V tomto tutoriálu vám ukážeme, jak nainstalovat a nakonfigurovat LetsEncrypt s Nginx na vašem serveru Ubuntu 15.04. Pro ty z vás, kteří to nevěděli, Let's Encrypt je bezplatný certifikát SSL poskytovatel, podporovaný velkými společnostmi a organizacemi, který poskytuje bezplatný, otevřený a automatizovaný systém pro snadné přidání šifrování založeného na SSL/TLS na webové stránky. Bohužel certifikáty LetsEncrypt.org mají v současné době životnost 3 měsíce. To znamená, že je potřeba si certifikát prozatím čtvrtletně obnovovat.
Tento článek předpokládá, že máte alespoň základní znalosti Linuxu, víte, jak používat shell, a co je nejdůležitější, hostujete své stránky na vlastním VPS. Instalace je poměrně jednoduchá. vás provede krok za krokem instalace LetsEncrypt SSL v Ubuntu 15.04.
Předpoklady
- Server s jedním z následujících operačních systémů:Ubuntu 15.04.
- Abyste předešli případným problémům, doporučujeme použít novou instalaci operačního systému.
- Přístup SSH k serveru (nebo stačí otevřít Terminál, pokud jste na počítači).
non-root sudo usernebo přístup kroot user. Doporučujeme jednat jakonon-root sudo user, protože však můžete poškodit svůj systém, pokud nebudete při jednání jako root opatrní.
Nainstalujte LetsEncrypt With Nginx na Ubuntu 15.04
Krok 1. Nejprve se ujistěte, že všechny vaše systémové balíčky jsou aktuální spuštěním následujícího apt-get příkazy v terminálu.
sudo apt-get update sudo apt-get upgrade
Krok 2. Nainstalujte server LEMP.
Je vyžadován server Ubuntu 15.04 LEMP. Pokud nemáte nainstalovaný LEMP, můžete postupovat podle našeho průvodce zde.
Krok 3. Instalace LetsEncrypt.
Klonování projektu LetsEncrypt git na váš server:
git clone https://github.com/letsencrypt/letsencrypt
Poté se změňte do složky projektu:
cd letsencrypt
Spuštěním níže uvedených příkazů vygenerujte certifikát SSL pro svůj web nebo blogy:
./letsencrypt-auto certonly -a standalone -d yourdomain.com -d www.yourdomain.com
Za předpokladu, že jste udělali vše správně, měli byste vidět toto:
LetsEncrypt ukládá své klíče do tohoto adresáře /etc/letsencrypt
Krok 3. Vygenerování klíče SSL a CSR.
Nejprve vytvořte adresář SSL pro hostování vašich certifikátů SSL.
mkdir /etc/nginx/ssl cd /etc/nginx/ssl
Potom podle níže uvedených kroků vygenerujte klíč serveru, žádost o podpis certifikátu a certifikát s vlastním podpisem. Pokud chcete nainstalovat důvěryhodný certifikát od důvěryhodné certifikační autority , pak budete muset odeslat kopii CSR certifikační autoritě, aby vygenerovala důvěryhodný certifikát.
Vytvořte soukromý klíč serveru a spusťte následující příkazy:
openssl genrsa -des3 -out server.key 2048
Potom spusťte níže uvedené příkazy pro vygenerování klíče žádosti o podpis certifikátu pomocí soukromého klíče serveru pro vytvoření certifikátu SSL:
openssl req -new -key server.key -out server.csr
Když spustíte výše uvedené příkazy, budete vyzváni k zodpovězení několika otázek. Postupujte podle jednoduchého průvodce níže:
- Běžný název: Plně kvalifikovaný název domény nebo adresa URL, kterou zajišťujete.
Pokud požadujete certifikát zástupných znaků, přidejte hvězdičku (*) nalevo od běžný název, kde chcete zástupný znak, například *.idroot.us . - Organizace:Legálně registrovaný název vaší firmy. Pokud se registrujete jako fyzická osoba, zadejte jméno žadatele o certifikát.
- Organizační jednotka: Pokud je to možné, zadejte název DBA (doing business as). Pokud zabezpečujete jeden blog, zadejte zde jméno vlastníka blogu.
- Město nebo lokalita: Název města, kde je vaše organizace registrována/umístěna.
- Stát nebo provincie: Název státu nebo provincie, kde se vaše organizace nachází.
- Země: Dvoupísmenný kód země ve formátu Mezinárodní organizace pro standardizaci (ISO), kde je vaše organizace legálně registrována.
Krok 4. Konfigurace Nginx pro použití certifikátu SSL.
Nyní musíme nakonfigurovat NGINX tak, aby přijímal naše certifikáty a přesměrovával naše požadavky jiné než HTTPS na HTTPS. Příklad konfigurace pro webový server Nginx je následující:
listen 443 ssl spdy; listen [::]:443 ssl spdy; ssl on; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; # # ssl_session_cache shared:SSL:10m; ssl_protocols TLSv1.1 TLSv1.2; # # ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK'; # # ssl_prefer_server_ciphers on; add_header Strict-Transport-Security max-age=15768000; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=86400; resolver_timeout 10;
Uložte konfiguraci a restartujte webový server Nginx:
nginx -t systemctl restart nginx
Vaše doména by nyní měla být přístupná přes HTTPS! Podívejte se na https://yourdomain.com.
Blahopřejeme! Úspěšně jste nainstalovali LetsEncrypt. Děkujeme, že jste použili tento návod k instalaci LetsEncrypt SSL s Nginx na vašem systému Ubuntu 15.04. Pro další nápovědu nebo užitečné informace vám doporučujeme zkontrolovat oficiální LetsEncrypt SSL webové stránky.