Zainstaluj certyfikaty Wildcard From Lets Encrypt w Nginx na Ubuntu 19.04

• Wymagania
• Zanim zaczniesz
• Zainstaluj Nginx
• Zainstaluj Python i Lexicon
• Zainstaluj klienta acme.sh
• Uzyskaj certyfikaty wieloznaczne z Let's Encrypt
• Skonfiguruj serwer WWW Nginx

W marcu 2018 Let's Encrypt dodał obsługę certyfikatów wieloznacznych. Certyfikaty wieloznaczne pozwalają zabezpieczyć wszystkie subdomeny pierwszego poziomu domeny za pomocą jednego certyfikatu. Certyfikaty wieloznaczne można uzyskać tylko poprzez ACMEv2, który jest zaktualizowaną wersją protokołu ACME. Aby użyć ACMEv2 do certyfikatów wieloznacznych lub innych niż symbole wieloznaczne, potrzebujesz klienta, który został zaktualizowany do obsługi ACMEv2. Jednym z takich klientów jest acme.sh, który jest klientem protokołu ACME / ACMEv2 napisanym wyłącznie w języku Shell (powłoka Unix) bez żadnych zależności. Ponadto domeny wieloznaczne muszą być sprawdzane przy użyciu typu wyzwania DNS-01. Oznacza to, że musisz zmodyfikować rekordy DNS TXT, aby udowodnić kontrolę nad domeną w celu uzyskania certyfikatu wieloznacznego.

W tym przewodniku wyjaśniamy, jak uzyskać i wdrożyć bezpłatne certyfikaty wieloznaczne z Let's Encrypt na Ubuntu 19.04 za pomocą acme.shklienta, narzędzia Lexicon do automatycznej manipulacji rekordami DNS poprzez wykorzystanie interfejsu API Vultr i wdrażania certyfikatów na serwerze internetowym Nginx.

Wymagania

• Świeżo wdrożony serwer chmurowy Ubuntu 19.04 Vultr.
• Masz zarejestrowaną nazwę domeny. Ten przewodnik wykorzystuje example.comjako przykładową domenę.
• Upewnij się, że ustawiłeś rekordy A / AAAA i CNAME dla swojej w pełni kwalifikowanej nazwy domeny (FQDN). Możesz zapoznać się z samouczkiem Wprowadzenie do Vultr DNS, jeśli chcesz zapoznać się z koncepcjami DNS.
• Dostęp do interfejsu API Vultr włączony w panelu sterowania konta Vultr.

Zanim zaczniesz

Sprawdź wersję Ubuntu.

lsb_release -ds
# Ubuntu 19.04

Utwórz nowe konto użytkownika z sudodostępem i preferowaną nazwą użytkownika i przełącz się na to. Używamy johndoe.

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

UWAGA : Zamień na johndoeswoją nazwę użytkownika.

Ustaw strefę czasową.

sudo dpkg-reconfigure tzdata

Upewnij się, że Twój system Ubuntu jest aktualny.

sudo apt update && sudo apt upgrade -y

Zainstaluj niezbędne pakiety.

sudo apt install -y git wget curl socat

Zainstaluj Nginx

Zainstaluj serwer WWW Nginx.

sudo apt install -y nginx

Sprawdź wersję.

sudo nginx -v
# nginx version: nginx/1.15.9 (Ubuntu)

Zainstaluj Python i Lexicon

Pierwszym krokiem w procesie uzyskiwania certyfikatów wieloznacznych z Let's Encrypt przy użyciu acme.sh i Vultr API jest zainstalowanie Pythona i Leksykonu . Leksykon to pakiet języka Python, który zapewnia sposób manipulowania rekordami DNS wielu dostawców DNS w znormalizowany sposób.

Zainstaluj Python, jeśli nie jest jeszcze zainstalowany w twoim systemie.

sudo apt install -y python3

Potwierdź instalację, weryfikując wersję.

python3 --version
# Python 3.7.3

Zainstaluj narzędzie Leksykon. Leksykon to narzędzie w języku Python, które pozwala w standardowy sposób manipulować rekordami DNS różnych dostawców DNS.

sudo apt install -y lexicon

Sprawdź wersję Leksykonu.

lexicon --version
# lexicon 3.0.8

Zainstaluj acme.shklienta

Acme.shto klient protokołu ACME napisany wyłącznie w języku Shell (powłoka Unix), który automatyzuje proces uzyskiwania podpisanego certyfikatu za pomocą Let's Encrypt. Obsługuje ACME v1 i ACME v2, a co najważniejsze obsługuje certyfikaty wieloznaczne ACME v2. W tej sekcji instalujemy skrypt Acme.sh.

UWAGA: Zaleca się użycie rootużytkownika do instalacji acme.sh, chociaż nie wymaga root/ sudodostępu.

Przełącz się rootna zwykłego użytkownika, jeśli go utworzyłeś.

sudo su - root

Pobierz i zainstaluj acme.sh.

git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh
./acme.sh --install --accountemail "[email protected]"
source ~/.bashrc
cd

Sprawdź wersję.

acme.sh --version
# v2.8.2

Uzyskaj certyfikaty wieloznaczne z Let's Encrypt

Aby uzyskać certyfikat wieloznaczny, możemy użyć tylko metody sprawdzania poprawności DNS. Używamy Lexicon i Vultr DNS API do manipulowania rekordami DNS TXT.

Uzyskaj certyfikaty wieloznaczne RSA i ECC dla swojej domeny.

# Configure your API key and username
export PROVIDER=vultr
export LEXICON_VULTR_USERNAME="[email protected]"
export LEXICON_VULTR_TOKEN="XXXXXXXXXXXXXXX"

# RSA 2048
acme.sh --issue --dns dns_lexicon -d example.com -d '*.example.com' --keylength 2048
# ECC 256
acme.sh --issue --dns dns_lexicon -d example.com -d '*.example.com' --keylength ec-256

UWAGA : Nie zapomnij zastąpić example.comswoją nazwą domeny i zastąpić wartości zastępcze Vultr API własnymi.

Po uruchomieniu poprzednich poleceń certyfikaty i klucze znajdują się w:

• Dla RSA: ~/.acme.sh/example.comkatalog.
• W przypadku ECC / ECDSA: ~/.acme.sh/example.com_ecckatalog.

UWAGA : Nie należy używać plików cert w ~/.acme.sh/folderze, są one wyłącznie do użytku wewnętrznego, struktura katalogów może ulec zmianie w przyszłości.

Aby wyświetlić listę swoich certyfikatów, możesz uruchomić:

acme.sh --list

Utwórz folder do przechowywania certyfikatów w produkcji. Korzystamy z /etc/letsencryptkatalogu.

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

Zainstaluj / skopiuj certyfikaty do użytku produkcyjnego na swoim serwerze.

# RSA
acme.sh --install-cert -d example.com \
        --cert-file /etc/letsencrypt/example.com/cert.pem \
        --key-file /etc/letsencrypt/example.com/private.key \
        --fullchain-file /etc/letsencrypt/example.com/fullchain.pem \
        --reloadcmd "sudo systemctl reload nginx.service"

# ECC/ECDSA
acme.sh --install-cert -d example.com --ecc \
        --cert-file /etc/letsencrypt/example.com_ecc/cert.pem \
        --key-file /etc/letsencrypt/example.com_ecc/private.key \
        --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem \
        --reloadcmd "sudo systemctl reload nginx.service"

Teraz, gdy udało nam się uzyskać certyfikaty wieloznaczne z Let's Encrypt, musimy skonfigurować serwer WWW Nginx. Wszystkie certyfikaty są odnawiane automatycznie co 60 dni.

Po uzyskaniu i zainstalowaniu certyfikatów w preferowanej lokalizacji możesz wylogować się z konta rootzwykłego sudoużytkownika i kontynuować zarządzanie serwerem, korzystając z niego, sudojeśli to konieczne.

exit

Skonfiguruj serwer WWW Nginx

Uruchom sudo vim /etc/nginx/sites-available/example.com.confi wypełnij plik następującą zawartością. Zastąp wszystkie wystąpienia example.comwłasną nazwą domeny.

server {

  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com *.example.com;
  root /var/www/example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

}

Aktywuj nową example.com.confkonfigurację, łącząc plik z sites-enabledkatalogiem.

sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/

Przetestuj konfigurację Nginx.

sudo nginx -t

Załaduj ponownie Nginx.

sudo systemctl reload nginx.service

Otóż ​​to. Wdrożyliśmy certyfikaty symboli zastępczych w Nginx, używając acme.sh, Lexicon i Vultr API. Certyfikaty wieloznaczne mogą być przydatne, gdy chcesz zabezpieczyć wiele subdomen pierwszego poziomu generowanych dynamicznie.