Nginx By Example - Free Preview
Daftar Isi:
- Prasyarat
- Instal Certbot
- Hasilkan Grup Dh (Diffie-Hellman) yang Kuat
- Memperoleh Mari Mengenkripsi sertifikat SSL
- Perpanjangan otomatis Mari Enkripsi sertifikat SSL
- Kesimpulan
Let's Encrypt adalah otoritas sertifikat gratis dan terbuka yang dikembangkan oleh Internet Security Research Group (ISRG). Sertifikat yang dikeluarkan oleh Let's Encrypt dipercaya oleh hampir semua browser saat ini.
Dalam tutorial ini, kami akan menjelaskan cara menggunakan alat Certbot untuk mendapatkan sertifikat SSL gratis untuk Nginx pada Debian 9. Kami juga akan menunjukkan cara mengkonfigurasi Nginx untuk menggunakan sertifikat SSL dan mengaktifkan HTTP / 2.
Prasyarat
Pastikan prasyarat berikut dipenuhi sebelum melanjutkan dengan tutorial ini:
- Masuk sebagai pengguna dengan hak istimewa sudo. Punya nama domain yang menunjuk ke IP server publik Anda. Kami akan menggunakan
example.com. Sudah instal Nginx dengan mengikuti petunjuk ini. Anda memiliki blok server untuk domain Anda. Anda dapat mengikuti instruksi ini untuk perincian tentang cara membuatnya.
Instal Certbot
Certbot adalah alat berfitur lengkap dan mudah digunakan yang dapat mengotomatiskan tugas untuk memperoleh dan memperbarui Mari Enkripsi sertifikat SSL dan mengonfigurasi server web untuk menggunakan sertifikat. Paket certbot termasuk dalam repositori Debian default.
Perbarui daftar paket dan instal paket certbot:
sudo apt update
sudo apt install certbot
Hasilkan Grup Dh (Diffie-Hellman) yang Kuat
Pertukaran kunci Diffie – Hellman (DH) adalah metode pertukaran kunci kriptografi yang aman melalui saluran komunikasi yang tidak aman. Kami akan menghasilkan set parameter DH 2048 bit baru untuk memperkuat keamanan:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
Jika suka, Anda dapat mengubah ukuran hingga 4096 bit, tetapi dalam hal ini, pembuatannya dapat memakan waktu lebih dari 30 menit tergantung pada entropi sistem.
Memperoleh Mari Mengenkripsi sertifikat SSL
Untuk mendapatkan sertifikat SSL untuk domain kami, kami akan menggunakan plugin Webroot yang berfungsi dengan membuat file sementara untuk memvalidasi domain yang diminta dalam direktori
${webroot-path}/.well-known/acme-challenge
. Server Let's Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta menyelesaikan ke server tempat certbot berjalan.
Kita akan memetakan semua permintaan HTTP untuk.
.well-known/acme-challenge
ke satu direktori,
/var/lib/letsencrypt
.
Perintah berikut akan membuat direktori dan membuatnya dapat ditulis untuk server Nginx.
mkdir -p /var/lib/letsencrypt/.well-known
chgrp www-data /var/lib/letsencrypt
chmod g+s /var/lib/letsencrypt
Untuk menghindari duplikasi kode, buat dua snippet berikut yang akan dimasukkan dalam semua file blok server Nginx kami.
Buka editor teks Anda dan buat cuplikan pertama,
letsencrypt.conf
:
sudo nano /etc/nginx/snippets/letsencrypt.conf
/etc/nginx/snippets/letsencrypt.conf
location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; }
Buat snippet
ssl.conf
kedua yang mencakup chipper yang direkomendasikan oleh Mozilla, memungkinkan OCSP Stapling, HTTP Strict Transport Security (HSTS), dan memberlakukan beberapa header HTTP yang berfokus pada keamanan.
sudo nano /etc/nginx/snippets/ssl.conf
/etc/nginx/snippets/ssl.conf
ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;
Setelah selesai, buka file blok server domain dan sertakan snippet
letsencrypt.conf
seperti yang ditunjukkan di bawah ini:
sudo nano /etc/nginx/sites-available/example.com
/etc/nginx/sites-available/example.com
server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }
Aktifkan blok server baru dengan membuat tautan simbolis ke direktori yang
sites-enabled
:
sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/
Mulai ulang layanan Nginx agar perubahan diterapkan:
sudo systemctl restart nginx
Anda sekarang dapat menjalankan Certbot dengan plugin webroot dan mendapatkan file sertifikat SSL dengan menerbitkan:
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
Jika sertifikat SSL berhasil diperoleh, pesan berikut akan dicetak pada terminal Anda:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-07-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:
Selanjutnya, edit blok server domain sebagai berikut:
sudo nano /etc/nginx/sites-available/example.com
/etc/nginx/sites-available/example.com
server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }
Dengan konfigurasi di atas kami memaksa HTTPS dan mengalihkan dari versi www ke versi non-www.
Muat ulang layanan Nginx agar perubahan diterapkan:
Perpanjangan otomatis Mari Enkripsi sertifikat SSL
Sertifikat Let's Encrypt berlaku selama 90 hari. Untuk secara otomatis memperbarui sertifikat sebelum habis masa berlakunya, paket certbot membuat cronjob yang berjalan dua kali sehari dan secara otomatis memperbarui sertifikat apa pun 30 hari sebelum berakhirnya.
Karena kita menggunakan plug-in webroot certbot setelah sertifikat diperbarui, kita juga harus memuat ulang layanan nginx. Tambahkan
--renew-hook "systemctl reload nginx"
ke file
/etc/cron.d/certbot
sehingga terlihat seperti ini:
sudo nano /etc/cron.d/certbot
/etc/cron.d/certbot
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"
Uji proses pembaruan otomatis, dengan menjalankan perintah ini:
sudo certbot renew --dry-run
Jika tidak ada kesalahan, itu berarti proses pembaruan berhasil.
Kesimpulan
Memiliki sertifikat SSL adalah suatu keharusan saat ini. Ini mengamankan situs web Anda, meningkatkan posisi peringkat SERP, dan memungkinkan Anda untuk mengaktifkan HTTP / 2 di server web Anda.
Dalam tutorial ini, Anda menggunakan klien Let's Encrypt, certbot untuk menghasilkan sertifikat SSL untuk domain Anda. Anda juga telah membuat cuplikan Nginx untuk menghindari duplikasi kode dan mengonfigurasi Nginx untuk menggunakan sertifikat. Di akhir tutorial Anda telah menyiapkan cronjob untuk perpanjangan sertifikat otomatis.
nginx debian mari kita mengenkripsi certbot sslPosting ini adalah bagian dari Cara Memasang LEMP Stack pada seri Debian 9.
Posting lain dalam seri ini:
• Cara Memasang MariaDB di Ubuntu 18.04 • Cara Memasang Nginx di Debian 9 • Cara Memasang PHP di Debian 9 • Cara Mengatur Blok Server Nginx di Debian 9 • Mengamankan Nginx dengan Mari Mengenkripsi Debian 9Amankan nginx dengan mari mengenkripsi pada centos 7
Dalam tutorial ini, kami akan memberikan petunjuk langkah demi langkah tentang cara mengamankan Nginx Anda dengan Let's Encrypt menggunakan alat certbot di CentOS 7
Amankan nginx dengan mari mengenkripsi pada centos 8
Dalam tutorial ini, kami akan memberikan petunjuk langkah demi langkah tentang cara menginstal sertifikat SSL Enkripsi Ayo gratis di CentOS 8 yang menjalankan Nginx sebagai server web. Kami juga akan menunjukkan cara mengkonfigurasi Nginx untuk menggunakan sertifikat SSL dan mengaktifkan HTTP / 2.
Amankan nginx dengan mari mengenkripsi di debian 10 linux
Tutorial ini menunjukkan cara menginstal Mari kita Enkripsi sertifikat SSL pada Debian 10, Buster menjalankan Nginx sebagai server web. Kami juga akan menunjukkan cara mengkonfigurasi Nginx untuk menggunakan sertifikat SSL dan mengaktifkan HTTP / 2.