Amankan nginx dengan mari mengenkripsi pada centos 8

Let's Encrypt adalah otoritas sertifikat gratis, otomatis, dan terbuka yang dikembangkan oleh Internet Security Research Group (ISRG) yang menyediakan sertifikat SSL gratis.

Sertifikat yang dikeluarkan oleh Let's Encrypt dipercaya oleh semua browser utama dan berlaku selama 90 hari sejak tanggal penerbitan.

Dalam tutorial ini, kami akan memberikan petunjuk langkah demi langkah tentang cara menginstal sertifikat SSL Enkripsi Ayo gratis di CentOS 8 yang menjalankan Nginx sebagai server web. Kami juga akan menunjukkan cara mengkonfigurasi Nginx untuk menggunakan sertifikat SSL dan mengaktifkan HTTP / 2.

Prasyarat

Sebelum Anda melanjutkan, pastikan bahwa Anda telah memenuhi prasyarat berikut:

• Anda memiliki nama domain yang menunjuk ke IP publik Anda. Kami akan menggunakan example.com . Anda telah menginstal Nginx di server CentOS Anda. Firewall Anda dikonfigurasi untuk menerima koneksi pada port 80 dan 443.

Menginstal Certbot

Certbot adalah alat baris perintah gratis yang menyederhanakan proses untuk memperoleh dan memperbarui Mari Enkripsi sertifikat SSL dari dan HTTPS yang mengaktifkan otomatis di server Anda.

Paket certbot tidak termasuk dalam repositori CentOS 8 standar, tetapi dapat diunduh dari situs web vendor.

Jalankan perintah wget berikut sebagai pengguna root atau sudo untuk mengunduh skrip certbot ke /usr/local/bin :

sudo wget -P /usr/local/bin

Setelah unduhan selesai, buat file tersebut dapat dieksekusi:

sudo chmod +x /usr/local/bin/certbot-auto

Membangkitkan Grup Dh (Diffie-Hellman) yang Kuat

Pertukaran kunci Diffie – Hellman (DH) adalah metode pertukaran kunci kriptografi yang aman melalui saluran komunikasi yang tidak aman.

Hasilkan satu set parameter DH 2048 bit baru dengan mengetik perintah berikut:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Memperoleh Mari Mengenkripsi sertifikat SSL

Untuk mendapatkan sertifikat SSL untuk domain, kita akan menggunakan plugin Webroot yang berfungsi dengan membuat file sementara untuk memvalidasi domain yang diminta dalam direktori ${webroot-path}/.well-known/acme-challenge . Server Let's Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta menyelesaikan ke server tempat certbot berjalan.

Untuk membuatnya lebih sederhana, kita akan memetakan semua permintaan HTTP untuk. .well-known/acme-challenge ke direktori tunggal, /var/lib/letsencrypt .

Perintah berikut akan membuat direktori dan membuatnya dapat ditulis untuk server Nginx.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp nginx /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Untuk menghindari duplikasi kode, buat dua snippet berikut yang akan dimasukkan dalam semua file blok server Nginx:

sudo mkdir /etc/nginx/snippets /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; } /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=63072000" always; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;

Cuplikan di atas termasuk chipper yang direkomendasikan oleh Mozilla, memungkinkan OCSP Stapling, HTTP Strict Transport Security (HSTS), dan menegakkan beberapa header HTTP yang berfokus pada keamanan.

Setelah potongan dibuat, buka blok server domain dan sertakan snippet letsencrypt.conf , seperti yang ditunjukkan di bawah ini:

/etc/nginx/conf.d/example.com.conf

server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }

Muat ulang konfigurasi Nginx agar perubahan diterapkan:

sudo systemctl reload nginx

Jalankan alat certbot dengan plugin webroot untuk mendapatkan file sertifikat SSL untuk domain Anda:

sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Jika ini pertama kali Anda memohon certbot , alat ini akan menginstal dependensi yang hilang.

Setelah sertifikat SSL berhasil diperoleh, certbot akan mencetak pesan berikut:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2020-03-12. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Sekarang Anda memiliki file sertifikat, Anda dapat mengedit blok server domain Anda sebagai berikut:

/etc/nginx/conf.d/example.com.conf

server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }

Dengan konfigurasi di atas, kami memaksa HTTPS dan mengalihkan versi www ke versi non www.

Terakhir, muat ulang layanan Nginx agar perubahan diterapkan:

sudo systemctl reload nginx

Sekarang, buka situs web Anda menggunakan https:// , dan Anda akan melihat ikon kunci hijau.

Perpanjangan otomatis Mari Enkripsi sertifikat SSL

Sertifikat Let's Encrypt berlaku selama 90 hari. Untuk secara otomatis memperbarui sertifikat sebelum habis masa berlakunya, buat cronjob yang akan berjalan dua kali sehari dan secara otomatis memperbarui sertifikat apa pun 30 hari sebelum kedaluwarsa.

Gunakan perintah crontab untuk membuat cronjob baru:

sudo crontab -e

Rekatkan baris berikut:

0 */12 * * * root test -x /usr/local/bin/certbot-auto -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && /usr/local/bin/certbot-auto -q renew --renew-hook "systemctl reload nginx"

Simpan dan tutup file.

Untuk menguji proses pembaruan, Anda dapat menggunakan perintah certbot diikuti oleh --dry-run switch:

sudo certbot renew --dry-run

Jika tidak ada kesalahan, itu berarti bahwa proses pembaruan tes berhasil.

Kesimpulan

Dalam tutorial ini, kami telah menunjukkan kepada Anda cara menggunakan klien Let's Encrypt, certbot untuk mengunduh sertifikat SSL untuk domain Anda. Kami juga membuat cuplikan Nginx untuk menghindari duplikasi kode dan mengonfigurasi Nginx untuk menggunakan sertifikat. Di akhir tutorial, kami telah menyiapkan cronjob untuk perpanjangan sertifikat otomatis.

Untuk mempelajari lebih lanjut tentang Certbot, kunjungi halaman dokumentasinya.

nginx centos mari kita mengenkripsi certbot ssl