Configurarea permite criptarea cu Lighttpd pe Ubuntu 16.04

• Introducere
• Cerințe preliminare
• Pasul întâi: Instalează Certbot
• Pasul doi: Obțineți certificatul SSL
• Pasul trei: Configurare fișiere certificat pentru utilizare cu Lighttpd
• Pasul patru: Configurați Lighttpd
• Pasul cinci: Forțați utilizarea SSL
• Reînnoirea certificatului SSL

Introducere

Let's Encrypt este o autoritate de certificare (CA) care emite certificate SSL / TLS gratuite. Lighttpd este un server web ușor care rulează cu resurse reduse. Să criptăm certificatele SSL pot fi instalate cu ușurință pe un server Lighttpd utilizând Certbot, un client software care automatizează cea mai mare parte a procesului de obținere a certificatelor.

Cerințe preliminare

Acest tutorial presupune că ați creat deja o instanță Vultr Cloud Compute cu Lighttpd instalată pe Ubuntu 16.04 , aveți un nume de domeniu îndreptat către serverul dvs. și v-ați autentificat ca root.

Pasul întâi: Instalează Certbot

Primul pas este instalarea Certbot. Adăugați depozitul Certbot. Apăsați Entercând vi se solicită confirmare.

add-apt-repository ppa:certbot/certbot

Instalați Certbot.

apt-get update
apt-get install certbot

Pasul doi: Obțineți certificatul SSL

După instalarea Certbot, puteți obține un certificat SSL. Rulați următoarea comandă, înlocuind example.comcu propriul nume de domeniu:

certbot certonly --webroot -w /var/www/html -d example.com -d www.example.com

Continuați prin programul de instalare interactiv.

Pasul trei: Configurare fișiere certificat pentru utilizare cu Lighttpd

Certbot va plasa fișierele de certificat obținute în /etc/letsencrypt/live/example.com. Va trebui să acordați accesului utilizatorului Lighttpd la acest director.

chown :www-data /etc/letsencrypt
chown :www-data /etc/letsencrypt/live
chmod g+x /etc/letsencrypt
chmod g+x /etc/letsencrypt/live

Lighttpd necesită ca certificatul și cheia privată să fie într-un singur fișier. Va trebui să combinați cele două fișiere. Rulați următoarea comandă, înlocuind example.comcu propriul nume de domeniu.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem > /etc/letsencrypt/live/example.com/merged.pem

privkey.pemȘi cert.pemfișiere vor fi combinate și salvate ca merged.pem.

Pasul patru: Configurați Lighttpd

După ce fișierele dvs. de certificat sunt gata, puteți continua și configura Lighttpd pentru a utiliza certificatul SSL. Deschideți fișierul de configurare Lighttpd pentru editare.

nano /etc/lighttpd/lighttpd.conf

Adăugați următorul bloc la sfârșitul fișierului, înlocuind example.comcu propriul nume de domeniu,

$SERVER["socket"] == ":443" {
    ssl.engine              = "enable"
    ssl.ca-file             = "/etc/letsencrypt/live/example.com/chain.pem"
    ssl.pemfile             = "/etc/letsencrypt/live/example.com/merged.pem"
}

Pasul cinci: Forțați utilizarea SSL

Pentru un plus de securitate, puteți forța serverul dvs. Lighttpd să orienteze toate solicitările HTTP către HTTPS. Deschideți lighttpd.conffișierul pentru editare.

nano /etc/lighttpd/lighttpd.conf

Adăugați următorul bloc la sfârșitul fișierului,

$HTTP["scheme"] == "http" {
    $HTTP["host"] =~ ".*" {
        url.redirect = (".*" => "https://%0$0")
    }
}

Va trebui să reporniți funcția Lighttpd pentru ca modificările să intre în vigoare.

systemctl restart lighttpd

Reînnoirea certificatului SSL

Let's Encrypt emite certificate SSL cu o valabilitate de 90 de zile. Va trebui să vă reînnoiți certificatul înainte de a expira pentru a evita erorile certificatului. Puteți reînnoi certificatul cu Certbot.

certbot renew

Va trebui să combinați certificatul și cheia privată pentru Lighttpd. Rulați următoarea comandă, înlocuind example.comcu numele dvs. de domeniu.

cat /etc/letsencrypt/live/example.com/privkey.pem /etc/letsencrypt/live/example.com/cert.pem     > /etc/letsencrypt/live/example.com/merged.pem

Certificatul dvs. se va reînnoi pentru încă 90 de zile.