Installation låter kryptera med Nginx på Ubuntu 16.04

Let's Encrypt är en certifikatutfärdare (CA) som tillhandahåller gratis SSL-certifikat med en automatiserad klient. Genom att använda ett Let's Encrypt SSL-certifikat kan du kryptera trafik mellan din webbplats och dina besökare. Hela processen är enkel och förnyelser kan automatiseras. Observera också att installation eller förnyelse av certifikat inte orsakar några driftstopp.

I den här handledningen kommer vi att använda Certbot för att skaffa, installera och automatiskt förnya ditt SSL-certifikat. Certbot utvecklas aktivt av Electronic Frontier Foundation (EFF) och det är den rekommenderade klienten för Let's Encrypt.

Förutsättningar

• En Vultr-instans som kör Ubuntu 16.04
• Ett registrerat domännamn som pekar på din server
• Nginx

Installera Certbot

För att få ett Let's Encrypt SSL-certifikat måste du installera Certbot-klienten på din server.

Lägg till arkivet. Tryck på ENTERknappen när du uppmanas att acceptera.

add-apt-repository ppa:certbot/certbot

Uppdatera paketlistan.

apt-get update

Fortsätt genom att installera Certbot och Certbots Nginx-paket.

apt-get -y install python-certbot-nginx

Konfigurera Nginx

Certbot konfigurerar automatiskt SSL för Nginx, men för att göra det måste den hitta serverblocket i din Nginx-konfigurationsfil. Den gör detta genom att matcha server_namedirektivet i konfigurationsfilen med det domännamn som du begär ett certifikat för.

Om du använder standardkonfigurationsfilen /etc/nginx/sites-available/defaultöppnar du den med en textredigerare, till exempel nanooch hittar server_namedirektivet. Byt ut understrecket, _, med dina egna domännamn:

nano /etc/nginx/sites-available/default

Efter att ha redigerat konfigurationsfilen server_namebör direktivet se ut som följer. I det här exemplet antar jag att din domän är example.com och att du begär ett certifikat för example.com och www.example.com.

server_name example.com www.example.com;

Fortsätt genom att verifiera syntaxen för dina redigeringar.

nginx -t

Om syntaxen är korrekt, starta om Nginx för att använda den nya konfigurationen. Om du får några felmeddelanden öppnar du konfigurationsfilen igen och kontrollerar om det finns några stavfel. Försök sedan igen.

systemctl restart nginx

Skaffa ett Let's Encrypt SSL-certifikat

Följande kommando kommer att få ett certifikat åt dig. Redigera din Nginx-konfiguration för att använda den och ladda om Nginx.

certbot --nginx -d example.com -d www.example.com

Du kan också begära ett SSL-certifikat för ytterligare domäner. Lägg bara till -dalternativet " " så många gånger du vill.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

Om du bara vill skaffa certifikatet från Let's Encrypt utan att installera det automatiskt kan du använda följande kommando. Detta gör tillfälliga ändringar i din Nginx-konfiguration för att få certifikatet och återställer dem när certifikatet har laddats ner.

certbot --nginx certonly -d example.com -d www.example.com

Om du kör Certbot för första gången kommer du att bli ombedd att ange en e-postadress och godkänna användarvillkoren. Denna e-postadress kommer att användas för förnyelse och säkerhetsmeddelanden. När du har angett en e-postadress kommer Certbot att begära ett certifikat från Let's Encrypt och köra en utmaning för att verifiera att du kontrollerar domänen i fråga.

Om Certbot kan få ett SSL-certifikat kommer den att fråga hur du vill konfigurera dina HTTPSinställningar. Du kan antingen omdirigera besökare som besöker din webbplats via en osäkrad anslutning eller låta dem komma åt den via den osäkrade anslutningen. Detta bör vanligtvis vara aktiverat eftersom det säkerställer att besökare endast kommer åt den SSL-skyddade versionen av din webbplats. Välj ditt val och tryck sedan på ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Slutligen kommer Certbot att bekräfta att processen lyckades och var dina certifikat lagras. Dina certifikat är nu nedladdade och installerade.

Automatisera förnyelse

Eftersom Let's Encrypt är en gratis certifikatutfärdare, och för att uppmuntra användare att automatisera förnyelseprocessen är certifikaten endast giltiga i 90 dagar. Certbot kommer att ta hand om att förnya certifikat automatiskt. Det gör den genom att springa certbot renewtvå gånger per dag via systemd.

Du kan kontrollera att automatisk förnyelse fungerar genom att köra det här kommandot.

certbot renew --dry-run

Du kan också manuellt förnya ditt certifikat när som helst genom att köra följande kommando.

certbot renew

Förbättrad konfiguration

Kommandona ovan erhåller och installerar SSL-certifikatet med en konfiguration som är lämplig för de flesta fall. Om du vill implementera avancerade säkerhetsåtgärder för din webbplats kan du använda följande kommando för att få certifikatet.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

Den --rsa-key-size 4096använder en 4096-bitars RSA-nyckel istället för 2048-bitarsnyckel, vilket är säkrare. Nackdelen med detta är att en större nyckel resulterar i en liten prestationsoverhead. Dessutom kanske äldre webbläsare och enheter inte stöder 4096-bitars RSA-nycklar.

Den --must-staplelägger till tillägget OCSP Must Staple till certifikatet och konfigurerar Nginx för OCSP-häftning. Med det här tillägget kan webbläsare verifiera att ditt certifikat inte har återkallats och att det går att lita på. Alla webbläsare stöder dock inte den här funktionen.