Iestatīšana ļauj šifrēt ar Nginx operētājsistēmā Ubuntu 16.04

Let's Encrypt ir sertifikācijas iestāde (CA), kas nodrošina bezmaksas SSL sertifikātus ar automatizētu klientu. Izmantojot Let's Encrypt SSL sertifikātu, varat šifrēt trafiku starp savu vietni un apmeklētājiem. Viss process ir vienkāršs, un atjaunošanu var automatizēt. Tāpat ņemiet vērā, ka sertifikātu instalēšana vai atjaunošana neizraisa dīkstāvi.

Šajā apmācībā mēs izmantosim Certbot, lai iegūtu, instalētu un automātiski atjaunotu jūsu SSL sertifikātu. Certbot aktīvi izstrādā Electronic Frontier Foundation (EFF), un tas ir ieteicamais klients Let's Encrypt.

Priekšnoteikumi

• Vultr instance, kurā darbojas Ubuntu 16.04
• Reģistrēts domēna vārds, kas norāda uz jūsu serveri
• Nginx

Instalējiet Certbot

Lai iegūtu Let's Encrypt SSL sertifikātu, savā serverī ir jāinstalē Certbot klients.

Pievienojiet repozitoriju. Nospiediet ENTERtaustiņu, kad tiek prasīts apstiprināt.

add-apt-repository ppa:certbot/certbot

Atjauniniet pakotņu sarakstu.

apt-get update

Turpiniet, instalējot Certbot un Certbot's Nginx pakotni.

apt-get -y install python-certbot-nginx

Nginx konfigurēšana

Certbot automātiski konfigurē SSL Nginx, taču, lai to izdarītu, tam ir jāatrod servera bloks jūsu Nginx konfigurācijas failā. Tas tiek darīts, saskaņojot server_namekonfigurācijas faila direktīvu ar domēna nosaukumu, kuram pieprasāt sertifikātu.

Ja izmantojat noklusējuma konfigurācijas failu, /etc/nginx/sites-available/defaultatveriet to ar teksta redaktoru, piemēram, nanoun atrodiet server_namedirektīvu. Aizstājiet pasvītrojumu , _ar savu(-iem) domēna(-iem) nosaukumu(-iem):

nano /etc/nginx/sites-available/default

Pēc konfigurācijas faila rediģēšanas server_namedirektīvai vajadzētu izskatīties šādi. Šajā piemērā es pieņemu, ka jūsu domēns ir example.com un ka jūs pieprasāt sertifikātu, piemēram, example.com un www.example.com.

server_name example.com www.example.com;

Turpiniet, pārbaudot savu labojumu sintaksi.

nginx -t

Ja sintakse ir pareiza, restartējiet Nginx, lai izmantotu jauno konfigurāciju. Ja tiek parādīti kļūdu ziņojumi, atkārtoti atveriet konfigurācijas failu un pārbaudiet, vai nav drukas kļūdu, un pēc tam mēģiniet vēlreiz.

systemctl restart nginx

Let's Encrypt SSL sertifikāta iegūšana

Šī komanda iegūs jums sertifikātu. Rediģējiet savu Nginx konfigurāciju, lai to izmantotu, un atkārtoti ielādējiet Nginx.

certbot --nginx -d example.com -d www.example.com

Varat arī pieprasīt SSL sertifikātu papildu domēniem. Vienkārši pievienojiet -dopciju " " tik reižu, cik vēlaties.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

Ja vēlaties tikai iegūt sertifikātu no Let's Encrypt, neinstalējot to automātiski, varat izmantot šo komandu. Tādējādi tiek veiktas pagaidu izmaiņas jūsu Nginx konfigurācijā, lai iegūtu sertifikātu, un pēc sertifikāta lejupielādes tās tiek atjaunotas.

certbot --nginx certonly -d example.com -d www.example.com

Ja Certbot izmantojat pirmo reizi, jums tiks piedāvāts ievadīt e-pasta adresi un piekrist pakalpojumu sniegšanas noteikumiem. Šī e-pasta adrese tiks izmantota atjaunošanas un drošības paziņojumiem. Kad būsiet norādījis e-pasta adresi, Certbot pieprasīs sertifikātu no Let's Encrypt un veiks izaicinājumu, lai pārbaudītu, vai kontrolējat attiecīgo domēnu.

Ja Certbot var iegūt SSL sertifikātu, tas jautās, kā vēlaties konfigurēt HTTPSiestatījumus. Varat vai nu novirzīt apmeklētājus, kuri apmeklē jūsu vietni, izmantojot nedrošu savienojumu, vai ļaut viņiem tai piekļūt, izmantojot nedrošu savienojumu. Tas parasti ir jāiespējo, jo tas nodrošina, ka apmeklētāji piekļūst tikai jūsu vietnes versijai, kas aizsargāta ar SSL. Izvēlieties savu izvēli, pēc tam nospiediet ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Visbeidzot, Certbot apstiprinās, ka process bija veiksmīgs un kur tiek glabāti jūsu sertifikāti. Jūsu sertifikāti tagad ir lejupielādēti un instalēti.

Atjaunošanas automatizācija

Tā kā Let's Encrypt ir bezmaksas sertifikācijas iestāde, un, lai mudinātu lietotājus automatizēt atjaunošanas procesu, sertifikāti ir derīgi tikai 90 dienas. Certbot parūpēsies par sertifikātu automātisku atjaunošanu. Tas tiek darīts, darbojoties certbot renewdivas reizes dienā, izmantojot systemd.

Varat pārbaudīt, vai automātiskā atjaunošana darbojas, izpildot šo komandu.

certbot renew --dry-run

Varat arī manuāli atjaunot savu sertifikātu jebkurā laikā, izpildot šo komandu.

certbot renew

Uzlabota konfigurācija

Iepriekš minētās komandas iegūst un instalē SSL sertifikātu ar konfigurāciju, kas ir piemērota vairumam gadījumu. Ja vēlaties savai vietnei ieviest papildu drošības pasākumus, sertifikāta iegūšanai varat izmantot šo komandu.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

Tā --rsa-key-size 4096izmanto 4096 bitu RSA atslēgu, nevis 2048 bitu atslēgu, kas ir drošāka. Negatīvā puse ir tāda, ka lielāka atslēga rada nelielu veiktspēju. Turklāt vecākas pārlūkprogrammas un ierīces var neatbalstīt 4096 bitu RSA atslēgas.

Sertifikātam --must-staplepievieno paplašinājumu OCSP Must Staple un konfigurē Nginx OCSP skavošanai. Šis paplašinājums ļauj pārlūkprogrammām pārbaudīt, vai jūsu sertifikāts nav atsaukts un vai tam var uzticēties. Tomēr ne visas pārlūkprogrammas atbalsta šo funkciju.