Säkra nginx med låt oss kryptera på ubuntu 16.04

Let's Encrypt är en fri och öppen certifikatutfärdare utvecklad av Internet Security Research Group (ISRG). Certifikat som utfärdas av Let's Encrypt litar på nästan alla webbläsare idag.

I den här tutorialen kommer vi att ge steg för steg instruktioner om hur du säkra din Nginx med Let's Encrypt med certbot-verktyget på Ubuntu 16.04.

förutsättningar

Se till att du har uppfyllt följande förutsättningar innan du fortsätter med denna handledning:

• Du har ett domännamn som pekar på din offentliga server-IP. I denna handledning kommer vi att använda example.com Du har Nginx installerat genom att följa Hur du installerar Nginx på Ubuntu 16.04.

Installera Certbot

Certbot är ett verktyg skriven i python som kan automatisera uppgifterna för att få och förnya Let's Encrypt SSL-certifikat och konfigurera webbservrar.

Installera först software-properties-common paketet som ger verktyget add-apt-repository som behövs för att lägga till ytterligare PPA-filer.

Uppdatera paketindex och installera software-properties-common med:

sudo apt update sudo apt install software-properties-common

När installationen är klar lägger du till certbot PPA-lagret i ditt system med följande kommando:

sudo add-apt-repository ppa:certbot/certbot

Uppdatera paketlistan och installera certbot-paketet:

sudo apt update sudo apt install certbot

Generera Strong Dh (Diffie-Hellman) -gruppen

Diffie – Hellman nyckelutbyte (DH) är en metod för att säkert utbyta kryptografiska nycklar över en osäker kommunikationskanal. Generera en ny uppsättning 2048-bitars DH-parametrar för att stärka säkerheten:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 Om du vill kan du ändra storleken upp till 4096 bitar, men i så fall kan generationen ta mer än 30 minuter beroende på systemets entropi.

Få ett SSL-certifikat för Let's Encrypt

För att få ett SSL-certifikat för vår domän kommer vi att använda Webroot-plugin som fungerar genom att skapa en tillfällig fil för validering av den begärda domänen i ${webroot-path}/.well-known/acme-challenge katalogen. Let's Encrypt-servern gör HTTP-förfrågningar till den tillfälliga filen för att bekräfta att den begärda domänen löses till servern där certbot körs.

För att göra det enklare kommer vi att kartlägga alla HTTP-begäranden för .well-known/acme-challenge till en enda katalog, /var/lib/letsencrypt .

Följande kommandon skapar katalogen och gör den skrivbar för Nginx-servern.

mkdir -p /var/lib/letsencrypt/.well-known chgrp www-data /var/lib/letsencrypt chmod g+s /var/lib/letsencrypt

För att undvika kopiering av kod skapar du följande två utdrag som vi kommer att inkludera i alla våra Nginx-serverblockfiler.

/etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; } /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;

Utdraget ovan innehåller chippers rekommendation från Mozilla, möjliggör OCSP-häftappning, HTTP Strict Transport Security (HSTS) och upprätthåller få säkerhetsfokuserade

När utdragen har skapats öppnar du domänserverns block och inkluderar letsencrypt.conf som visas nedan:

/etc/nginx/sites-available/example.com.conf

server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }

Aktivera serverblocket genom att skapa en symbolisk länk från sites-available för sites-enabled :

sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf

Ladda om Nginx-konfigurationen så att ändringar träder i kraft:

sudo systemctl reload nginx

Kör certbot-skriptet med webroot-plugin och skaffa SSL-certifikatfiler:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Om SSL-certifikatet erhålls framgångsrikt kommer certbot att skriva ut följande meddelande:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-04-23. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Nu när vi har certifikatfilerna kan du redigera domänserverblocket enligt följande:

/etc/nginx/sites-available/example.com.conf

server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }

Med konfigurationen ovan tvingar vi HTTPS och omdirigerar www versionen av domänen till non www versionen.

Ladda om Nginx-tjänsten så att ändringar träder i kraft:

sudo systemctl reload nginx

SSL-certifikat automatisk förnyelse

Let's Encrypts certifikat är giltiga i 90 dagar. För att automatiskt förnya certifikaten innan de löper ut, skapar certbot-paketet en cronjob som körs två gånger om dagen och automatiskt förnyar alla certifikat 30 dagar innan det löper ut.

Eftersom vi använder certbot webroot plug-in när certifikatet har förnyats måste vi också ladda om nginx-tjänsten. Så här lägger du till - --renew-hook "systemctl reload nginx" till filen /etc/cron.d/certbot så att den ser ut så här:

/etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"

För att testa förnyelseprocessen använder du certbot - --dry-run omkopplaren:

sudo certbot renew --dry-run

Om det inte finns några fel betyder det att förnyelseprocessen var framgångsrik.

Slutsats

I den här handledningen använde du Let's Let's Encrypt-klienten, certbot för att få SSL-certifikat för din domän. Du har också skapat Nginx-utdrag för att undvika kodduplikering och konfigurerat Nginx för att använda certifikaten. I slutet av självstudien har du skapat en cronjob för automatisk förnyelse av certifikat.

nginx ubuntu låt oss kryptera certbot ssl