Let’s Encrypt je Linux Foundation Collaborative Project, otvorená certifikačná autorita, poskytovaná Internet Security Research Group. Každý, kto vlastní doménové meno, môže zadarmo použiť službu Let’s Encrypt na získanie dôveryhodného certifikátu. Schopnosť automatizovať proces obnovy a pracovať na uľahčení inštalácie a konfigurácie. Pomôžte udržiavať stránky v bezpečí a rozvíjajte bezpečnostné postupy TLS. Zachovajte transparentnosť a všetky certifikáty sú verejne dostupné na kontrolu. Umožnite ostatným používať ich protokoly o vydávaní a obnove ako otvorený štandard.
Let’s Encrypt sa v zásade snaží dosiahnuť, aby sa bezpečnosť nespoliehala na smiešne obruče veľkých ziskových organizácií. (Dalo by sa povedať, že verím v otvorený zdrojový kód, a toto je v najlepšom prípade open source).
Existujú dve možnosti: stiahnuť balík a nainštalovať z archívov alebo priamo nainštalovať obálku certbot-auto (predtým letsencrypt-auto) z letsencrypt.
Na stiahnutie z archívov
sudo apt-get install letsencrypt -y
Po dokončení inštalácie je čas získať certifikát! Používame výhradne samostatnú metódu, ktorá vytvára inštanciu servera iba na získanie vášho certifikátu.
sudo letsencrypt certonly –standalone –d example.com -d subdoména.example.com -d ďalšie subdoména.example.com
Zadajte svoj e-mail a vyjadrite súhlas s podmienkami služby. Teraz by ste mali mať certifikát vhodný pre každú z domén a subdomén, ktoré ste zadali. Každá doména a subdoména bude napadnutá, takže ak nemáte záznam dns smerujúci na váš server, požiadavka zlyhá.
Ak chcete vyskúšať tento proces, pred získaním skutočného certifikátu môžete po certifikáte pridať –test-cert ako argument. Poznámka: –test-cert nainštaluje neplatný certifikát. Môžete to urobiť neobmedzene mnohokrát, ale ak používate živé certifikáty, existuje obmedzenie rýchlosti.
Domény typu wild card nie sú podporované a ani sa nezdá, že budú podporované. Uvedený dôvod je ten, že keďže proces certifikácie je bezplatný, môžete požiadať o toľko, koľko potrebujete. Na rovnakom certifikáte tiež môžete mať viac domén a subdomén.
Prechádzame k konfigurácii NGINX, aby sme mohli použiť náš novo získaný certifikát! Ako cestu k certifikátu používam skôr skutočnú cestu ako regulárny výraz.
Máme protokol SSL a môžeme naň presmerovať všetku našu komunikáciu. Prvá časť o serveri to robí práve takto. Mám nastavenú na presmerovanie všetkej premávky vrátane subdomén na primárnu doménu.
Ak používate prehliadač Chrome a nevypnete vyššie uvedené šifry SSL, dostanete err_spdy_inadequate_transport_security. Musíte tiež upraviť súbor conf nginx, aby vyzeral asi takto, aby ste obišli bezpečnostnú chybu v gzip
Ak zistíte, že sa vám zobrazuje niečo ako prístup odmietnutý - musíte skontrolovať, či je názov servera (a root) správny. Práve som dorážal hlavu o stenu, až som omdlel. Našťastie v mojich nočných morách na serveri prišla odpoveď - zabudli ste nastaviť koreňový adresár! Krvavý a zakalený som dal do koreňa a tam je, môj milý index.
Ak chcete nastaviť prútik pre samostatné subdomény, môžete použiť
Zobrazí sa výzva na vytvorenie hesla pre používateľské meno (dvakrát).
sudo služba nginx reštart
Teraz budete mať prístup na svoje stránky odkiaľkoľvek s používateľským menom a heslom alebo lokálne bez. Ak si prajete mať stále výzvu na heslo, odstráňte povolenie 10.0.0.0/24; # Prepnite na linku miestnej siete.
Dávajte pozor na medzery pre auth_basic, ak to nie je správne, zobrazí sa chyba.
Ak máte nesprávne heslo, dostanete 403
Posledná položka, ktorú musíme urobiť, je nastavenie automatického obnovenia certifikátov SSL.
Z tohto dôvodu je jednoduchá úloha cron tým správnym nástrojom pre danú úlohu, uvedieme ju ako používateľ root, aby sme zabránili chybám povolení.
(sudo crontab -l 2> / dev / null; echo ‘0 0 1 * * letsencrypt obnovit‘) | sudo crontab -
Dôvodom použitia / dev / null je zabezpečiť, aby ste mohli písať na crontab, aj keď predtým neexistoval.
3 minúty prečítané
