Подешавање омогућава шифровање помоћу Лигхттпд-а на Убунту 16.04

Увод

Лет'с Енцрипт је ауторитет за издавање сертификата (ЦА) који издаје бесплатне ССЛ/ТЛС сертификате. Лигхттпд је лагани веб сервер који ради на малим ресурсима. Лет'с Енцрипт ССЛ сертификати се лако могу инсталирати на Лигхттпд сервер помоћу Цертбот-а, софтверског клијента који аутоматизује већину процеса добијања сертификата.

Предуслови

Овај водич претпоставља да сте већ креирали Вултр Цлоуд Цомпуте инстанцу са Лигхттпд инсталираним на Убунту 16.04 , да имате име домена које указује на ваш сервер и да сте се пријавили као роот.

Први корак: Инсталирајте Цертбот

Први корак је да инсталирате Цертбот. Додајте Цертбот спремиште. Притисните Enterкада се од вас затражи потврда.

add-apt-repository ppa:certbot/certbot

Инсталирајте Цертбот.

apt-get update
apt-get install certbot

Други корак: Набавите ССЛ сертификат

Када се Цертбот инсталира, можете добити ССЛ сертификат. Покрените следећу команду, замењујући example.comсопственим именом домена:

certbot certonly --webroot -w /var/www/html -d example.com -d www.example.com

Наставите кроз интерактивни инсталатер.

Трећи корак: Подесите датотеке сертификата за коришћење са Лигхттпд-ом

Цертбот ће сместити добијене датотеке сертификата у /etc/letsencrypt/live/example.com. Мораћете да одобрите Лигхттпд кориснику приступ овом директоријуму.

chown :www-data /etc/letsencrypt
chown :www-data /etc/letsencrypt/live
chmod g+x /etc/letsencrypt
chmod g+x /etc/letsencrypt/live

Лигхттпд захтева да сертификат и приватни кључ буду у једној датотеци. Мораћете да комбинујете две датотеке. Покрените следећу команду, замењујући је example.comсопственим именом домена.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem > /etc/letsencrypt/live/example.com/merged.pem

privkey.pemИ cert.pemдатотеке ће се комбиновати и спремити као merged.pem.

Четврти корак: Конфигуришите Лигхттпд

Када су ваше датотеке сертификата спремне, можете наставити и конфигурисати Лигхттпд да користи ССЛ сертификат. Отворите конфигурациону датотеку Лигхттпд за уређивање.

nano /etc/lighttpd/lighttpd.conf

Додајте следећи блок на крај датотеке, замењујући example.comсопственим именом домена,

$SERVER["socket"] == ":443" {
    ssl.engine              = "enable"
    ssl.ca-file             = "/etc/letsencrypt/live/example.com/chain.pem"
    ssl.pemfile             = "/etc/letsencrypt/live/example.com/merged.pem"
}

Пети корак: Присилно коришћење ССЛ-а

За додатну сигурност, можете натерати ваш Лигхттпд сервер да усмери све ХТТП захтеве на ХТТПС. Отворите lighttpd.confдатотеку за уређивање.

nano /etc/lighttpd/lighttpd.conf

Додајте следећи блок на крај датотеке,

$HTTP["scheme"] == "http" {
    $HTTP["host"] =~ ".*" {
        url.redirect = (".*" => "https://%0$0")
    }
}

Мораћете поново да покренете Лигхттпд сервер да би промене ступиле на снагу.

systemctl restart lighttpd

Обнављање ССЛ сертификата

Лет'с Енцрипт издаје ССЛ сертификате са роком важења од 90 дана. Мораћете да обновите свој сертификат пре него што му истекне да бисте избегли грешке у сертификату. Сертификат можете обновити помоћу Цертбот-а.

certbot renew

Мораћете да комбинујете сертификат и приватни кључ за Лигхттпд. Покрените следећу команду, замењујући је example.comименом вашег домена.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem     > /etc/letsencrypt/live/example.com/merged.pem

Ваш сертификат ће бити обновљен за још 90 дана.