ติดตั้ง Wildcard Certs จาก Lets Encrypt ใน Nginx บน Ubuntu 19.04

• ความต้องการ
• ก่อนที่จะเริ่ม
• ติดตั้ง Nginx
• ติดตั้ง Python และ Lexicon
• ติดตั้งไคลเอ็นต์ acme.sh
• รับ wildcard certs จาก Let's Encrypt
• กำหนดค่าเว็บเซิร์ฟเวอร์ Nginx

ในเดือนมีนาคม 2018 Let's Encrypt เพิ่มการสนับสนุนสำหรับใบรับรองไวด์การ์ด ใบรับรองไวด์การ์ดช่วยให้คุณปลอดภัยโดเมนย่อยระดับแรกทั้งหมดของโดเมนด้วยใบรับรองเดียว ใบรับรองตัวแทนสามารถรับได้ผ่าน ACMEv2 ซึ่งเป็นรุ่นที่ปรับปรุงแล้วของโปรโตคอล ACME ในการใช้ ACMEv2 สำหรับใบรับรองไวด์การ์ดหรือไม่ใช่ไวด์การ์ดคุณจะต้องมีไคลเอนต์ที่ได้รับการอัพเดตเพื่อรองรับ ACMEv2 หนึ่งไคลเอ็นต์ดังกล่าวคือ acme.sh ซึ่งเป็นไคลเอ็นต์โปรโตคอล ACME / ACMEv2 ที่เขียนด้วยภาษา Shell (Unix shell) อย่างหมดจดโดยไม่มีการอ้างอิงใด ๆ นอกจากนี้โดเมนตัวแทนต้องได้รับการตรวจสอบความถูกต้องโดยใช้ประเภทการท้าทาย DNS-01 นั่นหมายความว่าคุณต้องแก้ไขระเบียน DNS TXT เพื่อพิสูจน์การควบคุมโดเมนเพื่อรับใบรับรองตัวแทน

ในคู่มือนี้เราอธิบายวิธีการรับและปรับใช้ wildcard certs ฟรีจาก Let's Encrypt บน Ubuntu 19.04 โดยใช้acme.shไคลเอนต์เครื่องมือLexiconสำหรับการจัดการระเบียน DNS โดยอัตโนมัติโดยใช้ Vultr API และปรับใช้ certs กับเว็บเซิร์ฟเวอร์ Nginx

ความต้องการ

• ติดตั้งเซิร์ฟเวอร์คลาวด์ Ubuntu 19.04 Vultr ที่ปรับใช้ใหม่
• คุณมีชื่อโดเมนที่ลงทะเบียน คู่มือนี้ใช้example.comเป็นโดเมนตัวอย่าง
• ตรวจสอบให้แน่ใจว่าคุณได้ตั้งค่าระเบียน A / AAAA และ CNAME DNS สำหรับชื่อโดเมนแบบเต็ม (FQDN) ของคุณ คุณอาจต้องการศึกษาข้อมูลเบื้องต้นเกี่ยวกับการสอน DNS Vultrหากคุณจำเป็นต้องทำความคุ้นเคยกับแนวคิด DNS
• เปิดใช้งาน Vultr API Access ในแผงควบคุมบัญชี Vultr ของคุณ

ก่อนที่จะเริ่ม

ตรวจสอบเวอร์ชั่นของ Ubuntu

lsb_release -ds
# Ubuntu 19.04

สร้างบัญชีผู้ใช้ใหม่ด้วยsudoการเข้าถึงและชื่อผู้ใช้ที่คุณต้องการและเปลี่ยนเป็น johndoeเราใช้

adduser johndoe --gecos "John Doe"
usermod -aG sudo johndoe
su - johndoe

หมายเหตุ : แทนที่johndoeด้วยชื่อผู้ใช้ของคุณ

ตั้งค่าเขตเวลา

sudo dpkg-reconfigure tzdata

ตรวจสอบให้แน่ใจว่าระบบ Ubuntu ของคุณทันสมัย

sudo apt update && sudo apt upgrade -y

ติดตั้งแพ็คเกจที่จำเป็น

sudo apt install -y git wget curl socat

ติดตั้ง Nginx

ติดตั้งเว็บเซิร์ฟเวอร์ Nginx

sudo apt install -y nginx

ตรวจสอบเวอร์ชั่น

sudo nginx -v
# nginx version: nginx/1.15.9 (Ubuntu)

ติดตั้ง Python และ Lexicon

เป็นขั้นตอนแรกในกระบวนการของการได้รับใบรับรองสัญลักษณ์แทนจาก Let 's เข้ารหัสโดยใช้ acme.sh และ Vultr API คุณจำเป็นต้องติดตั้งหลามและพจนานุกรม Lexicon เป็นแพ็คเกจ Python ที่ให้วิธีการจัดการระเบียน DNS ในผู้ให้บริการ DNS หลายรายในวิธีมาตรฐาน

ติดตั้ง Python หากยังไม่ได้ติดตั้งบนระบบของคุณ

sudo apt install -y python3

ยืนยันการติดตั้งโดยตรวจสอบเวอร์ชั่น

python3 --version
# Python 3.7.3

ติดตั้งเครื่องมือ Lexicon คำศัพท์เป็นเครื่องมือ Python ที่ช่วยให้คุณสามารถจัดการระเบียน DNS ในผู้ให้บริการ DNS หลายรายในแบบมาตรฐาน

sudo apt install -y lexicon

ตรวจสอบเวอร์ชั่นของ Lexicon

lexicon --version
# lexicon 3.0.8

ติดตั้งacme.shไคลเอนต์

Acme.shเป็นไคลเอนต์โปรโตคอล ACME ที่เขียนอย่างหมดจดในภาษา Shell (Unix shell) ที่ทำให้กระบวนการรับใบรับรองที่ลงชื่อโดยอัตโนมัติผ่าน Let's Encrypt รองรับ ACME v1 และ ACME v2 และที่สำคัญที่สุดรองรับ ACME v2 wildcard certs ในส่วนนี้เราจะติดตั้งสคริปต์ Acme.sh

หมายเหตุ: ขอแนะนำให้ใช้rootผู้ใช้ในการติดตั้งacme.shแม้ว่าจะไม่ต้องการroot/ sudoเข้าถึง

เปลี่ยนเป็นrootผู้ใช้จากผู้ใช้ปกติหากคุณสร้างไว้

sudo su - root

acme.shดาวน์โหลดและติดตั้ง

git clone https://github.com/Neilpang/acme.sh.git
cd acme.sh
./acme.sh --install --accountemail "[email protected]"
source ~/.bashrc
cd

ตรวจสอบเวอร์ชั่น

acme.sh --version
# v2.8.2

รับ wildcard certs จาก Let's Encrypt

ในการรับใบรับรองไวด์การ์ดเราสามารถใช้วิธีการตรวจสอบความถูกต้อง DNS เท่านั้น เราใช้ Lexicon และ Vultr DNS API เพื่อจัดการระเบียน TXT DNS

รับ RSA และ ECC wildcard certs สำหรับโดเมนของคุณ

# Configure your API key and username
export PROVIDER=vultr
export LEXICON_VULTR_USERNAME="[email protected]"
export LEXICON_VULTR_TOKEN="XXXXXXXXXXXXXXX"

# RSA 2048
acme.sh --issue --dns dns_lexicon -d example.com -d '*.example.com' --keylength 2048
# ECC 256
acme.sh --issue --dns dns_lexicon -d example.com -d '*.example.com' --keylength ec-256

หมายเหตุ : อย่าลืมแทนที่example.comด้วยชื่อโดเมนของคุณและแทนที่ค่าตัวยึด Vultr API ด้วยตัวคุณเอง

หลังจากรันคำสั่งก่อนหน้าใบรับรองและคีย์ของคุณจะอยู่ใน:

• สำหรับ~/.acme.sh/example.comไดเร็กทอรีRSA:
• สำหรับ~/.acme.sh/example.com_eccไดเร็กทอรีECC / ECDSA:

หมายเหตุ : คุณไม่ควรใช้ไฟล์ใบรับรองใน~/.acme.sh/โฟลเดอร์พวกเขามีไว้สำหรับการใช้งานภายในเท่านั้นโครงสร้างไดเรกทอรีอาจมีการเปลี่ยนแปลงในอนาคต

หากต้องการแสดงรายการ certs ของคุณคุณสามารถเรียกใช้:

acme.sh --list

สร้างโฟลเดอร์เพื่อจัดเก็บใบรับรองของคุณในการผลิต เราใช้/etc/letsencryptไดเรกทอรี

sudo mkdir -p /etc/letsencrypt/example.com
sudo mkdir -p /etc/letsencrypt/example.com_ecc

ติดตั้ง / คัดลอกใบรับรองสำหรับการใช้งานจริงบนเซิร์ฟเวอร์ของคุณ

# RSA
acme.sh --install-cert -d example.com \
        --cert-file /etc/letsencrypt/example.com/cert.pem \
        --key-file /etc/letsencrypt/example.com/private.key \
        --fullchain-file /etc/letsencrypt/example.com/fullchain.pem \
        --reloadcmd "sudo systemctl reload nginx.service"

# ECC/ECDSA
acme.sh --install-cert -d example.com --ecc \
        --cert-file /etc/letsencrypt/example.com_ecc/cert.pem \
        --key-file /etc/letsencrypt/example.com_ecc/private.key \
        --fullchain-file /etc/letsencrypt/example.com_ecc/fullchain.pem \
        --reloadcmd "sudo systemctl reload nginx.service"

ตอนนี้เราได้รับ wildcard certs จาก Let's Encrypt เรียบร้อยแล้วเราต้องกำหนดค่าเว็บเซิร์ฟเวอร์ Nginx certs ทั้งหมดจะต่ออายุโดยอัตโนมัติทุก 60 วัน

หลังจากได้รับและติดตั้ง certs ไปยังตำแหน่งที่คุณต้องการคุณสามารถออกจากระบบของrootผู้ใช้ไปยังsudoผู้ใช้ปกติและจัดการเซิร์ฟเวอร์ของคุณต่อไปโดยใช้sudoหากจำเป็น

exit

กำหนดค่าเว็บเซิร์ฟเวอร์ Nginx

เรียกใช้sudo vim /etc/nginx/sites-available/example.com.confและเติมไฟล์ด้วยเนื้อหาต่อไปนี้ ทดแทนการเกิดขึ้นทั้งหมดexample.comด้วยชื่อโดเมนของคุณเอง

server {

  listen 443 ssl http2;
  listen [::]:443 ssl http2;

  server_name example.com *.example.com;
  root /var/www/example.com;

  # RSA
  ssl_certificate /etc/letsencrypt/example.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com/private.key;
  # ECDSA
  ssl_certificate /etc/letsencrypt/example.com_ecc/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/example.com_ecc/private.key;

}

เปิดใช้งานการexample.com.confกำหนดค่าใหม่โดยเชื่อมโยงไฟล์ไปยังsites-enabledไดเรกทอรี

sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/

ทดสอบการกำหนดค่า Nginx

sudo nginx -t

โหลดซ้ำ Nginx

sudo systemctl reload nginx.service

แค่นั้นแหละ. เราปรับใช้ wildcard certs เป็น Nginx โดยใช้ acme.sh, Lexicon และ Vultr API ใบรับรอง Wildcard จะมีประโยชน์เมื่อคุณต้องการสร้างความปลอดภัยให้กับโดเมนย่อยหลายระดับแรกที่สร้างขึ้นแบบไดนามิก