日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
在Ubuntu18.04上使用Let'sEncrypt來保護(hù)Nginx

Let's Encrypt 是由 Internet Security Research Group(ISRG)開發(fā)的免費開放證書頒發(fā)機(jī)構(gòu)。 今天幾乎所有瀏覽器都信任 Let's Encrypt 頒發(fā)的證書。

準(zhǔn)備條件

  • 您有一個指向公共服務(wù)器 IP 的域名。 在本教程中,我們將使用 example.com。
  • 您按照這些說明安裝了 Nginx 。
  • 您有一個適用于您的域的服務(wù)器塊。 您可以按照本文獲取有關(guān)如何創(chuàng)建一個的詳細(xì)信息。

安裝 Certbot

Certbot 是一個功能齊全且易于使用的工具,可以自動完成獲取和更新 Let's Encrypt SSL證書以及配置Web服務(wù)器以使用它們的任務(wù)。 certbot 包包含在默認(rèn)的 ubuntu 存儲庫中。

更新軟件包列表并安裝 certbot 軟件包:

sudo apt update
sudo apt install certbot

生成強(qiáng)Dh(Diffie-Hellman)組

Diffie-Hellman 密鑰交換(DH)是一種在不安全的通信信道上安全地交換密碼密鑰的方法。 我們將生成一組新的 2048 位 DH 參數(shù)以加強(qiáng)安全性:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

如果您愿意,可以將大小更改為 4096 位,但在這種情況下,生成可能需要超過 30 分鐘,具體取決于系統(tǒng)熵。

獲取Let's Encrypt SSL證書

要獲得我們域的 SSL 證書,我們將使用 Webroot 插件,該插件通過在 ${webroot-path}/。熟知 /acme-challenge 目錄和Let的加密中為請求的域創(chuàng)建臨時文件來工作。 驗證服務(wù)器發(fā)出 HTTP 請求以驗證所請求域的DNS是否解析為運行 certbot 的服務(wù)器。

為了使它更簡單,我們將把 .well-known/acme-challenge 的所有 HTTP 請求映射到單個目錄 / var/lib/letsencrypt。

以下命令將創(chuàng)建目錄并使其可以為 Nginx 服務(wù)器寫入。

mkdir -p /var/lib/letsencrypt/.well-known
chgrp www-data /var/lib/letsencrypt
chmod g+s /var/lib/letsencrypt

為避免重復(fù)代碼,請創(chuàng)建以下兩個片段,我們將在所有Nginx服務(wù)器塊文件中包含這些片段。

打開文本編輯器并創(chuàng)建第一個片段 letsencrypt.conf

sudo nano /etc/nginx/snippets/letsencrypt.conf

/etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ {
  allow all;
  root /var/lib/letsencrypt/;
  default_type "text/plain";
  try_files $uri =404;
}

創(chuàng)建第二個代碼段 .conf,其中包括 Mozilla 推薦的削片機(jī),支持 OCSP Stapling,HTTP 嚴(yán)格傳輸安全(HSTS)并強(qiáng)制執(zhí)行少數(shù)以安全為中心的 HTTP 頭。

sudo nano /etc/nginx/snippets/ssl.conf

/etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;

add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;

創(chuàng)建片段后,打開域服務(wù)器塊并包含 letsencrypt.conf 片段,如下所示:

/etc/nginx/sites-available/example.com

server {
  listen 80;
  server_name example.com www.example.com;

  include snippets/letsencrypt.conf;
}

重新加載 Nginx 配置以使更改生效:

sudo systemctl reload nginx

您現(xiàn)在可以使用 webroot 插件運行 Certbot 并通過發(fā)出以下命令獲取 SSL 證書文件:

sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

如果成功獲得 SSL 證書,certbot 將打印以下消息:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2018-07-28. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

現(xiàn)在您已擁有證書文件,您可以按如下方式編輯域服務(wù)器塊:

sudo nano /etc/nginx/sites-available/example.com

/etc/nginx/sites-available/example.com

server {
    listen 80;
    server_name www.example.com example.com;

    include snippets/letsencrypt.conf;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name www.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    return 301 https://example.com$request_uri;
}

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    # . . . other code
}

通過上面的配置,我們強(qiáng)制 HTTPS 并從 www 重定向到非 www 版本。

重新加載 Nginx 服務(wù)以使更改生效:

sudo systemctl reload nginx

自動續(xù)訂讓我們加密 SSL 證書

我們的加密證書有效期為90天。 要在證書過期之前自動續(xù)訂證書,certbo t包會創(chuàng)建一個 cronjob,每天運行兩次,并在到期前30天自動續(xù)訂任何證書。

由于我們在續(xù)訂證書后使用 certbot webroot 插件,因此我們還必須重新加載 nginx 服務(wù)。 將 --renew-hook“systemctl reload nginx”附加到 /etc/cron.d/certbot 文件,使其如下所示:

sudo nano /etc/cron.d/certbot
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"

要測試?yán)m(xù)訂過程,可以使用 certbot --dry-run 開關(guān):

sudo certbot renew --dry-run

如果沒有錯誤,則表示續(xù)訂過程成功。

總結(jié)

如果您想了解有關(guān)如何使用 Certbot 的更多信息,他們的文檔是一個很好的學(xué)習(xí)地方。


網(wǎng)站標(biāo)題:在Ubuntu18.04上使用Let'sEncrypt來保護(hù)Nginx
網(wǎng)址分享:http://www.dlmjj.cn/article/cocjhgp.html