Oppsett lar kryptere med Nginx på Ubuntu 16.04

Let's Encrypt er en Certificate Authority (CA) som gir gratis SSL-sertifikater med en automatisert klient. Ved å bruke et Let's Encrypt SSL-sertifikat kan du kryptere trafikk mellom nettstedet ditt og de besøkende. Hele prosessen er enkel, og fornyelser kan automatiseres. Vær også oppmerksom på at installasjon eller fornyelse av sertifikater ikke forårsaker nedetid.

I denne opplæringen bruker vi Certbot til å skaffe, installere og automatisk fornye SSL-sertifikatet ditt. Certbot utvikles aktivt av Electronic Frontier Foundation (EFF) og er den anbefalte klienten for Let's Encrypt.

Forutsetninger

• En Vultr-forekomst som kjører Ubuntu 16.04
• Et registrert domenenavn som peker til serveren din
• Nginx

Installer Certbot

For å få et Let's Encrypt SSL-sertifikat, må du installere Certbot-klienten på serveren din.

Legg til depotet. Trykk på ENTERtasten når du blir bedt om å godta.

add-apt-repository ppa:certbot/certbot

Oppdater pakkelisten.

apt-get update

Fortsett ved å installere Certbot og Certbots Nginx-pakke.

apt-get -y install python-certbot-nginx

Konfigurerer Nginx

Certbot konfigurerer automatisk SSL for Nginx, men for å gjøre det må den finne serverblokken i Nginx-konfigurasjonsfilen. Den gjør dette ved å matche server_namedirektivet i konfigurasjonsfilen med domenenavnet du ber om et sertifikat for.

Hvis du bruker standard konfigurasjonsfil, /etc/nginx/sites-available/defaultåpne den med et tekstredigeringsprogram, for eksempel nanoog finn server_namedirektivet. Erstatt understreken, _, med ditt eget domenenavn:

nano /etc/nginx/sites-available/default

Etter å ha redigert konfigurasjonsfilen, skal server_namedirektivet se ut som følger. I dette eksemplet antar jeg at domenet ditt er example.com og at du ber om et sertifikat for example.com og www.example.com.

server_name example.com www.example.com;

Fortsett ved å bekrefte syntaksen til redigeringene dine.

nginx -t

Hvis syntaksen er riktig, start Nginx på nytt for å bruke den nye konfigurasjonen. Hvis du får noen feilmeldinger, åpne konfigurasjonsfilen på nytt og se etter eventuelle skrivefeil, og prøv igjen.

systemctl restart nginx

Skaffe et Let's Encrypt SSL-sertifikat

Følgende kommando vil få et sertifikat for deg. Rediger Nginx-konfigurasjonen din for å bruke den, og last inn Nginx på nytt.

certbot --nginx -d example.com -d www.example.com

Du kan også be om et SSL-sertifikat for flere domener. Bare legg til -dalternativet " " så mange ganger du vil.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

I tilfelle du bare ønsker å få sertifikatet fra Let's Encrypt uten å installere det automatisk, kan du bruke følgende kommando. Dette gjør midlertidige endringer i Nginx-konfigurasjonen for å få sertifikatet og tilbakestiller dem når sertifikatet er lastet ned.

certbot --nginx certonly -d example.com -d www.example.com

Hvis du kjører Certbot for første gang, vil du bli bedt om å angi en e-postadresse og godta vilkårene for bruk. Denne e-postadressen vil bli brukt til fornyelse og sikkerhetsmeldinger. Når du har oppgitt en e-postadresse, vil Certbot be om et sertifikat fra Let's Encrypt og kjøre en utfordring for å bekrefte at du kontrollerer det aktuelle domenet.

Hvis Certbot kan få et SSL-sertifikat, vil den spørre hvordan du vil konfigurere HTTPSinnstillingene. Du kan enten omdirigere besøkende som besøker nettstedet ditt over en usikret tilkobling eller la dem få tilgang til den via den usikrede tilkoblingen. Dette bør vanligvis være aktivert fordi det sikrer at besøkende kun får tilgang til den SSL-beskyttede versjonen av nettstedet ditt. Velg ditt valg, og trykk deretter ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Til slutt vil Certbot bekrefte at prosessen var vellykket og hvor sertifikatene dine er lagret. Sertifikatene dine er nå lastet ned og installert.

Automatisering av fornyelse

Fordi Let's Encrypt er en gratis sertifiseringsinstans, og for å oppmuntre brukere til å automatisere fornyelsesprosessen, er sertifikater kun gyldige i 90 dager. Certbot tar seg av automatisk fornyelse av sertifikater. Den gjør det ved å kjøre certbot renewto ganger per dag via systemd.

Du kan sjekke at automatisk fornyelse fungerer ved å kjøre denne kommandoen.

certbot renew --dry-run

Du kan også fornye sertifikatet manuelt når som helst ved å kjøre følgende kommando.

certbot renew

Forbedret konfigurasjon

Kommandoene ovenfor skaffer og installerer SSL-sertifikatet med en konfigurasjon som passer for de fleste tilfeller. Hvis du ønsker å implementere avanserte sikkerhetstiltak for nettstedet ditt, kan du bruke følgende kommando for å få sertifikatet.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

Den --rsa-key-size 4096bruker en 4096-biters RSA-nøkkel i stedet for 2048-biters nøkkel, noe som er sikrere. Ulempen med dette er at en større nøkkel resulterer i en liten ytelsesoverhead. I tillegg kan det hende at eldre nettlesere og enheter ikke støtter 4096-biters RSA-nøkler.

Den --must-staplelegger til OCSP Must Staple-utvidelsen til sertifikatet og konfigurerer Nginx for OCSP-stifting. Denne utvidelsen lar nettlesere bekrefte at sertifikatet ditt ikke er tilbakekalt og kan stoles på. Ikke alle nettlesere støtter imidlertid denne funksjonen.