Sąranka leidžia šifruoti naudojant „Nginx“ Ubuntu 16.04

Let's Encrypt yra sertifikavimo institucija (CA), teikianti nemokamus SSL sertifikatus su automatizuotu klientu. Naudodami Let's Encrypt SSL sertifikatą, galite užšifruoti srautą tarp svetainės ir lankytojų. Visas procesas yra paprastas, o atnaujinimai gali būti automatizuoti. Taip pat atkreipkite dėmesį, kad sertifikatų įdiegimas ar atnaujinimas nesukelia prastovų.

Šioje mokymo programoje naudosime Certbot, kad gautume, įdiegtume ir automatiškai atnaujintume jūsų SSL sertifikatą. „Certbot“ aktyviai kuria „Electronic Frontier Foundation“ (EFF) ir yra rekomenduojamas „Let's Encrypt“ klientas.

Būtinos sąlygos

• „Vultr“ egzempliorius, kuriame veikia „Ubuntu 16.04“.
• Registruotas domeno vardas, nukreipiantis į jūsų serverį
• Nginx

Įdiekite Certbot

Norėdami gauti Let's Encrypt SSL sertifikatą, savo serveryje turite įdiegti Certbot klientą.

Pridėti saugyklą. Paspauskite ENTERklavišą, kai būsite paraginti priimti.

add-apt-repository ppa:certbot/certbot

Atnaujinkite paketų sąrašą.

apt-get update

Tęskite įdiegdami Certbot ir Certbot's Nginx paketą.

apt-get -y install python-certbot-nginx

Nginx konfigūravimas

„Certbot“ automatiškai sukonfigūruoja „Nginx“ SSL, tačiau norint tai padaryti, „Nginx“ konfigūracijos faile reikia rasti serverio bloką. Tai atliekama suderindama server_namekonfigūracijos failo direktyvą su domeno pavadinimu, kuriam prašote sertifikato.

Jei naudojate numatytąjį konfigūracijos failą, /etc/nginx/sites-available/defaultatidarykite jį naudodami teksto rengyklę, pvz., nanoir suraskite server_namedirektyvą. Pakeiskite apatinį brūkšnį , _savo domeno vardu (-ais):

nano /etc/nginx/sites-available/default

Redagavus konfigūracijos failą, server_namedirektyva turėtų atrodyti taip. Šiame pavyzdyje darau prielaidą, kad jūsų domenas yra example.com ir kad prašote sertifikato example.com ir www.example.com.

server_name example.com www.example.com;

Tęskite patikrindami pakeitimų sintaksę.

nginx -t

Jei sintaksė teisinga, iš naujo paleiskite „Nginx“, kad galėtumėte naudoti naują konfigūraciją. Jei gaunate klaidų pranešimų, iš naujo atidarykite konfigūracijos failą ir patikrinkite, ar nėra rašybos klaidų, tada bandykite dar kartą.

systemctl restart nginx

Gauti Let's Encrypt SSL sertifikatą

Ši komanda gaus sertifikatą. Redaguokite „Nginx“ konfigūraciją, kad ją naudotumėte, ir iš naujo įkelkite „Nginx“.

certbot --nginx -d example.com -d www.example.com

Taip pat galite prašyti SSL sertifikato papildomiems domenams. Tiesiog pridėkite -dparinktį „ “ tiek kartų, kiek norite.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

Jei norite gauti sertifikatą iš Let's Encrypt, jo neįdiegę automatiškai, galite naudoti šią komandą. Tai atlieka laikinus „Nginx“ konfigūracijos pakeitimus, kad gautumėte sertifikatą, ir grąžinami, kai tik atsisiunčiamas sertifikatas.

certbot --nginx certonly -d example.com -d www.example.com

Jei Certbot naudojate pirmą kartą, būsite paraginti įvesti el. pašto adresą ir sutikti su paslaugų teikimo sąlygomis. Šis el. pašto adresas bus naudojamas atnaujinimo ir saugumo pranešimams. Kai tik pateiksite el. pašto adresą, Certbot paprašys sertifikato iš Let's Encrypt ir atliks iššūkį, kad patikrintų, ar valdote atitinkamą domeną.

Jei Certbot gali gauti SSL sertifikatą, jis paklaus, kaip norite konfigūruoti HTTPSnustatymus. Galite peradresuoti lankytojus, kurie apsilanko jūsų svetainėje nesaugiu ryšiu, arba leisti jiems pasiekti ją nesaugiu ryšiu. Paprastai tai turėtų būti įjungta, nes taip užtikrinama, kad lankytojai pasieks tik SSL apsaugotą jūsų svetainės versiją. Pasirinkite savo pasirinkimą, tada paspauskite ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Galiausiai Certbot patvirtins, kad procesas buvo sėkmingas ir kur saugomi jūsų sertifikatai. Jūsų sertifikatai dabar atsisiųsti ir įdiegti.

Automatinis atnaujinimas

Kadangi Let's Encrypt yra nemokama sertifikatų institucija, o siekiant paskatinti vartotojus automatizuoti atnaujinimo procesą, sertifikatai galioja tik 90 dienų. Certbot automatiškai pasirūpins sertifikatų atnaujinimu. Tai daroma paleidžiant certbot renewdu kartus per dieną per systemd.

Galite patikrinti, ar automatinis atnaujinimas veikia, vykdydami šią komandą.

certbot renew --dry-run

Taip pat galite bet kada rankiniu būdu atnaujinti sertifikatą vykdydami šią komandą.

certbot renew

Patobulinta konfigūracija

Aukščiau pateiktos komandos gauna ir įdiegia SSL sertifikatą su konfigūracija, kuri tinka daugeliu atvejų. Jei norite įdiegti išplėstines savo svetainės saugos priemones, sertifikatui gauti galite naudoti šią komandą.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

--rsa-key-size 4096Naudoja 4096 bitų RSA raktas vietoj 2048 bitų raktu, kuris yra saugesnis. Neigiamas aspektas yra tas, kad didesnis raktas lemia nedidelį našumą. Be to, senesnės naršyklės ir įrenginiai gali nepalaikyti 4096 bitų RSA raktų.

Prie --must-staplesertifikato prideda OCSP Must Staple plėtinį ir sukonfigūruoja Nginx OCSP susegimui. Šis plėtinys leidžia naršyklėms patikrinti, ar jūsų sertifikatas nebuvo atšauktas ir ar juo galima pasitikėti. Tačiau ne visos naršyklės palaiko šią funkciją.