Installeer Wildcard Certs From Lets Encrypt in Nginx op Ubuntu 19.04

• Vereisten
• Voordat je begint
• Installeer Nginx
• Installeer Python en Lexicon
• Installeer acme.sh client
• Verkrijg wildcard-certificaten van Let's Encrypt
• Configureer de Nginx-webserver

In maart 2018 heeft Let's Encrypt ondersteuning toegevoegd voor jokertekens. Met jokertekencertificaten kunt u alle subdomeinen van het eerste niveau van een domein beveiligen met één certificaat. Wildcard-certificaten zijn alleen verkrijgbaar via ACMEv2, een bijgewerkte versie van het ACME-protocol. Om ACMEv2 te gebruiken voor jokertekens of niet-jokertekens, heeft u een client nodig die is bijgewerkt om ACMEv2 te ondersteunen. Een dergelijke client is acme.sh, een ACME / ACMEv2-protocolclient die puur in de taal van Shell (Unix-shell) is geschreven zonder enige afhankelijkheden. Bovendien moeten wildcard-domeinen worden gevalideerd met het DNS-01 challenge-type. Dat betekent dat u DNS TXT-records moet wijzigen om de controle over een domein te bewijzen om een ​​jokertekencertificaat te verkrijgen.

In deze handleiding leggen we uit hoe u gratis jokertekencertificaten van Let's Encrypt op Ubuntu 19.04 kunt verkrijgen en implementeren met behulp van de acme.shclient, Lexicon- tool voor automatische manipulatie van DNS-records door de Vultr API te gebruiken en certs te implementeren op de Nginx-webserver.

Vereisten

• Vers geïmplementeerde Ubuntu 19.04 Vultr-cloud-server.
• Je hebt een geregistreerde domeinnaam. Deze gids gebruikt example.comals voorbeelddomein.
• Zorg ervoor dat u A / AAAA- en CNAME DNS-records heeft ingesteld voor uw Fully Qualified Domain Name (FQDN). U kunt de Introductie tot Vultr DNS-zelfstudie raadplegen als u vertrouwd moet raken met DNS-concepten.
• Vultr API-toegang ingeschakeld in het configuratiescherm van uw Vultr-account.

Voordat je begint

Controleer de Ubuntu-versie.

lsb_release -ds
# Ubuntu 19.04

Maak een nieuw gebruikersaccount aan met sudotoegang en uw favoriete gebruikersnaam en schakel ernaar. We gebruiken johndoe.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

OPMERKING : vervang johndoedoor uw gebruikersnaam.

Stel de tijdzone in.

sudo dpkg-reconfigure tzdata

Zorg ervoor dat uw Ubuntu-systeem up-to-date is.

sudo apt update && sudo apt upgrade -y

Installeer de benodigde pakketten.

sudo apt install -y git wget curl socat

Installeer Nginx

Installeer de Nginx-webserver.

sudo apt install -y nginx

Controleer de versie.

sudo nginx -v
# nginx version: nginx/1.15.9 (Ubuntu)

Installeer Python en Lexicon

Als eerste stap in het proces van het verkrijgen van jokertekencertificaten van Let's Encrypt met acme.sh en Vultr API, moet je Python en Lexicon installeren . Lexicon is een Python-pakket dat een manier biedt om DNS-records op meerdere DNS-providers op een gestandaardiseerde manier te manipuleren.

Installeer Python als dit nog niet op uw systeem is geïnstalleerd.

sudo apt install -y python3

Bevestig de installatie door de versie te verifiëren.

python3 --version
# Python 3.7.3

Installeer de Lexicon-tool. Een lexicon is een Python-tool waarmee je op een gestandaardiseerde manier DNS-records van verschillende DNS-providers kunt manipuleren.

sudo apt install -y lexicon

Controleer de Lexicon-versie.

lexicon --version
# lexicon 3.0.8

acme.shClient installeren

Acme.shis een ACME-protocolclient die puur in de taal van Shell (Unix-shell) is geschreven en die het proces van het verkrijgen van een ondertekend certificaat via Let's Encrypt automatiseert. Het ondersteunt ACME v1 en ACME v2, en bovenal ondersteunt het ACME v2 wildcard certs. In deze sectie installeren we een Acme.sh-script.

LET OP: Het is aanbevolen om gebruik rootgebruiker te installeren acme.sh, hoewel het niet nodig root/ sudotoegang.

Schakel over naar rootgebruiker van de gewone gebruiker als u deze hebt gemaakt.

sudo su - root

Download en installeer acme.sh.

git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh
./acme.sh --install --accountemail "[email protected]"
source ~/.bashrc
cd

Controleer de versie.

acme.sh --version
# v2.8.2

Verkrijg wildcard-certificaten van Let's Encrypt

Om een ​​jokertekencertificaat te verkrijgen, kunnen we alleen de DNS-validatiemethode gebruiken. We gebruiken Lexicon en Vultr DNS API om TXT DNS-records te manipuleren.

Verkrijg RSA- en ECC-jokertekencertificaten voor uw domein.

# Configure your API key and username
export PROVIDER=vultr
export LEXICON_VULTR_USERNAME="[email protected]"
export LEXICON_VULTR_TOKEN="XXXXXXXXXXXXXXX"

# RSA 2048
acme.sh --issue --dns dns_lexicon -d example.com -d '*.example.com' --keylength 2048
# ECC 256
acme.sh --issue --dns dns_lexicon -d example.com -d '*.example.com' --keylength ec-256

OPMERKING : vergeet niet te vervangen example.comdoor uw domeinnaam en vervang de Vultr API-tijdelijke aanduidingwaarden door uw eigen.

Na het uitvoeren van de voorgaande opdrachten, zijn uw certificaten en sleutels in:

• Voor RSA: ~/.acme.sh/example.comdirectory.
• Voor ECC / ECDSA: ~/.acme.sh/example.com_eccdirectory.

OPMERKING : u mag de cert-bestanden in de ~/.acme.sh/map niet gebruiken , ze zijn alleen voor intern gebruik, de mapstructuur kan in de toekomst veranderen.

Om uw certificaten te vermelden, kunt u het volgende uitvoeren:

acme.sh --list

Maak een map om uw certificaten in productie op te slaan. We gebruiken /etc/letsencryptdirectory.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Installeer / kopieer certificaten voor productiegebruik op uw server.

# RSA
acme.sh --install-cert -d example.com \
        --cert-file /etc/letsencrypt/example.com/cert.pem \
        --key-file /etc/letsencrypt/example.com/private.key \
        --fullchain-file /etc/letsencrypt/example.com/fullchain.pem \
        --reloadcmd "sudo systemctl reload nginx.service"

# ECC/ECDSA
acme.sh --install-cert -d example.com --ecc \
        --cert-file /etc/letsencrypt/example.com_ecc/cert.pem \
        --key-file /etc/letsencrypt/example.com_ecc/private.key \
        --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem \
        --reloadcmd "sudo systemctl reload nginx.service"

Nu we met succes jokertekens van Let's Encrypt hebben verkregen, moeten we de Nginx-webserver configureren. Alle certificaten worden elke 60 dagen automatisch verlengd.

Nadat u certificaten hebt verkregen en geïnstalleerd op de locatie van uw voorkeur, kunt u zich afmelden van rootgebruiker tot een gewone sudogebruiker en uw server blijven beheren met behulp van sudoindien nodig.

exit

Configureer de Nginx-webserver

Voer sudo vim /etc/nginx/sites-available/example.com.confhet bestand uit en vul het met de volgende inhoud. Vervang alle instanties van example.comdoor uw eigen domeinnaam.

server {

  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com *.example.com;
  root /var/www/example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

}

Activeer de nieuwe example.com.confconfiguratie door het bestand aan de sites-enableddirectory te koppelen .

sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/

Test Nginx-configuratie.

sudo nginx -t

Herlaad Nginx.

sudo systemctl reload nginx.service

Dat is het. We hebben wildcard-certificaten geïmplementeerd bij Nginx, met behulp van acme.sh, Lexicon en Vultr API. Wildcard-certificaten kunnen handig zijn wanneer u meerdere dynamisch gegenereerde subdomeinen van het eerste niveau wilt beveiligen.