Nastavitev omogoča šifriranje z Nginxom na Ubuntu 16.04

Let's Encrypt je overitelj potrdil (CA), ki zagotavlja brezplačna potrdila SSL z avtomatskim odjemalcem. Z uporabo certifikata Let's Encrypt SSL lahko šifrirate promet med svojim spletnim mestom in obiskovalci. Celoten postopek je preprost, obnove pa je mogoče avtomatizirati. Upoštevajte tudi, da namestitev ali podaljšanje certifikatov ne povzroči izpadov.

V tej vadnici bomo Certbot uporabili za pridobitev, namestitev in samodejno podaljšanje vašega SSL certifikata. Certbot aktivno razvija Electronic Frontier Foundation (EFF) in je priporočeni odjemalec za Let's Encrypt.

Predpogoji

• Primerek Vultr, ki izvaja Ubuntu 16.04
• Registrirano ime domene, ki kaže na vaš strežnik
• Nginx

Namestite Certbot

Za pridobitev certifikata Let's Encrypt SSL morate na svoj strežnik namestiti odjemalca Certbot.

Dodajte repozitorij. Pritisnite ENTERtipko, ko ste pozvani, da sprejmete.

add-apt-repository ppa:certbot/certbot

Posodobite seznam paketov.

apt-get update

Nadaljujte z namestitvijo Certbota in Certbotovega paketa Nginx.

apt-get -y install python-certbot-nginx

Konfiguriranje Nginxa

Certbot samodejno konfigurira SSL za Nginx, vendar mora za to poiskati strežniški blok v vaši konfiguracijski datoteki Nginx. To naredi tako, da poveže server_namedirektivo v konfiguracijski datoteki z imenom domene, za katero zahtevate potrdilo.

Če uporabljate privzeto konfiguracijsko datoteko, jo /etc/nginx/sites-available/defaultodprite z urejevalnikom besedil, kot je nanoin poiščite server_namedirektivo. Zamenjajte podčrtaj, _, z lastnimi domenskimi imeni:

nano /etc/nginx/sites-available/default

Po urejanju konfiguracijske datoteke server_namebi morala direktiva izgledati takole. V tem primeru predvidevam, da je vaša domena example.com in da zahtevate potrdilo za example.com in www.example.com.

server_name example.com www.example.com;

Nadaljujte tako, da preverite sintakso svojih popravkov.

nginx -t

Če je sintaksa pravilna, znova zaženite Nginx, da uporabite novo konfiguracijo. Če prejmete kakršna koli sporočila o napaki, znova odprite konfiguracijsko datoteko in preverite morebitne tipkarske napake, nato poskusite znova.

systemctl restart nginx

Pridobitev certifikata Let's Encrypt SSL

Naslednji ukaz bo za vas pridobil potrdilo. Uredite konfiguracijo Nginxa, da jo boste uporabljali, in znova naložite Nginx.

certbot --nginx -d example.com -d www.example.com

Za dodatne domene lahko zahtevate tudi potrdilo SSL. Samo dodajte možnost " -d" kolikorkrat želite.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

V primeru, da želite pridobiti potrdilo samo od Let's Encrypt, ne da bi ga samodejno namestili, lahko uporabite naslednji ukaz. To začasno spremeni vašo konfiguracijo Nginx za pridobitev potrdila in jih razveljavi, ko je potrdilo preneseno.

certbot --nginx certonly -d example.com -d www.example.com

Če prvič uporabljate Certbot, boste pozvani, da vnesete e-poštni naslov in se strinjate s pogoji storitve. Ta e-poštni naslov bo uporabljen za obnovitev in varnostna obvestila. Ko vnesete e-poštni naslov, bo Certbot zahteval potrdilo od Let's Encrypt in izvedel izziv, da preveri, ali nadzorujete zadevno domeno.

Če lahko Certbot pridobi potrdilo SSL, vas bo vprašal, kako želite konfigurirati svoje HTTPSnastavitve. Obiskovalce, ki obiščejo vaše spletno mesto, lahko preusmerite prek nezavarovane povezave ali pa jim dovolite dostop do njega prek nezavarovane povezave. To je običajno treba omogočiti, ker zagotavlja, da obiskovalci dostopajo samo do različice vašega spletnega mesta, zaščitene s SSL. Izberite svojo izbiro in pritisnite ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Končno bo Certbot potrdil, da je bil postopek uspešen in kje so shranjena vaša potrdila. Vaša potrdila so zdaj prenesena in nameščena.

Avtomatizirana obnova

Ker je Let's Encrypt brezplačen overitelj potrdil in da bi spodbudili uporabnike k avtomatizaciji postopka obnove, so potrdila veljavna le 90 dni. Certbot bo samodejno poskrbel za podaljšanje certifikatov. To naredi tako, da teče certbot renewdvakrat na dan prek systemd.

Če samodejna obnova deluje, lahko preverite tako, da zaženete ta ukaz.

certbot renew --dry-run

Svoje potrdilo lahko kadar koli tudi ročno podaljšate, tako da zaženete naslednji ukaz.

certbot renew

Izboljšana konfiguracija

Zgornji ukazi pridobijo in namestijo potrdilo SSL s konfiguracijo, ki je primerna za večino primerov. Če želite za svoje spletno mesto uvesti napredne varnostne ukrepe, lahko za pridobitev potrdila uporabite naslednji ukaz.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

--rsa-key-size 4096Uporablja 4096-bitni RSA ključ namesto 2048 bitnim ključem, ki je bolj varna. Slaba stran tega je, da večji ključ povzroči manjše stroške delovanja. Poleg tega starejši brskalniki in naprave morda ne podpirajo 4096-bitnih ključev RSA.

--must-stapleDoda podaljšek Staple OCSP Ali je treba na potrdilu in nastavi nginx za OCSP spenjanje. Ta razširitev omogoča brskalnikom, da preverijo, da vaše potrdilo ni bilo preklicano in da mu lahko zaupate. Vendar pa vsi brskalniki ne podpirajo te funkcije.