Instalação permite criptografar com Lighttpd no Ubuntu 16.04

• Introdução
• Pré-requisitos
• Etapa 1: Instalar o Certbot
• Etapa 2: Obter certificado SSL
• Etapa 3: Configurar arquivos de certificado para uso com o Lighttpd
• Etapa 4: Configurar o Lighttpd
• Etapa 5: forçar o uso do SSL
• Renovando o certificado SSL

Introdução

Let's Encrypt é uma autoridade de certificação (CA) que emite certificados SSL / TLS gratuitos. Lighttpd é um servidor da web leve que roda com poucos recursos. Os certificados Let's Encrypt SSL podem ser facilmente instalados em um servidor Lighttpd usando o Certbot, um cliente de software que automatiza a maior parte do processo de obtenção dos certificados.

Pré-requisitos

Este tutorial pressupõe que você já criou uma instância do Vultr Cloud Compute com o Lighttpd instalado no Ubuntu 16.04 , tem um nome de domínio apontando para o servidor e efetuou login como root.

Etapa 1: Instalar o Certbot

O primeiro passo é instalar o Certbot. Adicione o repositório Certbot. Pressione Enterquando solicitado para confirmação.

add-apt-repository ppa:certbot/certbot

Instale o Certbot.

apt-get update
apt-get install certbot

Etapa 2: Obter certificado SSL

Após a instalação do Certbot, você pode obter um certificado SSL. Execute o seguinte comando, substituindo example.compelo seu próprio nome de domínio:

certbot certonly --webroot -w /var/www/html -d example.com -d www.example.com

Continue com o instalador interativo.

Etapa 3: Configurar arquivos de certificado para uso com o Lighttpd

O Certbot colocará os arquivos de certificado obtidos /etc/letsencrypt/live/example.com. Você precisará conceder ao usuário Lighttpd acesso a esse diretório.

chown :www-data /etc/letsencrypt
chown :www-data /etc/letsencrypt/live
chmod g+x /etc/letsencrypt
chmod g+x /etc/letsencrypt/live

O Lighttpd exige que o certificado e a chave privada estejam em um único arquivo. Você precisará combinar os dois arquivos. Execute o seguinte comando, substituindo example.compelo seu próprio nome de domínio.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem > /etc/letsencrypt/live/example.com/merged.pem

Os arquivos privkey.peme cert.pemserão combinados e salvos como merged.pem.

Etapa 4: Configurar o Lighttpd

Quando seus arquivos de certificado estiverem prontos, você poderá configurar o Lighttpd para usar o certificado SSL. Abra o arquivo de configuração Lighttpd para edição.

nano /etc/lighttpd/lighttpd.conf

Adicione o seguinte bloco no final do arquivo, substituindo example.compelo seu próprio nome de domínio,

$SERVER["socket"] == ":443" {
    ssl.engine              = "enable"
    ssl.ca-file             = "/etc/letsencrypt/live/example.com/chain.pem"
    ssl.pemfile             = "/etc/letsencrypt/live/example.com/merged.pem"
}

Etapa 5: forçar o uso do SSL

Para maior segurança, você pode forçar o servidor Lighttpd a rotear todas as solicitações HTTP para HTTPS. Abra o lighttpd.confarquivo para edição.

nano /etc/lighttpd/lighttpd.conf

Adicione o seguinte bloco no final do arquivo,

$HTTP["scheme"] == "http" {
    $HTTP["host"] =~ ".*" {
        url.redirect = (".*" => "https://%0$0")
    }
}

Você precisará reiniciar o servidor Lighttpd para que as alterações entrem em vigor.

systemctl restart lighttpd

Renovando o certificado SSL

Vamos criptografar emite certificados SSL com uma validade de 90 dias. Você precisará renovar seu certificado antes que ele expire para evitar erros de certificado. Você pode renovar o certificado com o Certbot.

certbot renew

Você precisará combinar o certificado e a chave privada do Lighttpd. Execute o seguinte comando, substituindo example.compelo seu nome de domínio.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem     > /etc/letsencrypt/live/example.com/merged.pem

Seu certificado será renovado por mais 90 dias.