Подешавање омогућава шифровање помоћу Нгинк-а на Убунту 16.04

Лет'с Енцрипт је ауторитет за издавање сертификата (ЦА) који обезбеђује бесплатне ССЛ сертификате са аутоматизованим клијентом. Коришћењем Лет'с Енцрипт ССЛ сертификата, можете да шифрујете саобраћај између ваше веб локације и посетилаца. Цео процес је једноставан, а обнове се могу аутоматизовати. Такође, имајте на уму да инсталација или обнова сертификата не изазива застоје.

У овом водичу ћемо користити Цертбот за добијање, инсталирање и аутоматско обнављање вашег ССЛ сертификата. Цертбот активно развија Елецтрониц Фронтиер Фоундатион (ЕФФ) и он је препоручени клијент за Лет'с Енцрипт.

Предуслови

• Вултр инстанца која користи Убунту 16.04
• Регистровано име домена које упућује на ваш сервер
• Нгинк

Инсталирајте Цертбот

Да бисте добили Лет'с Енцрипт ССЛ сертификат, морате да инсталирате Цертбот клијента на свом серверу.

Додајте спремиште. Притисните ENTERтастер када се од вас затражи да прихватите.

add-apt-repository ppa:certbot/certbot

Ажурирајте листу пакета.

apt-get update

Наставите тако што ћете инсталирати Цертбот и Цертбот-ов Нгинк пакет.

apt-get -y install python-certbot-nginx

Конфигурисање Нгинк-а

Цертбот аутоматски конфигурише ССЛ за Нгинк, али да би то урадио мора да пронађе блок сервера у вашој Нгинк конфигурационој датотеци. То ради тако што упарује server_nameдирективу у конфигурационој датотеци са именом домена за који тражите сертификат.

Ако користите подразумевану конфигурациону датотеку, /etc/nginx/sites-available/defaultотворите је помоћу уређивача текста као што је nanoи пронађите server_nameдирективу. Замените доњу црту, _, сопственим именом(има):

nano /etc/nginx/sites-available/default

Након уређивања конфигурационе датотеке, server_nameдиректива би требало да изгледа на следећи начин. У овом примеру претпостављам да је ваш домен екампле.цом и да тражите сертификат за екампле.цом и ввв.екампле.цом.

server_name example.com www.example.com;

Наставите тако што ћете проверити синтаксу својих измена.

nginx -t

Ако је синтакса исправна, поново покрените Нгинк да бисте користили нову конфигурацију. Ако добијете било какве поруке о грешци, поново отворите конфигурациону датотеку и проверите да ли постоје грешке у куцању, а затим покушајте поново.

systemctl restart nginx

Добијање Лет'с Енцрипт ССЛ сертификата

Следећа команда ће добити сертификат за вас. Уредите своју Нгинк конфигурацију да бисте је користили и поново учитајте Нгинк.

certbot --nginx -d example.com -d www.example.com

Такође можете затражити ССЛ сертификат за додатне домене. Само додајте -dопцију " " колико год пута желите.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

У случају да само желите да добијете сертификат од Лет'с Енцрипт без да га аутоматски инсталирате, можете користити следећу команду. Ово чини привремене промене у вашој Нгинк конфигурацији да бисте добили сертификат и враћа их назад када се сертификат преузме.

certbot --nginx certonly -d example.com -d www.example.com

Ако први пут покрећете Цертбот, од вас ће бити затражено да унесете адресу е-поште и прихватите услове коришћења услуге. Ова адреса е-поште ће се користити за обнављање и безбедносна обавештења. Када унесете адресу е-поште, Цертбот ће затражити сертификат од Лет'с Енцрипт и покренути изазов да потврди да контролишете дотични домен.

Ако Цертбот може да добије ССЛ сертификат, питаће вас како желите да конфигуришете своја HTTPSподешавања. Можете или да преусмерите посетиоце који посете вашу веб локацију преко небезбедне везе или им дозволите да јој приступе преко небезбедне везе. Ово би обично требало да буде омогућено јер обезбеђује да посетиоци приступају само ССЛ заштићеној верзији ваше веб локације. Изаберите свој избор, а затим притисните ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Коначно, Цертбот ће потврдити да је процес био успешан и где се чувају ваши сертификати. Ваши сертификати су сада преузети и инсталирани.

Аутоматско обнављање

Пошто је Лет'с Енцрипт бесплатан ауторитет за издавање сертификата, и да би подстакли кориснике да аутоматизују процес обнове, сертификати важе само 90 дана. Цертбот ће се побринути за аутоматско обнављање сертификата. То ради тако што се покреће certbot renewдва пута дневно преко systemd.

Можете проверити да ли аутоматска обнова ради тако што ћете покренути ову команду.

certbot renew --dry-run

Такође можете ручно да обновите свој сертификат у било ком тренутку тако што ћете покренути следећу команду.

certbot renew

Побољшана конфигурација

Горе наведене команде добијају и инсталирају ССЛ сертификат са конфигурацијом која је погодна за већину случајева. Ако желите да примените напредне мере безбедности за своју веб локацију, можете користити следећу команду да бисте добили сертификат.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

--rsa-key-size 4096Користи 4096-битни РСА кључ умјесто 2048 бит кључа, који је сигурнији. Лоша страна овога је што већи кључ доводи до малог смањења перформанси. Поред тога, старији претраживачи и уређаји можда не подржавају 4096-битне РСА кључеве.

--must-stapleДодаје Стапле продужетак ОЦСП мора да потврде и конфигурише Нгинк за ОЦСП хефтање. Ово проширење омогућава прегледачима да провере да ваш сертификат није опозван и да му се може веровати. Међутим, не подржавају сви претраживачи ову функцију.