Amankan nginx dengan mari mengenkripsi di debian 10 linux

Let's Encrypt adalah otoritas sertifikat gratis, otomatis, dan terbuka yang dikembangkan oleh Internet Security Research Group (ISRG) yang menyediakan sertifikat SSL gratis.

Sertifikat yang dikeluarkan oleh Let's Encrypt dipercaya oleh semua browser utama dan berlaku selama 90 hari sejak tanggal penerbitan.

Tutorial ini menunjukkan cara menginstal Mari kita Enkripsi sertifikat SSL pada Debian 10, Buster menjalankan Nginx sebagai server web. Kami juga akan menunjukkan cara mengkonfigurasi Nginx untuk menggunakan sertifikat SSL dan mengaktifkan HTTP / 2.

Prasyarat

Pastikan prasyarat berikut dipenuhi sebelum melanjutkan dengan panduan ini:

• Masuk sebagai root atau pengguna dengan hak sudo. Domain tempat Anda ingin mendapatkan sertifikat SSL harus mengarah ke IP server publik Anda. Kami akan menggunakan example.com .Nginx diinstal.

Menginstal Certbot

Kami akan menggunakan alat certbot untuk mendapatkan dan memperbarui sertifikat.

Certbot adalah alat berfitur lengkap dan mudah digunakan yang mengotomatiskan tugas-tugas untuk memperoleh dan memperbarui Mari Enkripsi sertifikat SSL dan mengonfigurasi server web untuk menggunakan sertifikat.

Paket certbot termasuk dalam repositori Debian default. Jalankan perintah berikut untuk menginstal certbot:

sudo apt update sudo apt install certbot

Membangkitkan Grup Dh (Diffie-Hellman)

Pertukaran kunci Diffie – Hellman (DH) adalah metode pertukaran kunci kriptografi yang aman melalui saluran komunikasi yang tidak aman.

Kami akan menghasilkan set parameter DH 2048 bit baru untuk memperkuat keamanan:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Anda juga dapat mengubah ukuran hingga 4096 bit, tetapi pembuatannya dapat memakan waktu lebih dari 30 menit tergantung pada entropi sistem.

Memperoleh Mari Mengenkripsi sertifikat SSL

Untuk mendapatkan sertifikat SSL untuk domain, kita akan menggunakan plugin Webroot. Ini bekerja dengan membuat file sementara untuk memvalidasi domain yang diminta dalam direktori ${webroot-path}/.well-known/acme-challenge . Server Let's Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta menyelesaikan ke server tempat certbot berjalan.

Kita akan memetakan semua permintaan HTTP untuk. .well-known/acme-challenge ke satu direktori, /var/lib/letsencrypt .

Jalankan perintah berikut untuk membuat direktori dan membuatnya dapat ditulis untuk server Nginx:

mkdir -p /var/lib/letsencrypt/.well-known chgrp www-data /var/lib/letsencrypt chmod g+s /var/lib/letsencrypt

Untuk menghindari duplikasi kode, kami akan membuat dua snippet yang akan dimasukkan dalam semua file blok server Nginx.

Buka editor teks Anda dan buat cuplikan pertama, letsencrypt.conf :

sudo nano /etc/nginx/snippets/letsencrypt.conf /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; }

Cuplikan kedua ssl.conf termasuk chipper yang direkomendasikan oleh Mozilla, memungkinkan OCSP Stapling, HTTP Strict Transport Security (HSTS), dan memberlakukan beberapa header HTTP yang berfokus pada keamanan.

sudo nano /etc/nginx/snippets/ssl.conf /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=63072000" always; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;

Setelah selesai, buka file blok server domain dan sertakan snippet letsencrypt.conf seperti yang ditunjukkan di bawah ini:

sudo nano /etc/nginx/sites-available/example.com /etc/nginx/sites-available/example.com

server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }

Buat tautan simbolis ke direktori yang sites-enabled untuk mengaktifkan blok server domain:

sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/

Mulai ulang layanan Nginx agar perubahan diterapkan:

sudo systemctl restart nginx

Anda sekarang siap untuk mendapatkan file sertifikat SSL dengan menjalankan perintah berikut:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Jika sertifikat SSL berhasil diperoleh, pesan berikut akan dicetak pada terminal Anda:

IMPORTANT NOTES: IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2020-02-22. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Edit blok server domain dan sertakan file sertifikat SSL sebagai berikut:

sudo nano /etc/nginx/sites-available/example.com /etc/nginx/sites-available/example.com

server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }

Konfigurasi di atas memberitahu Nginx untuk mengalihkan dari HTTP ke HTTPS dan dari www ke versi non-www.

Mulai ulang atau muat ulang layanan Nginx agar perubahan diterapkan:

sudo systemctl restart nginx

Buka situs web Anda menggunakan https:// , dan Anda akan melihat ikon kunci hijau.

Perpanjangan otomatis Mari Enkripsi sertifikat SSL

Sertifikat Let's Encrypt berlaku selama 90 hari. Untuk secara otomatis memperbarui sertifikat sebelum habis masa berlakunya, paket certbot membuat cronjob yang berjalan dua kali sehari dan secara otomatis memperbarui sertifikat apa pun 30 hari sebelum berakhirnya.

Pada saat perpanjangan, layanan nginx harus dimuat ulang agar server memuat sertifikat. Tambahkan --renew-hook "systemctl reload nginx" ke file /etc/cron.d/certbot sehingga terlihat seperti ini:

sudo nano /etc/cron.d/certbot /etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"

Uji proses pembaruan otomatis, dengan menjalankan perintah ini:

sudo certbot renew --dry-run

Jika tidak ada kesalahan, itu berarti proses pembaruan berhasil.

Kesimpulan

Memiliki sertifikat SSL adalah suatu keharusan saat ini. Ini mengamankan situs web Anda, meningkatkan posisi peringkat SERP, dan memungkinkan Anda untuk mengaktifkan HTTP / 2 di server web Anda.

Dalam tutorial ini, kami telah menunjukkan kepada Anda cara membuat dan memperbarui sertifikat SSL menggunakan skrip certbot. Kami juga telah menunjukkan kepada Anda cara mengkonfigurasi Nginx untuk menggunakan sertifikat.

Untuk mempelajari lebih lanjut tentang Certbot, kunjungi dokumentasi Certbot.

nginx debian mari kita mengenkripsi certbot ssl