Вступление
Let’s Encrypt - это центр сертификации (CA), который предоставляет простой способ получения и установки бесплатных https://www.digitalocean.com/community/tutorials/openssl-essentials-working-with-ssl-certificates-private-keys-and -csrs [TLS / SSL сертификаты], включающий зашифрованный HTTPS на веб-серверах. Это упрощает процесс, предоставляя программный клиент Certbot, который пытается автоматизировать большинство (если не все) необходимых шагов. В настоящее время весь процесс получения и установки сертификата полностью автоматизирован как в Apache, так и в Nginx.
В этом руководстве вы будете использовать Certbot для получения бесплатного SSL-сертификата для Nginx в Debian 10 и настройки автоматического обновления вашего сертификата.
В этом руководстве вместо файла по умолчанию будет использоваться отдельный файл блока сервера Nginx. We рекомендуем создание новых файлов блоков сервера Nginx для каждого домена, поскольку это помогает избежать распространенных ошибок и поддерживает файлы по умолчанию в качестве резервной конфигурации.
Предпосылки
Чтобы следовать этому уроку, вам понадобится:
-
Один сервер Debian 10, настроенный по следующему учебному руководству ininer Server для Debian 10, а также `+ sudo + `не-root пользователь и брандмауэр.
-
Полностью зарегистрированное доменное имя. Вы можете приобрести доменное имя на https://namecheap.com [Namecheap], получить его бесплатно на Freenom или использовать регистратор домена по вашему выбору. ,
-
Обе следующие записи DNS настроены для вашего сервера. Вы можете следить за this вводной информацией о DNS DigitalOcean для получения подробной информации о том, как их добавить.
-
Запись A с
++, указывающая на публичный IP-адрес вашего сервера. -
Запись A с
+ www. +, Указывающая на публичный IP-адрес вашего сервера. -
Nginx устанавливается следующим образом: Как установить Nginx в Debian 10. Убедитесь, что у вас есть https://www.digitalocean.com/community/tutorials/how-to-install-nginx-on-debian-10#step-5-%E2%80%93-setting-up-server -блокирует [блок сервера] для вашего домена. В этом руководстве в качестве примера будет использоваться
+ / etc / nginx / sites-available / +.
Шаг 1 - Установка Certbot
Первым шагом к использованию Let Encrypt для получения SSL-сертификата является установка программного обеспечения Certbot на ваш сервер.
Установка https://packages.debian.org/buster/python3-certbot-nginx [+ python3-certbot-nginx + package] из репозиториев Debian позволит нам установить и использовать Cerbot https: //certbot.eff. org / docs / using.html # nginx [плагин nginx]. Работа с Python 3 и пакетом + python3-certbot-nginx + увеличивает срок службы нашей установки: Python 2 будет deprecated к январю 2020 г. Таким образом, наша установка обеспечивает совместимость с Python 3. В настоящее время Debian 10 поддерживает как Python 2, так и Python 3.
Перед установкой пакета + python3-certbot-nginx + обновите список пакетов:
sudo apt updateЗатем установите зависимости для пакета + python3-certbot-nginx +, который включает в себя + python3-acme +, + python3-certbot +, + python3-mock +, + python3-openssl +, + пакеты python3-pkg-resources + `, + python3-pyparsing + и + python3-zope.interface + `:
sudo apt install python3-acme python3-certbot python3-mock python3-openssl python3-pkg-resources python3-pyparsing python3-zope.interfaceНаконец, установите пакет + python3-certbot-nginx +:
sudo apt install python3-certbot-nginxCertbot теперь готов к использованию, но для того, чтобы настроить SSL для Nginx, нам нужно проверить некоторые настройки Nginx.
Шаг 2 - Подтверждение конфигурации Nginx
Certbot должен иметь возможность найти правильный блок + server + в вашей конфигурации Nginx, чтобы он мог автоматически настраивать SSL. В частности, он делает это путем поиска директивы + server_name +, которая соответствует вашему запрашиваемому домену.
Если вы следовали https://www.digitalocean.com/community/tutorials/how-to-install-nginx-on-debian-10#step-5-%E2%80%93-setting-up-server-blocks [шаг настройки блока сервера в руководстве по установке Nginx], у вас должен быть блок сервера для вашего домена в + / etc / nginx / sites-available / + с директивой + server_name +, которая уже установлена соответствующим образом.
Чтобы проверить, откройте файл блокировки сервера для своего домена, используя + nano + или ваш любимый текстовый редактор:
sudo nano /etc/nginx/sites-available/Найдите существующую строку + server_name +. Это должно выглядеть так:
/ И т.д. / Nginx / сайты Недоступные / your_domain
...
server_name www.;
...Если это произойдет, выйдите из редактора и перейдите к следующему шагу.
Если это не так, обновите его, чтобы соответствовать. Затем сохраните файл, выйдите из редактора и проверьте синтаксис изменений конфигурации:
sudo nginx -tЕсли вы получили ошибку, снова откройте файл блока сервера и проверьте, нет ли опечаток или пропущенных символов. Как только синтаксис файла конфигурации будет правильным, перезагрузите Nginx, чтобы загрузить новую конфигурацию:
sudo systemctl reload nginxТеперь Certbot может найти правильный блок + server + и обновить его.
Далее, давайте обновим брандмауэр, чтобы разрешить HTTPS-трафик.
Шаг 3 - Разрешение HTTPS через брандмауэр
Если у вас включен брандмауэр + ufw +, как рекомендовано в руководствах по предварительным требованиям, вам необходимо изменить настройки, чтобы разрешить трафик HTTPS.
Вы можете увидеть текущие настройки, набрав:
sudo ufw statusВероятно, это будет выглядеть так, что означает, что веб-серверу разрешен только HTTP-трафик:
OutputStatus: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Nginx HTTP ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Nginx HTTP (v6) ALLOW Anywhere (v6)Чтобы разрешить HTTPS-трафик, разрешите профиль + Nginx Full + и удалите избыточный допуск профиля + Nginx HTTP +:
sudo ufw allow 'Nginx Full'
sudo ufw delete allow 'Nginx HTTP'Ваш статус должен выглядеть следующим образом:
sudo ufw statusOutputStatus: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Nginx Full ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Nginx Full (v6) ALLOW Anywhere (v6)Далее, давайте запустим Certbot и получим наши сертификаты.
Шаг 4 - Получение SSL-сертификата
Certbot предоставляет различные способы получения SSL-сертификатов через плагины. Плагин Nginx позаботится о перенастройке Nginx и перезагрузке конфигурации при необходимости. Чтобы использовать этот плагин, введите следующее:
sudo certbot --nginx -d -dОн запускает + certbot + с плагином + - nginx +, используя + -d +, чтобы указать имена, для которых мы хотим, чтобы сертификат был действительным.
Если вы впервые запускаете + certbot +, вам будет предложено ввести адрес электронной почты и принять условия обслуживания. После этого + certbot + свяжется с сервером Let Encrypt, а затем запустит запрос, чтобы убедиться, что вы контролируете домен, для которого запрашиваете сертификат.
В случае успеха + certbot + спросит, как бы вы хотели настроить параметры HTTPS.
OutputPlease choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):Выберите ваш выбор, затем нажмите + ENTER. Конфигурация будет обновлена, и Nginx перезагрузится, чтобы подобрать новые настройки. + certbot + завершит с сообщением о том, что процесс прошел успешно и где хранятся ваши сертификаты:
OutputIMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live//fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live//privkey.pem
Your cert will expire on 2019-10-08. To obtain a new or tweaked
version of this certificate in the future, simply run certbot again
with the "certonly" option. To non-interactively renew *all* of
your certificates, run "certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-leВаши сертификаты загружены, установлены и загружены. Попробуйте перезагрузить ваш сайт с помощью + https: // + и обратите внимание на индикатор безопасности вашего браузера. Это должно означать, что сайт защищен должным образом, обычно с зеленым значком замка. Если вы протестируете свой сервер с помощью SSL Labs Server Test, он получит оценку * A *.
Давайте закончим тестированием процесса обновления.
Шаг 5 - Проверка автообновления Certbot
Сертификаты Let’s Encrypt действительны только в течение девяноста дней. Это должно стимулировать пользователей автоматизировать процесс обновления их сертификатов. Пакет + certbot +, который мы установили, позаботится об этом, добавив скрипт обновления в + / etc / cron.d +. Этот скрипт запускается два раза в день и автоматически обновляет любой сертификат, срок действия которого истекает в течение тридцати дней.
Чтобы проверить процесс обновления, вы можете выполнить пробный прогон с помощью + certbot +:
sudo certbot renew --dry-runЕсли вы не видите ошибок, все готово. При необходимости Certbot обновит ваши сертификаты и перезагрузит Nginx, чтобы получить изменения. Если процесс автоматического продления не удастся, Let’s Encrypt отправит сообщение на указанный вами адрес электронной почты, предупреждая вас, когда ваш сертификат скоро истечет.
Заключение
В этом руководстве вы установили клиент Let Encrypt + certbot +, загрузили SSL-сертификаты для своего домена, настроили Nginx для использования этих сертификатов и настроили автоматическое обновление сертификатов. Если у вас есть дополнительные вопросы по использованию Certbot, their документация - хорошее место для начала.