V tomto tutoriálu vám ukážeme, jak nainstalovat Let's Encrypt SSL pro Nginx na Ubuntu 18.04 LTS. Pro ty z vás, kteří nevěděli, Let's Encrypt je bezplatná otevřená certifikační autorita ( CA), která poskytuje bezplatné certifikáty pro webové stránky a další služby. Služba je podporována organizacemi Electronic Frontier Foundation, Mozilla, Cisco Systems a Akamai. Certifikáty LetsEncrypt.org mají v současnosti bohužel 3 měsíce životnosti. To znamená, že budete muset obnovte svůj certifikát prozatím čtvrtletně.
Tento článek předpokládá, že máte alespoň základní znalosti Linuxu, víte, jak používat shell, a co je nejdůležitější, hostujete svůj web na vlastním VPS. Instalace je poměrně jednoduchá a předpokládá, že běží v účtu root, pokud ne, možná budete muset přidat 'sudo ‘ k příkazům pro získání oprávnění root. Ukážu vám krok za krokem instalaci Let’s Encrypt SSL for Nginx na serveru Ubuntu 18.04 LTS.
Předpoklady
- Server s jedním z následujících operačních systémů:Ubuntu 18.04.
- Abyste předešli případným problémům, doporučujeme použít novou instalaci operačního systému.
- Přístup SSH k serveru (nebo stačí otevřít Terminál, pokud jste na počítači).
non-root sudo usernebo přístup kroot user. Doporučujeme jednat jakonon-root sudo user, protože však můžete poškodit svůj systém, pokud nebudete při jednání jako root opatrní.
Nainstalujte Let's Encrypt SSL pro Nginx na Ubuntu 18.04 LTS Bionic Beaver
Krok 1. Nejprve se ujistěte, že všechny vaše systémové balíčky jsou aktuální, spuštěním následujícího apt-get příkazy v terminálu.
apt-get update apt-get upgrade
Krok 2. Instalace Let’s Encrypt SSL na Ubuntu 18.04 LTS.
Nejprve přidejte Certbota do úložiště:
sudo add-apt-repository ppa:certbot/certbot sudo apt update sudo apt install python-certbot-nginx
Krok 3. Nastavte název domény na blok serveru.
Certbot automatizuje konfiguraci SSL pro Nginx vyhledáním direktivy server_name, která odpovídá doméně, pro kterou požadujete certifikát. Pokud jste direktivu server_name již nakonfigurovali dříve můžete přeskočit na krok 4.
Krok 4. Vygenerujte certifikáty pomocí Certbot.
Za prvé, nyní můžeme generovat certifikáty pomocí Certbot. Nahraďte idroot.us svou vlastní doménou:
sudo certbot --nginx -d idroot.us -d www.idroot.us
Zadejte e-mailovou adresu, na které vás můžeme kontaktovat v případě naléhavého obnovení a upozornění na zabezpečení:
Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must agree in order to register with the ACME server at https://acme-v01.api.letsencrypt.org/directory ------------------------------------------------------------------------------- (A)gree/(C)ancel:
Stisknutím tlačítka a a ENTER souhlasíte s podmínkami služby:
Would you be willing to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about EFF and our work to encrypt the web, protect its users and defend digital rights. ------------------------------------------------------------------------------- (Y)es/(N)o:
Stisknutím kláves n a ENTER nesdílíte svou e-mailovou adresu s EFF:
Obtaining a new certificate Performing the following challenges: http-01 challenge for idroot.us http-01 challenge for idroot.us Waiting for verification... Cleaning up challenges Deploying Certificate to VirtualHost /etc/nginx/sites-enabled/default Deploying Certificate to VirtualHost /etc/nginx/sites-enabled/default
Pokud budete úspěšní, budete si moci vybrat mezi povolením přístupu HTTP i https nebo vynucením přesměrování všech požadavků na https:
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access. ------------------------------------------------------------------------------- 1: No redirect - Make no further changes to the webserver configuration. 2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for new sites, or if you're confident your site works on HTTPS. You can undo this change by editing your web server's configuration. ------------------------------------------------------------------------------- Select the appropriate number [1-2] then [enter] (press 'c' to cancel):
Stiskněte 2 a ENTER pro přesměrování HTTP provozu na HTTPS:
Redirecting all traffic on port 80 to ssl in /etc/nginx/sites-enabled/default Redirecting all traffic on port 80 to ssl in /etc/nginx/sites-enabled/default ------------------------------------------------------------------------------- Congratulations! You have successfully enabled https://idroot.us and https://www.idroot.us You should test your configuration at: https://www.ssllabs.com/ssltest/analyze.html?d=idroot.us https://www.ssllabs.com/ssltest/analyze.html?d=www.idroot.us ------------------------------------------------------------------------------- IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/idroot.us/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/idroot.us/privkey.pem Your cert will expire on 2018-12-05. To obtain a new or tweaked version of this certificate in the future, simply run certbot again with the "certonly" option. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Krok 5. Nastavte automatické obnovení Let’s Encrypt.
Certifikáty Let's Encrypt jsou platné 3 měsíce, je třeba je pravidelně kontrolovat a obnovovat. Certbot se automaticky spustí dvakrát denně a obnoví jakýkoli certifikát, který je do třiceti dnů vypršení platnosti:
sudo certbot renew --dry-run
Blahopřejeme! Úspěšně jste nainstalovali Let's Encrypt. Děkujeme, že jste použili tento návod k instalaci Let's Encrypt SSL na Ubuntu 18.04 LTS Bionic Beaver. Pro další pomoc nebo užitečné informace vám doporučujeme navštívit oficiální Let's Encrypt website.