skírteinin þín eru geymd. Vottorðin þín eru nú hlaðið niður og sett upp.

Sjálfvirk endurnýjun

Vegna þess að Let's Encrypt er ókeypis vottorðayfirvöld og til að hvetja notendur til að gera endurnýjunarferlið sjálfvirkt, gilda vottorð aðeins í 90 daga. Certbot mun sjá um endurnýjun skírteina sjálfkrafa. Það gerir það með því að keyra certbot renewtvisvar á dag í gegnum systemd.

Þú getur athugað hvort sjálfvirk endurnýjun sé að virka með því að keyra þessa skipun.

certbot renew --dry-run

Þú getur líka endurnýjað vottorðið þitt handvirkt hvenær sem er með því að keyra eftirfarandi skipun.

certbot renew

Aukin uppsetning

Skipanirnar hér að ofan fá og setja upp SSL vottorðið með stillingum sem hentar í flestum tilfellum. Ef þú vilt innleiða háþróaðar öryggisráðstafanir fyrir vefsíðuna þína geturðu notað eftirfarandi skipun til að fá vottorðið.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

Í --rsa-key-size 4096notar 4096 bita RSA lykill í stað 2048 bita lykil, sem er öruggari. Gallinn við þetta er að stærri lykill leiðir til lítils árangurs. Að auki gætu eldri vafrar og tæki ekki stutt 4096 bita RSA lykla.

The --must-staplebætir OCSP Must hefta framlengingu á vottorðinu og stillir nginx fyrir OCSP stapling. Þessi viðbót gerir vöfrum kleift að staðfesta að vottorðið þitt hafi ekki verið afturkallað og hægt sé að treysta því. Ekki styðja þó allir vafrar þennan eiginleika.