Nastavenie umožňuje šifrovanie pomocou Lighttpd na Ubuntu 16.04

Úvod

Let's Encrypt je certifikačná autorita (CA), ktorá vydáva bezplatné certifikáty SSL/TLS. Lighttpd je ľahký webový server, ktorý beží na nízkych zdrojoch. Let's Encrypt SSL certifikáty možno jednoducho nainštalovať na server Lighttpd pomocou Certbot, softvérového klienta, ktorý automatizuje väčšinu procesu získavania certifikátov.

Predpoklady

Tento tutoriál predpokladá, že ste už vytvorili inštanciu Vultr Cloud Compute s Lighttpd nainštalovaným na Ubuntu 16.04 , máte názov domény smerujúci na váš server a prihlásili ste sa ako root.

Prvý krok: Nainštalujte Certbot

Prvým krokom je inštalácia Certbota. Pridajte úložisko Certbot. Po zobrazení Entervýzvy na potvrdenie stlačte .

add-apt-repository ppa:certbot/certbot

Nainštalujte Certbot.

apt-get update
apt-get install certbot

Druhý krok: Získajte certifikát SSL

Po nainštalovaní Certbotu môžete získať certifikát SSL. Spustite nasledujúci príkaz a nahraďte ho example.comvlastným názvom domény:

certbot certonly --webroot -w /var/www/html -d example.com -d www.example.com

Pokračujte interaktívnym inštalátorom.

Krok 3: Nastavte súbory certifikátov na použitie s Lighttpd

Certbot umiestni získané súbory certifikátov do /etc/letsencrypt/live/example.com. Budete musieť udeliť používateľovi Lighttpd prístup k tomuto adresáru.

chown :www-data /etc/letsencrypt
chown :www-data /etc/letsencrypt/live
chmod g+x /etc/letsencrypt
chmod g+x /etc/letsencrypt/live

Lighttpd vyžaduje, aby certifikát a súkromný kľúč boli v jednom súbore. Budete musieť skombinovať dva súbory. Spustite nasledujúci príkaz a nahraďte ho example.comvlastným názvom domény.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem > /etc/letsencrypt/live/example.com/merged.pem

Súbory privkey.pema cert.pembudú spojené a uložené ako merged.pem.

Krok štyri: Nakonfigurujte Lighttpd

Keď sú súbory certifikátov pripravené, môžete pokračovať a nakonfigurovať Lighttpd na používanie certifikátu SSL. Otvorte konfiguračný súbor Lighttpd na úpravu.

nano /etc/lighttpd/lighttpd.conf

Pridajte nasledujúci blok na koniec súboru a nahraďte ho example.comvlastným názvom domény,

$SERVER["socket"] == ":443" {
    ssl.engine              = "enable"
    ssl.ca-file             = "/etc/letsencrypt/live/example.com/chain.pem"
    ssl.pemfile             = "/etc/letsencrypt/live/example.com/merged.pem"
}

Piaty krok: Vynútiť používanie SSL

Pre vyššiu bezpečnosť môžete prinútiť váš server Lighttpd, aby smeroval všetky požiadavky HTTP na HTTPS. Otvorte lighttpd.confsúbor na úpravu.

nano /etc/lighttpd/lighttpd.conf

Na koniec súboru pridajte nasledujúci blok,

$HTTP["scheme"] == "http" {
    $HTTP["host"] =~ ".*" {
        url.redirect = (".*" => "https://%0$0")
    }
}

Aby sa zmeny prejavili, budete musieť reštartovať server Lighttpd.

systemctl restart lighttpd

Obnovenie certifikátu SSL

Let's Encrypt vydáva SSL certifikáty s platnosťou 90 dní. Aby ste predišli chybám certifikátu, budete si musieť pred vypršaním jeho platnosti obnoviť certifikát. Certifikát si môžete obnoviť pomocou Certbot.

certbot renew

Budete musieť skombinovať certifikát a súkromný kľúč pre Lighttpd. Spustite nasledujúci príkaz a nahraďte ho example.comnázvom svojej domény.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem     > /etc/letsencrypt/live/example.com/merged.pem

Váš certifikát bude obnovený na ďalších 90 dní.