Configurarea permite criptarea cu Nginx pe Ubuntu 16.04

• Cerințe preliminare
• Instalați Certbot
• Configurarea Nginx
• Obținerea unui certificat Let's Encrypt SSL
• Automatizarea reînnoirii
• Configurație îmbunătățită

Let's Encrypt este o autoritate de certificare (CA) care furnizează certificate SSL gratuite cu un client automat. Utilizând un certificat Let's Encrypt SSL, puteți cripta traficul între site-ul dvs. web și vizitatorii dvs. Întregul proces este simplu, iar reînnoirile pot fi automatizate. De asemenea, rețineți că instalarea sau reînnoirea certificatelor nu determină nicio întrerupere.

În acest tutorial, vom folosi Certbot pentru a obține, instala și reînnoi automat certificatul SSL. Certbot este dezvoltat în mod activ de Electronic Frontier Foundation (EFF) și este clientul recomandat pentru Let's Encrypt.

Cerințe preliminare

• O instanță Vultr care rulează Ubuntu 16.04
• Un nume de domeniu înregistrat îndreptat către serverul dvs.
• Nginx

Instalați Certbot

Pentru a obține un certificat SSL Let's Encrypt, trebuie să instalați clientul Certbot pe serverul dvs.

Adăugați depozitul. Apăsați ENTERtasta atunci când vi se solicită să acceptați.

add-apt-repository ppa:certbot/certbot

Actualizați lista de pachete.

apt-get update

Continuați instalând pachetul Nginx Certbot și Certbot.

apt-get -y install python-certbot-nginx

Configurarea Nginx

Certbot configurează automat SSL pentru Nginx, dar pentru aceasta trebuie să găsească blocul serverului în fișierul dvs. de configurare Nginx. Face acest lucru prin potrivirea server_namedirectivei din fișierul de configurare cu numele de domeniu pentru care solicitați un certificat.

Dacă utilizați fișierul de configurare implicit, /etc/nginx/sites-available/defaultdeschideți-l cu un editor de text, cum ar fi nanoși găsiți server_namedirectiva. Înlocuiți sublinia _cu numele dvs. de domeniu:

nano /etc/nginx/sites-available/default

După editarea fișierului de configurare, server_namedirectiva ar trebui să arate după cum urmează. În acest exemplu, presupun că domeniul dvs. este example.com și că solicitați un certificat de exemplu.com și www.example.com.

server_name example.com www.example.com;

Continuați verificând sintaxa modificărilor dvs.

nginx -t

Dacă sintaxa este corectă, reporniți Nginx pentru a utiliza noua configurație. Dacă primiți vreun mesaj de eroare, redeschideți fișierul de configurare și verificați eventualele greșeli, apoi încercați din nou.

systemctl restart nginx

Obținerea unui certificat Let's Encrypt SSL

Următoarea comandă va obține un certificat pentru dvs. Editați configurația Nginx pentru a o utiliza și reîncărcați Nginx.

certbot --nginx -d example.com -d www.example.com

Puteți solicita, de asemenea, un certificat SSL pentru domenii suplimentare. Adăugați opțiunea " -d" de câte ori doriți.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

În cazul în care doriți doar să obțineți certificatul de la Let's Encrypt fără a-l instala automat, puteți utiliza următoarea comandă. Acest lucru aduce modificări temporare la configurația Nginx pentru a obține certificatul și le readuce după ce certificatul a fost descărcat.

certbot --nginx certonly -d example.com -d www.example.com

Dacă executați Certbot pentru prima dată, vi se va solicita să introduceți o adresă de e-mail și să fiți de acord cu termenii serviciului. Această adresă de e-mail va fi folosită pentru notificări de reînnoire și securitate. După ce ați furnizat o adresă de e-mail, Certbot va solicita un certificat de la Let's Encrypt și va rula o provocare pentru a verifica dacă controlați domeniul în cauză.

Dacă Certbot poate obține un certificat SSL, vă va întreba cum doriți să configurați HTTPSsetările. Puteți fie redirecționa vizitatorii care vă vizitează site-ul web printr-o conexiune nesecurizată, fie îi puteți accesa prin intermediul unei conexiuni nesecurizate. Acest lucru ar trebui, de obicei, să fie activat deoarece asigură că vizitatorii accesează numai versiunea SSL protejată a site-ului dvs. web. Selectați alegerea, apoi apăsați ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

În cele din urmă, Certbot va confirma că procesul a avut succes și unde sunt stocate certificatele. Certificatele dvs. sunt acum descărcate și instalate.

Automatizarea reînnoirii

Deoarece Let's Encrypt este o autoritate de certificare gratuită și pentru a încuraja utilizatorii să automatizeze procesul de reînnoire, certificatele sunt valabile doar 90 de zile. Certbot se va ocupa de reînnoirea automată a certificatelor. O face rulând de certbot renewdouă ori pe zi via systemd.

Puteți verifica dacă reînnoirea automată funcționează executând această comandă.

certbot renew --dry-run

De asemenea, puteți reînnoi manual certificarea în orice moment, executând următoarea comandă.

certbot renew

Configurație îmbunătățită

Comenzile de mai sus obțin și instalează certificatul SSL cu o configurație potrivită pentru majoritatea cazurilor. Dacă doriți să implementați măsuri avansate de securitate pentru site-ul dvs. web, puteți utiliza următoarea comandă pentru a obține certificatul.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

--rsa-key-size 4096Utilizează o cheie RSA 4096-biți în loc de cheie de 2048 biți, care este mai sigur. Dezavantajul acestui lucru este că o cheie mai mare duce la o ușoară performanță deasupra capului. În plus, browserele și dispozitivele mai vechi pot să nu accepte chei RSA pe 4096 biți.

--must-stapleAdaugă extensia Staple OCSP certificatului Must și configurează Nginx pentru OSCP capsarea. Această extensie permite browserelor să verifice dacă certificatul dvs. nu a fost revocat și poate fi de încredere. Cu toate acestea, nu toate browserele acceptă această caracteristică.