Налаштування дозволяє шифрувати за допомогою Lighttpd в Ubuntu 16.04

Вступ

Let's Encrypt — це центр сертифікації (CA), який видає безкоштовні сертифікати SSL/TLS. Lighttpd — це легкий веб-сервер, який працює на низьких ресурсах. Сертифікати Let's Encrypt SSL можна легко встановити на сервері Lighttpd за допомогою Certbot, програмного клієнта, який автоматизує більшість процесу отримання сертифікатів.

Передумови

У цьому посібнику передбачається, що ви вже створили екземпляр Vultr Cloud Compute з Lighttpd, встановленим на Ubuntu 16.04 , маєте ім’я домену, яке вказує на ваш сервер, і ввійшли як root.

Крок перший: Встановіть Certbot

Першим кроком є ​​встановлення Certbot. Додайте сховище Certbot. Натисніть, Enterколи з'явиться запит на підтвердження.

add-apt-repository ppa:certbot/certbot

Встановіть Certbot.

apt-get update
apt-get install certbot

Крок другий: Отримайте сертифікат SSL

Після встановлення Certbot ви можете отримати сертифікат SSL. Виконайте таку команду, замінивши example.comна власне доменне ім’я:

certbot certonly --webroot -w /var/www/html -d example.com -d www.example.com

Продовжуйте через інтерактивний інсталятор.

Крок третій: налаштуйте файли сертифікатів для використання з Lighttpd

Certbot помістить отримані файли сертифікатів у /etc/letsencrypt/live/example.com. Вам потрібно буде надати користувачеві Lighttpd доступ до цього каталогу.

chown :www-data /etc/letsencrypt
chown :www-data /etc/letsencrypt/live
chmod g+x /etc/letsencrypt
chmod g+x /etc/letsencrypt/live

Lighttpd вимагає, щоб сертифікат і закритий ключ були в одному файлі. Вам потрібно буде об’єднати два файли. Виконайте наступну команду, замінивши example.comна власне доменне ім’я.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem > /etc/letsencrypt/live/example.com/merged.pem

privkey.pemІ cert.pemфайли будуть об'єднані і збережені як merged.pem.

Крок четвертий: налаштуйте Lighttpd

Коли ваші файли сертифікатів будуть готові, ви можете продовжити і налаштувати Lighttpd на використання сертифіката SSL. Відкрийте файл конфігурації Lighttpd для редагування.

nano /etc/lighttpd/lighttpd.conf

Додайте наступний блок у кінці файлу, замінивши example.comйого власним доменним ім’ям,

$SERVER["socket"] == ":443" {
    ssl.engine              = "enable"
    ssl.ca-file             = "/etc/letsencrypt/live/example.com/chain.pem"
    ssl.pemfile             = "/etc/letsencrypt/live/example.com/merged.pem"
}

Крок п'ятий: примусове використання SSL

Для додаткової безпеки ви можете змусити ваш сервер Lighttpd маршрутизувати всі HTTP-запити на HTTPS. Відкрийте lighttpd.confфайл для редагування.

nano /etc/lighttpd/lighttpd.conf

Додайте наступний блок в кінець файлу,

$HTTP["scheme"] == "http" {
    $HTTP["host"] =~ ".*" {
        url.redirect = (".*" => "https://%0$0")
    }
}

Вам потрібно буде перезапустити сервер Lighttpd, щоб зміни вступили в силу.

systemctl restart lighttpd

Поновлення сертифіката SSL

Let's Encrypt видає сертифікати SSL терміном дії 90 днів. Щоб уникнути помилок сертифіката, вам потрібно буде поновити свій сертифікат до закінчення терміну його дії. Ви можете поновити сертифікат за допомогою Certbot.

certbot renew

Вам потрібно буде поєднати сертифікат і закритий ключ для Lighttpd. Виконайте наступну команду, замінивши example.comна ім’я вашого домену.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem     > /etc/letsencrypt/live/example.com/merged.pem

Ваш сертифікат буде продовжено ще на 90 днів.