Comment héberger un site Web avec Caddy sur CentOS 7

Caddy est un nouveau serveur Web créé dans un souci de facilité d’utilisation. Il est assez simple pour être utilisé comme serveur de développement rapide et suffisamment robuste pour être utilisé dans des environnements de production.

Il propose un fichier de configuration intuitif, une prise en charge HTTP / 2 et un chiffrement TLS automatique. HTTP / 2 est la nouvelle version du protocole HTTP qui accélère la création de sites Web en utilisant une connexion unique pour transférer plusieurs fichiers et la compression d’en-tête, entre autres fonctionnalités. TLS est utilisé pour desservir des sites Web cryptés sur une connexion sécurisée et, bien qu’il ait été largement adopté sur Internet, il est souvent fastidieux d’obtenir et d’installer des certificats manuellement.

Caddy s’intègre étroitement à Let’s Encrypt, une autorité de certification qui fournit des Les certificats TLS / SSL obtiennent et renouvellent automatiquement les certificats si nécessaire. En d’autres termes, chaque site Web desservi par Caddy peut être automatiquement desservi via une connexion sécurisée, sans configuration ni action supplémentaire.

Dans ce tutoriel, vous allez installer et configurer Caddy. Après avoir suivi ce tutoriel, vous aurez un site Web fonctionnel fonctionnant avec HTTP / 2 et une connexion TLS sécurisée.

Pour suivre ce tutoriel, vous aurez besoin de:

Le projet Caddie fournit un script d’installation permettant de récupérer et d’installer les fichiers binaires du serveur Caddie. Pour l’exécuter, tapez:

Vous pouvez voir le script en visitant + https: // getcaddy.com + dans votre navigateur ou en téléchargeant le fichier avec + wget ou` + curl` avant de l’exécuter.

Pendant l’installation, le script utilisera + sudo + pour obtenir les privilèges d’administrateur afin de placer les fichiers Caddy dans des répertoires système, afin de vous demander un mot de passe.

Le résultat de la commande ressemblera à ceci:

Une fois le script terminé, les fichiers binaires Caddy sont installés sur le serveur et prêts à être utilisés. Vous pouvez vérifier que les fichiers binaires Caddy ont été mis en place en utilisant + which + pour vérifier leur emplacement.

La sortie de la commande indiquera que le binaire Caddy se trouve dans + / usr / local / bin / caddy +.

Caddy ne crée aucune configuration à l’échelle du système lors de l’installation et ne s’installe pas lui-même en tant que service, ce qui signifie qu’il ne démarrera pas automatiquement au démarrage. Au cours des prochaines étapes, nous allons créer le compte utilisateur à utiliser avec Caddy, les fichiers dont Caddy a besoin pour fonctionner et installer son fichier de service.

Alors qu’Apache et Nginx, les deux serveurs HTTP les plus populaires, créent leurs propres utilisateurs sans privilèges lors de l’installation à partir de packages système, Caddy ne le fait pas. Pour des raisons de sécurité, il ne faut pas non plus démarrer avec le compte superutilisateur + root +. Dans cette étape, nous allons créer un utilisateur dédié nommé + caddy + qui sera uniquement utilisé pour exécuter Caddy et accéder à ses fichiers.

Pour créer un utilisateur nommé + caddy +, tapez:

Le commutateur + -r + transforme le compte nouvellement créé en un compte système, le commutateur + -d + indique le répertoire de base de cet utilisateur. Dans notre cas, il s’agira de + / var / www + que nous allons créer. plus tard. L’utilisateur non privilégié ne devrait pas pouvoir se connecter et accéder au shell du système, ce dont nous nous assurons avec le commutateur + -s + pour configurer le shell souhaité en + / sbin / nologin +, une commande système interdisant la connexion au système. Le dernier paramètre est le nom d’utilisateur lui-même - dans notre cas, ++.

Maintenant, lorsque l’utilisateur du serveur Web Caddy est disponible, nous pouvons configurer les répertoires nécessaires pour stocker les fichiers de configuration Caddy à l’étape suivante.

Le support TLS automatique de Caddy et le fichier d’unité (que nous installerons à la prochaine étape) s’attendent à ce que des répertoires et des fichiers particuliers existent avec des autorisations spécifiques. Nous les créerons tous dans cette étape.

Tout d’abord, créez un répertoire qui contiendra le fichier principal + Caddyfile +, qui est un fichier de configuration qui indique à Caddy quels sites Web doivent être utilisés et comment.

Changez le propriétaire de ce répertoire en utilisateur * root * et son groupe en * www-data * pour que Caddy puisse le lire.

Dans ce répertoire, créez un + Caddyfile + vide que nous éditerons plus tard.

Créez un autre répertoire dans + / etc / ssl +. Caddy en a besoin pour stocker les clés privées SSL et les certificats qu’il obtient automatiquement de Let’s Encrypt.

Caddy doit pouvoir écrire dans ce répertoire lorsqu’il obtient le certificat. Par conséquent, définissez le propriétaire comme utilisateur * caddy *. Vous pouvez laisser le groupe en tant que * root *, sans modification de la valeur par défaut:

Assurez-vous ensuite que personne d’autre ne peut lire ces fichiers en supprimant tous les droits d’accès des autres.

Le répertoire final que nous devons créer est celui où le site Web lui-même sera publié. Nous allons utiliser + / var / www +, qui est habituel et le chemin par défaut lorsque d’autres serveurs Web, tels qu’Apache ou Nginx, sont utilisés.

Ce répertoire devrait appartenir complètement à * caddy *.

Vous avez maintenant préparé l’environnement nécessaire à l’exécution de Caddy. Dans l’étape suivante, nous allons configurer Caddy en tant que service système pour garantir qu’il démarre au démarrage du système et qu’il peut être géré avec + systemctl +.

Bien que Caddy ne s’installe pas lui-même en tant que service, le projet fournit un fichier officiel https://www.digitalocean.com/community/tutorials/understanding-systemd-units-and-unit-files [+ systemd +]. Ce fichier assume la structure de répertoire que nous avons configurée à l’étape précédente. Assurez-vous donc que votre configuration correspond.

Téléchargez le fichier à partir du référentiel officiel Caddy. Le paramètre additionnel + -o + de la commande + curl + enregistre le fichier dans le répertoire + / etc / systemd / system / + et le rend visible dans + systemd +.

Avant de poursuivre, nous devons légèrement modifier le fichier pour qu’il utilise notre utilisateur + caddy + sans privilèges pour exécuter le serveur.

Ouvrons le fichier avec + vi + ou votre éditeur de texte préféré (voici un https://www.digitalocean.com/community/tutorials/installing-and-using-the-vim-text-editor-on-a-cloud -server # édition modale [brève introduction à + ​​vi +]

et trouvez le fragment responsable de la spécification du compte d’utilisateur et du groupe.

/etc/systemd/system/caddy.service

Changez les deux valeurs en + caddy + comme suit:

/etc/systemd/system/caddy.service

Enregistrez et fermez le fichier pour quitter. Le fichier de service est maintenant prêt à être utilisé avec notre installation. Indiquez + systemd + du nouveau fichier de service.

Ensuite, activez Caddy pour qu’il s’exécute au démarrage.

Vous pouvez vérifier que le service a été correctement chargé et activé pour démarrer au démarrage en vérifiant son statut.

La sortie devrait ressembler à ceci:

Plus précisément, il est indiqué que le service est * chargé * et * activé *, mais qu’il n’est pas encore en cours d’exécution. Nous ne lancerons pas le serveur pour l’instant car la configuration est encore incomplète.

Vous avez maintenant configuré Caddy en tant que service système qui démarrera automatiquement au démarrage sans avoir à l’exécuter manuellement. Ensuite, nous allons autoriser le trafic Web à travers le pare-feu.

Si vous avez également suivi le tutoriel 7traitement recommandé pour les nouveaux serveurs CentOS 7 et utilisez un pare-feu, nous devons ajouter manuellement des règles de pare-feu pour transmettre le trafic Internet à Caddy.

Caddy dessert des sites Web utilisant les protocoles HTTP et HTTPS. Nous devons donc autoriser l’accès aux ports appropriés afin de rendre Caddy disponible à partir d’Internet.

Lorsqu’elles sont exécutées, les trois commandes génèrent le message de succès suivant:

Cela permettra à Caddy de servir les sites Web aux visiteurs librement. Dans l’étape suivante, nous allons créer un exemple de page Web et mettre à jour le + Caddyfile + afin de le servir afin de tester l’installation de Caddy.

Commençons par créer une page HTML très simple qui affichera un message simple * Hello World! *. Cette commande créera un fichier + index.html + dans le répertoire du site Web créé précédemment avec une seule ligne de texte, + <h1> Hello World! </ H1> +, à l’intérieur.

Ensuite, nous allons compléter le + Caddyfile +. Le + Caddyfile +, dans sa forme la plus simple, consiste en un ou plusieurs server blocks qui définissent chacun la configuration d’un site Web. Un bloc de serveur commence par une définition d’adresse et est suivi d’accolades. À l’intérieur des accolades, vous pouvez inclure des directives de configuration à appliquer à ce site Web.

Une adresse definition est spécifiée sous la forme +: //: +. Caddy assumera lui-même certaines valeurs par défaut si vous laissez des champs vides. Par exemple, si vous spécifiez le protocole mais pas le port, ce dernier sera automatiquement dérivé (c.-à-d. le port + 80 + est supposé pour HTTP et le port + 443 + est supposé pour HTTPS). Les règles régissant le format de l’adresse sont décrites en détail dans la documentation officielle de Caddyfile.

Ouvrez le + Caddyfile + que vous avez créé à l’étape 2 en utilisant + vi + ou votre éditeur de texte préféré.

Coller dans le contenu suivant:

/ etc / caddy / Caddyfile

Enregistrez ensuite le fichier et quittez. Expliquons ce que fait ce + Caddyfile + spécifique.

Ici, nous utilisons +: // + pour la définition de l’adresse. Cela indique à Caddy qu’il doit lier le port + 80 + et traiter toutes les demandes à l’aide du protocole HTTP simple (sans cryptage TLS), quel que soit le nom de domaine utilisé pour se connecter au serveur. Cela vous permettra d’accéder aux sites Web que Caddy héberge en utilisant l’adresse IP de votre serveur.

À l’intérieur des accolades de notre bloc de serveur, il y a deux directives:

Une fois le fichier de configuration prêt, démarrez le service Caddy.

Nous pouvons maintenant tester si le site Web fonctionne. Pour cela, vous utilisez l’adresse IP publique de votre serveur. Si vous ne connaissez pas l’adresse IP de votre serveur, vous pouvez l’obtenir avec + curl -4 icanhazip.com +. Une fois que vous l’avez, visitez + http: // + dans votre navigateur préféré pour voir le site Web * Hello World! *.

Cela signifie que votre installation Caddy fonctionne correctement. Dans l’étape suivante, vous activerez une connexion sécurisée à votre site Web avec la prise en charge automatique TLS de Caddy.

L’une des principales caractéristiques qui distingue Caddy des autres serveurs Web est sa capacité à demander et à renouveler automatiquement les certificats TLS auprès de Let’s Encrypt, une autorité de certification gratuite. De plus, configurer Caddy pour qu’il serve automatiquement les sites Web sur une connexion sécurisée ne nécessite qu’un changement d’une ligne dans le + Caddyfile +.

Caddy se charge d’activer la connexion sécurisée HTTPS pour tous les blocs de serveur configurés et d’obtenir automatiquement les certificats nécessaires, dans la mesure où certaines exigences sont remplies par la configuration des blocs de serveur.

Pour que TLS fonctionne, les conditions suivantes doivent être remplies:

Si vous avez suivi ce didacticiel, la première condition est déjà remplie. Toutefois, l’adresse de blocage du serveur en cours est simplement configurée comme suit: "+: // +", définissant un schéma HTTP simple sans chiffrement ni nom de domaine. Nous n’avons pas non plus fourni à Caddy d’adresse e-mail requise par Let’s Encrypt lors de la demande de certificat. Si l’adresse n’est pas fournie dans la configuration, Caddy le demande lors du démarrage. Cependant, étant donné que Caddy est installé en tant que service système, il ne peut pas poser de questions au démarrage et, par conséquent, il ne démarrera pas correctement du tout.

Pour résoudre ce problème, ouvrez à nouveau le fichier + Caddyfile +.

Tout d’abord, remplacez la définition de l’adresse + http: // + par votre domaine. Cela supprime la connexion non sécurisée forcée par HTTP et fournit un nom de domaine pour le certificat TLS. Deuxièmement, fournissez une adresse électronique à Caddy à l’aide de la directive + tls + à l’intérieur du bloc serveur.

Le fichier + Caddyfile + modifié devrait ressembler à ceci, avec votre domaine et votre adresse e-mail remplacés par:

/ etc / caddy / Caddyfile

Enregistrez le fichier et quittez l’éditeur. Pour appliquer les modifications, redémarrez Caddy.

Dirigez maintenant votre navigateur sur + https: // + pour vérifier si les modifications ont été appliquées correctement. Si tel est le cas, vous devriez à nouveau voir la page * Hello World! *. Cette fois, vous pouvez vérifier que le site Web est servi avec HTTPS en consultant l’URL ou un symbole de verrou dans la barre d’URL.

Vous avez maintenant configuré Caddy pour desservir correctement votre site Web via une connexion TLS sécurisée. Il obtiendra et renouvellera automatiquement les certificats auprès de Let’s Encrypt, servira votre site via une connexion sécurisée utilisant le nouveau protocole HTTP / 2 et réduira le temps de chargement grâce à la compression gzip.

Ceci est un exemple simple pour démarrer avec Caddy. Pour en savoir plus sur les fonctionnalités uniques et les directives de configuration de Caddy pour le + Caddyfile + dans la official documentation Caddy.