Налаштування дозволяє шифрувати за допомогою Nginx в Ubuntu 16.04

Let's Encrypt — це центр сертифікації (CA), який надає безкоштовні сертифікати SSL з автоматизованим клієнтом. Використовуючи сертифікат Let's Encrypt SSL, ви можете зашифрувати трафік між вашим веб-сайтом і відвідувачами. Весь процес простий, а поновлення можна автоматизувати. Також зверніть увагу, що встановлення або оновлення сертифікатів не призводить до простоїв.

У цьому посібнику ми будемо використовувати Certbot для отримання, встановлення та автоматичного поновлення вашого сертифіката SSL. Certbot активно розробляється Electronic Frontier Foundation (EFF), і він є рекомендованим клієнтом для Let's Encrypt.

Передумови

• Примірник Vultr під керуванням Ubuntu 16.04
• Зареєстроване доменне ім’я, яке вказує на ваш сервер
• Nginx

Встановіть Certbot

Щоб отримати сертифікат Let's Encrypt SSL, вам потрібно встановити клієнт Certbot на вашому сервері.

Додайте репозиторій. Натисніть ENTERклавішу, коли буде запропоновано прийняти.

add-apt-repository ppa:certbot/certbot

Оновити список пакетів.

apt-get update

Встановіть Certbot і пакет Nginx від Certbot.

apt-get -y install python-certbot-nginx

Налаштування Nginx

Certbot автоматично налаштовує SSL для Nginx, але для цього йому потрібно знайти блок сервера у вашому файлі конфігурації Nginx. Це робиться шляхом поєднання server_nameдирективи у файлі конфігурації з іменем домену, для якого ви запитуєте сертифікат.

Якщо ви використовуєте файл конфігурації за замовчуванням, /etc/nginx/sites-available/defaultвідкрийте його за допомогою текстового редактора, наприклад, nanoі знайдіть server_nameдирективу. Замініть символ підкреслення _власними доменними іменами:

nano /etc/nginx/sites-available/default

Після редагування файлу конфігурації server_nameдиректива має виглядати наступним чином. У цьому прикладі я припускаю, що вашим доменом є example.com і що ви запитуєте сертифікат для example.com і www.example.com.

server_name example.com www.example.com;

Продовжуйте, перевіривши синтаксис ваших змін.

nginx -t

Якщо синтаксис правильний, перезапустіть Nginx, щоб використовувати нову конфігурацію. Якщо ви отримуєте повідомлення про помилку, знову відкрийте файл конфігурації та перевірте, чи немає помилок, а потім повторіть спробу.

systemctl restart nginx

Отримання сертифікату Let's Encrypt SSL

Наступна команда отримає сертифікат для вас. Відредагуйте конфігурацію Nginx, щоб використовувати її, і перезавантажте Nginx.

certbot --nginx -d example.com -d www.example.com

Ви також можете запросити сертифікат SSL для додаткових доменів. Просто додайте параметр " -d" скільки завгодно разів.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

Якщо ви хочете отримати лише сертифікат від Let's Encrypt, не встановлюючи його автоматично, ви можете скористатися наступною командою. Це вносить тимчасові зміни до вашої конфігурації Nginx, щоб отримати сертифікат, і скасовує їх після завантаження сертифіката.

certbot --nginx certonly -d example.com -d www.example.com

Якщо ви запускаєте Certbot вперше, вам буде запропоновано ввести адресу електронної пошти та погодитися з умовами обслуговування. Ця адреса електронної пошти використовуватиметься для оновлення та сповіщень про безпеку. Після того, як ви вкажете адресу електронної пошти, Certbot запитає сертифікат від Let's Encrypt і запустить завдання, щоб підтвердити, що ви контролюєте відповідний домен.

Якщо Certbot може отримати сертифікат SSL, він запитає, як ви хочете налаштувати свої HTTPSналаштування. Ви можете переспрямувати відвідувачів, які відвідують ваш веб-сайт через незахищене з’єднання, або дозволити їм отримати доступ до нього через незахищене з’єднання. Зазвичай це слід увімкнути, оскільки воно гарантує, що відвідувачі отримують доступ лише до захищеної SSL версії вашого веб-сайту. Виберіть свій вибір, а потім натисніть ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Нарешті, Certbot підтвердить, що процес пройшов успішно і де зберігаються ваші сертифікати. Тепер ваші сертифікати завантажено та встановлено.

Автоматизація оновлення

Оскільки Let's Encrypt — це безкоштовний центр сертифікації, і щоб заохотити користувачів автоматизувати процес оновлення, сертифікати дійсні лише 90 днів. Certbot подбає про оновлення сертифікатів автоматично. Це робиться, виконуючи certbot renewдвічі на день через systemd.

Ви можете перевірити, чи працює автоматичне оновлення, запустивши цю команду.

certbot renew --dry-run

Ви також можете вручну оновити свій сертифікат у будь-який час, виконавши таку команду.

certbot renew

Розширена конфігурація

Наведені вище команди отримують та встановлюють сертифікат SSL з конфігурацією, яка підходить для більшості випадків. Якщо ви хочете застосувати розширені заходи безпеки для свого веб-сайту, ви можете використовувати наступну команду, щоб отримати сертифікат.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

--rsa-key-size 4096Використовує 4096-бітний RSA ключ замість 2048 - бітного ключа, який є більш безпечним. Недоліком цього є те, що більша клавіша призводить до невеликих витрат на продуктивність. Крім того, старі браузери та пристрої можуть не підтримувати 4096-бітні ключі RSA.

До --must-stapleсертифікату додається розширення OCSP Must Staple і налаштовує Nginx для зшивання OCSP. Це розширення дозволяє браузерам перевіряти, що ваш сертифікат не було відкликано і чи можна довіряти. Однак не всі браузери підтримують цю функцію.