Instalator umożliwia szyfrowanie za pomocą Lighttpd na Ubuntu 16.04

• Wprowadzenie
• Wymagania wstępne
• Krok pierwszy: zainstaluj Certbot
• Krok drugi: Uzyskaj certyfikat SSL
• Krok trzeci: Skonfiguruj pliki certyfikatów do użytku z Lighttpd
• Krok czwarty: Skonfiguruj Lighttpd
• Krok piąty: Wymuś użycie protokołu SSL
• Odnawianie certyfikatu SSL

Wprowadzenie

Let's Encrypt to urząd certyfikacji (CA), który wydaje bezpłatne certyfikaty SSL / TLS. Lighttpd to lekki serwer WWW działający przy niskim zużyciu zasobów. Zaszyfrujmy certyfikaty SSL można łatwo zainstalować na serwerze Lighttpd za pomocą Certbot, klienta oprogramowania, który automatyzuje większość procesu uzyskiwania certyfikatów.

Wymagania wstępne

W tym samouczku założono, że utworzyłeś już instancję Vultr Cloud Compute z Lighttpd zainstalowanym na Ubuntu 16.04 , masz nazwę domeny wskazującą na twój serwer i zalogowałeś się jako root.

Krok pierwszy: zainstaluj Certbot

Pierwszym krokiem jest instalacja Certbota. Dodaj repozytorium Certbot. Naciśnij Enterpo wyświetleniu monitu o potwierdzenie.

add-apt-repository ppa:certbot/certbot

Zainstaluj Certbot.

apt-get update
apt-get install certbot

Krok drugi: Uzyskaj certyfikat SSL

Po zainstalowaniu Certbot możesz uzyskać certyfikat SSL. Uruchom następujące polecenie, zastępując example.comwłasną nazwą domeny:

certbot certonly --webroot -w /var/www/html -d example.com -d www.example.com

Kontynuuj przez interaktywny instalator.

Krok trzeci: Skonfiguruj pliki certyfikatów do użytku z Lighttpd

Certbot umieści uzyskane pliki certyfikatów w /etc/letsencrypt/live/example.com. Musisz przyznać użytkownikowi Lighttpd dostęp do tego katalogu.

chown :www-data /etc/letsencrypt
chown :www-data /etc/letsencrypt/live
chmod g+x /etc/letsencrypt
chmod g+x /etc/letsencrypt/live

Lighttpd wymaga, aby certyfikat i klucz prywatny znajdowały się w jednym pliku. Musisz połączyć dwa pliki. Uruchom następujące polecenie, zastępując example.comwłasną nazwą domeny.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem > /etc/letsencrypt/live/example.com/merged.pem

privkey.pemI cert.pempliki zostaną połączone i zapisane jako merged.pem.

Krok czwarty: Skonfiguruj Lighttpd

Gdy pliki certyfikatów będą gotowe, możesz przejść i skonfigurować Lighttpd do używania certyfikatu SSL. Otwórz plik konfiguracyjny Lighttpd do edycji.

nano /etc/lighttpd/lighttpd.conf

Dodaj następujący blok na końcu pliku, zastępując example.comwłasną nazwą domeny,

$SERVER["socket"] == ":443" {
    ssl.engine              = "enable"
    ssl.ca-file             = "/etc/letsencrypt/live/example.com/chain.pem"
    ssl.pemfile             = "/etc/letsencrypt/live/example.com/merged.pem"
}

Krok piąty: Wymuś użycie protokołu SSL

Aby zwiększyć bezpieczeństwo, możesz zmusić serwer Lighttpd do kierowania wszystkich żądań HTTP do HTTPS. Otwórz lighttpd.confplik do edycji.

nano /etc/lighttpd/lighttpd.conf

Dodaj następujący blok na końcu pliku,

$HTTP["scheme"] == "http" {
    $HTTP["host"] =~ ".*" {
        url.redirect = (".*" => "https://%0$0")
    }
}

Aby zmiany odniosły skutek, musisz ponownie uruchomić serwer Lighttpd.

systemctl restart lighttpd

Odnawianie certyfikatu SSL

Let's Encrypt wystawia certyfikaty SSL z ważnością 90 dni. Będziesz musiał odnowić certyfikat przed jego wygaśnięciem, aby uniknąć błędów certyfikatu. Możesz odnowić certyfikat za pomocą Certbot.

certbot renew

Musisz połączyć certyfikat i klucz prywatny dla Lighttpd. Uruchom następujące polecenie, zastępując example.comnazwę swojej domeny.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem     > /etc/letsencrypt/live/example.com/merged.pem

Twój certyfikat zostanie przedłużony na kolejne 90 dni.