Instalator umożliwia szyfrowanie za pomocą Nginx na Ubuntu 16.04

• Wymagania wstępne
• Zainstaluj Certbot
• Konfigurowanie Nginx
• Uzyskanie certyfikatu Let's Encrypt SSL
• Automatyzacja odnowienia
• Ulepszona konfiguracja

Let's Encrypt to urząd certyfikacji (CA), który zapewnia bezpłatne certyfikaty SSL z automatycznym klientem. Korzystając z certyfikatu Let's Encrypt SSL, możesz szyfrować ruch między witryną a użytkownikami. Cały proces jest prosty, a odnowienia można zautomatyzować. Należy również pamiętać, że instalacja lub odnowienie certyfikatów nie powoduje żadnych przestojów.

W tym samouczku wykorzystamy Certbot do uzyskania, zainstalowania i automatycznego odnowienia certyfikatu SSL. Certbot jest aktywnie rozwijany przez Electronic Frontier Foundation (EFF) i jest polecanym klientem Let's Encrypt.

Wymagania wstępne

• Instancja Vultr z systemem Ubuntu 16.04
• Zarejestrowana nazwa domeny wskazująca na twój serwer
• Nginx

Zainstaluj Certbot

Aby uzyskać certyfikat Let's Encrypt SSL, musisz zainstalować klienta Certbot na swoim serwerze.

Dodaj repozytorium. Naciśnij ENTERklawisz po wyświetleniu monitu o zaakceptowanie.

add-apt-repository ppa:certbot/certbot

Zaktualizuj listę pakietów.

apt-get update

Kontynuuj, instalując Certbot i pakiet Nginx Certbota.

apt-get -y install python-certbot-nginx

Konfigurowanie Nginx

Certbot automatycznie konfiguruje protokół SSL dla Nginx, ale aby to zrobić, musi znaleźć blok serwera w pliku konfiguracyjnym Nginx. Robi to, dopasowując server_namedyrektywę w pliku konfiguracyjnym do nazwy domeny, dla której żądasz certyfikatu.

Jeśli używasz domyślnego pliku konfiguracyjnego, /etc/nginx/sites-available/defaultotwórz go w edytorze tekstów, takim jak nanoi znajdź server_namedyrektywę. Zastąp znak podkreślenia _własnymi nazwami domen:

nano /etc/nginx/sites-available/default

Po edycji pliku konfiguracyjnego server_namedyrektywa powinna wyglądać następująco. W tym przykładzie zakładam, że twoja domena to example.com i że żądasz certyfikatu dla example.com i www.example.com.

server_name example.com www.example.com;

Kontynuuj, sprawdzając składnię swoich zmian.

nginx -t

Jeśli składnia jest poprawna, zrestartuj Nginx, aby użyć nowej konfiguracji. Jeśli pojawi się komunikat o błędzie, otwórz ponownie plik konfiguracyjny i sprawdź, czy nie ma literówek, a następnie spróbuj ponownie.

systemctl restart nginx

Uzyskanie certyfikatu Let's Encrypt SSL

Następujące polecenie uzyska dla Ciebie certyfikat. Edytuj swoją konfigurację Nginx, aby z niej korzystać, i ponownie załaduj Nginx.

certbot --nginx -d example.com -d www.example.com

Możesz także poprosić o certyfikat SSL dla dodatkowych domen. Po prostu dodaj -dopcję „ ” tyle razy, ile chcesz.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

Jeśli chcesz tylko uzyskać certyfikat z Let's Encrypt bez instalowania go automatycznie, możesz użyć następującego polecenia. Powoduje to tymczasowe zmiany konfiguracji Nginx w celu uzyskania certyfikatu i przywraca je po pobraniu certyfikatu.

certbot --nginx certonly -d example.com -d www.example.com

Jeśli uruchamiasz Certbot po raz pierwszy, zostaniesz poproszony o podanie adresu e-mail i zaakceptowanie warunków usługi. Ten adres e-mail będzie używany do odnawiania i powiadomień bezpieczeństwa. Po podaniu adresu e-mail Certbot zażąda certyfikatu od Let's Encrypt i uruchomi wyzwanie, aby sprawdzić, czy kontrolujesz daną domenę.

Jeśli Certbot może uzyskać certyfikat SSL, zapyta, jak chcesz skonfigurować HTTPSustawienia. Możesz przekierować odwiedzających, którzy odwiedzają Twoją witrynę przez niezabezpieczone połączenie, lub pozwolić im na dostęp do niej przez niezabezpieczone połączenie. Zazwyczaj należy to włączyć, ponieważ zapewnia, że ​​odwiedzający uzyskują dostęp tylko do wersji witryny chronionej protokołem SSL. Wybierz swój wybór, a następnie naciśnij ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Na koniec Certbot potwierdzi, że proces się powiódł i gdzie są przechowywane twoje certyfikaty. Twoje certyfikaty są teraz pobrane i zainstalowane.

Automatyzacja odnowienia

Ponieważ Let's Encrypt to bezpłatny urząd certyfikacji i aby zachęcić użytkowników do zautomatyzowania procesu odnawiania, certyfikaty są ważne tylko przez 90 dni. Certbot automatycznie zajmie się odnawianiem certyfikatów. Czyni to, uruchamiając certbot renewdwa razy dziennie przez systemd.

Możesz sprawdzić, czy automatyczne odnawianie działa, uruchamiając to polecenie.

certbot renew --dry-run

Możesz także ręcznie odnowić certyfikat w dowolnym momencie, uruchamiając następujące polecenie.

certbot renew

Ulepszona konfiguracja

Powyższe polecenia pozwalają uzyskać i zainstalować certyfikat SSL z konfiguracją odpowiednią dla większości przypadków. Jeśli chcesz wdrożyć zaawansowane zabezpieczenia dla swojej witryny, możesz użyć następującego polecenia, aby uzyskać certyfikat.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

--rsa-key-size 4096Wykorzystuje 4096-bitowy klucz RSA zamiast 2048 bitowym kluczem, który jest bardziej bezpieczne. Wadą tego jest to, że większy klucz powoduje niewielki narzut wydajności. Ponadto starsze przeglądarki i urządzenia mogą nie obsługiwać 4096-bitowych kluczy RSA.

--must-stapleDodaje OCSP musi rozszerzenie zszywek do świadectwa i konfiguruje Nginx dla OCSP zszywania. To rozszerzenie umożliwia przeglądarkom sprawdzenie, czy certyfikat nie został odwołany i czy można mu ufać. Jednak nie wszystkie przeglądarki obsługują tę funkcję.