Oppsett lar kryptere med Lighttpd på Ubuntu 16.04

Introduksjon

Let's Encrypt er en Certificate Authority (CA) som utsteder gratis SSL/TLS-sertifikater. Lighttpd er en lett nettserver som kjører på lave ressurser. Let's Encrypt SSL-sertifikater kan enkelt installeres på en Lighttpd-server ved å bruke Certbot, en programvareklient som automatiserer det meste av prosessen med å skaffe sertifikatene.

Forutsetninger

Denne veiledningen forutsetter at du allerede har opprettet en Vultr Cloud Compute-forekomst med Lighttpd installert på Ubuntu 16.04 , har et domenenavn som peker til serveren din, og har logget på som root.

Trinn én: Installer Certbot

Det første trinnet er å installere Certbot. Legg til Certbot-depotet. Trykk Enternår du blir bedt om å bekrefte.

add-apt-repository ppa:certbot/certbot

Installer Certbot.

apt-get update
apt-get install certbot

Trinn to: Skaff SSL-sertifikat

Når Certbot er installert, kan du få et SSL-sertifikat. Kjør følgende kommando, og erstatt example.commed ditt eget domenenavn:

certbot certonly --webroot -w /var/www/html -d example.com -d www.example.com

Fortsett gjennom det interaktive installasjonsprogrammet.

Trinn tre: Sett opp sertifikatfiler for bruk med Lighttpd

Certbot vil plassere de innhentede sertifikatfilene i /etc/letsencrypt/live/example.com. Du må gi Lighttpd-brukeren tilgang til denne katalogen.

chown :www-data /etc/letsencrypt
chown :www-data /etc/letsencrypt/live
chmod g+x /etc/letsencrypt
chmod g+x /etc/letsencrypt/live

Lighttpd krever at sertifikatet og den private nøkkelen er i én enkelt fil. Du må kombinere de to filene. Kjør følgende kommando, og erstatt example.commed ditt eget domenenavn.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem > /etc/letsencrypt/live/example.com/merged.pem

Den privkey.pemog cert.pemfiler vil bli kombinert og lagres som merged.pem.

Trinn fire: Konfigurer Lighttpd

Når sertifikatfilene dine er klare, kan du fortsette og konfigurere Lighttpd til å bruke SSL-sertifikatet. Åpne Lighttpd-konfigurasjonsfilen for redigering.

nano /etc/lighttpd/lighttpd.conf

Legg til følgende blokk på slutten av filen, og erstatt example.commed ditt eget domenenavn,

$SERVER["socket"] == ":443" {
    ssl.engine              = "enable"
    ssl.ca-file             = "/etc/letsencrypt/live/example.com/chain.pem"
    ssl.pemfile             = "/etc/letsencrypt/live/example.com/merged.pem"
}

Trinn fem: Tving SSL-bruk

For ekstra sikkerhet kan du tvinge Lighttpd-serveren til å rute alle HTTP-forespørsler til HTTPS. Åpne lighttpd.conffilen for redigering.

nano /etc/lighttpd/lighttpd.conf

Legg til følgende blokk på slutten av filen,

$HTTP["scheme"] == "http" {
    $HTTP["host"] =~ ".*" {
        url.redirect = (".*" => "https://%0$0")
    }
}

Du må starte Lighttpd-serveren på nytt for at endringene skal tre i kraft.

systemctl restart lighttpd

Fornyelse av SSL-sertifikatet

Let's Encrypt utsteder SSL-sertifikater med en gyldighet på 90 dager. Du må fornye sertifikatet før det utløper for å unngå sertifikatfeil. Du kan fornye sertifikatet med Certbot.

certbot renew

Du må kombinere sertifikatet og den private nøkkelen for Lighttpd. Kjør følgende kommando, og erstatt example.commed domenenavnet ditt.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem     > /etc/letsencrypt/live/example.com/merged.pem

Sertifikatet ditt fornyes i ytterligere 90 dager.