Ασφαλίστε το nginx με την κρυπτογράφηση του debian 9

Το Let's Encrypt είναι μια ελεύθερη και ανοιχτή αρχή πιστοποίησης που αναπτύχθηκε από την ομάδα έρευνας για την ασφάλεια στο Internet (ISRG). Τα πιστοποιητικά που εκδίδονται από το Let's Encrypt εμπιστεύονται σήμερα σχεδόν όλα τα προγράμματα περιήγησης.

Σε αυτό το σεμινάριο θα σας εξηγήσουμε πώς να χρησιμοποιήσετε το εργαλείο Certbot για να αποκτήσετε δωρεάν πιστοποιητικό SSL για το Nginx στο Debian 9. Θα δείξουμε επίσης πώς να διαμορφώσετε το Nginx για να χρησιμοποιήσετε το πιστοποιητικό SSL και να ενεργοποιήσετε το HTTP / 2.

Προϋποθέσεις

Βεβαιωθείτε ότι πληρούνται οι ακόλουθες προϋποθέσεις πριν συνεχίσετε με αυτό το σεμινάριο:

• Συνδεθήκατε ως χρήστης με δικαιώματα sudo.Have ένα όνομα τομέα που δείχνει στο δημόσιο διακομιστή σας IP. Θα χρησιμοποιήσουμε το example.com .Have Nginx εγκατεστημένο ακολουθώντας αυτές τις οδηγίες. Έχετε ένα μπλοκ διακομιστή για τον τομέα σας. Μπορείτε να ακολουθήσετε αυτές τις οδηγίες για λεπτομέρειες σχετικά με τον τρόπο δημιουργίας ενός.

Εγκαταστήστε το Certbot

Το Certbot είναι ένα πλήρως εξοπλισμένο και εύκολο στη χρήση εργαλείο που μπορεί να αυτοματοποιήσει τις εργασίες για την απόκτηση και την ανανέωση του Let's Encrypt SSL certificates και της διαμόρφωσης web servers για τη χρήση των πιστοποιητικών. Το πακέτο certbot περιλαμβάνεται στα προεπιλεγμένα αποθετήρια του Debian.

Ενημερώστε τη λίστα των πακέτων και εγκαταστήστε το πακέτο certbot:

sudo apt update sudo apt install certbot

Δημιουργήστε ομάδα ισχυρών Dh (Diffie-Hellman)

Η ανταλλαγή πλήκτρων Diffie-Hellman (DH) είναι μια μέθοδος ασφαλούς ανταλλαγής κρυπτογραφικών κλειδιών πάνω σε ένα μη ασφαλισμένο κανάλι επικοινωνίας. Θα δημιουργήσουμε ένα νέο σύνολο παραμέτρων 2048 bit DH για την ενίσχυση της ασφάλειας:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 Εάν θέλετε μπορείτε να αλλάξετε το μέγεθος έως και 4096 bits, αλλά στην περίπτωση αυτή, η παραγωγή μπορεί να διαρκέσει περισσότερο από 30 λεπτά, ανάλογα με την εντροπία του συστήματος.

Αποκτώντας πιστοποιητικό SSL

Για να αποκτήσετε ένα πιστοποιητικό SSL για τον τομέα μας, θα χρησιμοποιήσουμε την προσθήκη Webroot, η οποία λειτουργεί δημιουργώντας ένα προσωρινό αρχείο για την επικύρωση του ζητούμενου τομέα στο ${webroot-path}/.well-known/acme-challenge του ${webroot-path}/.well-known/acme-challenge . Ο διακομιστής "Ας κρυπτογραφήσει" κάνει αιτήσεις HTTP στο προσωρινό αρχείο για να επιβεβαιώσει ότι ο ζητούμενος τομέας επιλύεται στο διακομιστή όπου τρέχει το certbot.

Θα χαρτογραφήσουμε όλα τα αιτήματα HTTP για .well-known/acme-challenge σε ένα μόνο κατάλογο, /var/lib/letsencrypt .

Οι ακόλουθες εντολές θα δημιουργήσουν τον κατάλογο και θα το καταστήσουν εγγράψιμο για τον διακομιστή Nginx.

mkdir -p /var/lib/letsencrypt/.well-known chgrp www-data /var/lib/letsencrypt chmod g+s /var/lib/letsencrypt

Για να αποφύγετε την αναπαραγωγή κώδικα, δημιουργήστε τα ακόλουθα δύο αποσπάσματα που θα συμπεριληφθούν σε όλα τα αρχεία μπλοκ διακομιστή Nginx.

Ανοίξτε τον επεξεργαστή κειμένου και δημιουργήστε το πρώτο απόσπασμα, letsencrypt.conf :

sudo nano /etc/nginx/snippets/letsencrypt.conf /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; }

Δημιουργήστε το δεύτερο snippet ssl.conf που περιλαμβάνει τα τσιπς που συνιστώνται από το Mozilla, επιτρέπει τη σύνδεση στο OCSP, το HTTP Strict Transport Security (HSTS) και επιβάλλει ελάχιστες κεφαλίδες HTTP που εστιάζουν στην ασφάλεια.

sudo nano /etc/nginx/snippets/ssl.conf /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;

Μόλις ολοκληρωθεί, ανοίξτε το αρχείο μπλοκ διακομιστή τομέα και συμπεριλάβετε το απόσπασμα letsencrypt.conf όπως φαίνεται παρακάτω:

sudo nano /etc/nginx/sites-available/example.com /etc/nginx/sites-available/example.com

server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }

Ενεργοποιήστε το νέο μπλοκ διακομιστή δημιουργώντας έναν συμβολικό σύνδεσμο στον κατάλογο με sites-enabled :

sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/

Κάντε επανεκκίνηση της υπηρεσίας Nginx για να εφαρμοστούν οι αλλαγές:

sudo systemctl restart nginx

Τώρα μπορείτε να εκτελέσετε το Certbot με το plugin webroot και να αποκτήσετε τα αρχεία πιστοποιητικών SSL εκδίδοντας:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Αν το πιστοποιητικό SSL έχει ληφθεί με επιτυχία, θα εκτυπωθεί στο τερματικό σας το ακόλουθο μήνυμα:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-07-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Στη συνέχεια, επεξεργαστείτε το μπλοκ διακομιστή τομέα ως εξής:

sudo nano /etc/nginx/sites-available/example.com /etc/nginx/sites-available/example.com

server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }

Με τη διαμόρφωση παραπάνω αναγκάζουμε το HTTPS και ανακατευθύνουμε από το www σε μη-www έκδοση.

Επαναφόρτωση της υπηρεσίας Nginx για να εφαρμοστούν οι αλλαγές:

sudo systemctl reload nginx

Αυτόματη ανανέωση Ας κρυπτογραφήσουμε το πιστοποιητικό SSL

Τα πιστοποιητικά της Κρυπτογράφησης ισχύουν για 90 ημέρες. Για να ανανεώσετε αυτόματα τα πιστοποιητικά πριν λήξουν, το πακέτο certbot δημιουργεί ένα cronjob που εκτελείται δύο φορές την ημέρα και ανανεώνει αυτόματα κάθε πιστοποιητικό 30 ημέρες πριν από τη λήξη του.

Δεδομένου ότι χρησιμοποιούμε την προσθήκη certbot webroot μόλις το πιστοποιητικό ανανεωθεί, πρέπει επίσης να φορτώσουμε ξανά την υπηρεσία nginx. Προσθέστε --renew-hook "systemctl reload nginx" στο αρχείο /etc/cron.d/certbot έτσι ώστε να μοιάζει με αυτό:

sudo nano /etc/cron.d/certbot /etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"

Ελέγξτε τη διαδικασία αυτόματης ανανέωσης, εκτελώντας αυτήν την εντολή:

sudo certbot renew --dry-run

Εάν δεν υπάρχουν σφάλματα, σημαίνει ότι η διαδικασία ανανέωσης ήταν επιτυχής.

συμπέρασμα

Έχοντας ένα πιστοποιητικό SSL είναι απαραίτητη σήμερα. Ασφαλίζει τον ιστότοπό σας, αυξάνει τη θέση κατάταξης SERP και σας επιτρέπει να ενεργοποιήσετε το HTTP / 2 στο διακομιστή ιστού σας.

Σε αυτό το σεμινάριο, χρησιμοποιήσατε τον πελάτη Let's Encrypt, certbot για την έκδοση πιστοποιητικών SSL για τον τομέα σας. Έχετε επίσης δημιουργήσει αποσπάσματα Nginx για να αποφύγετε την αναπαραγωγή κώδικα και να ρυθμίσετε το Nginx για να χρησιμοποιήσετε τα πιστοποιητικά. Στο τέλος του μαθήματος έχετε ρυθμίσει ένα cronjob για αυτόματη ανανέωση πιστοποιητικού.

nginx debian ας κρυπτογραφήσουμε το certbot ssl

Αυτή η ανάρτηση αποτελεί μέρος του "How to Install LEMP Stack" στο Debian 9 series.

Άλλες θέσεις αυτής της σειράς:

• Πώς να εγκαταστήσετε το MariaDB στο Ubuntu 18.04 • Πώς να εγκαταστήσετε το Nginx στο Debian 9 • Τρόπος εγκατάστασης της PHP στο Debian 9 • Πώς να ρυθμίσετε τα μπλοκ διακομιστών Nginx στο Debian 9 • Ασφαλής Nginx με την κρυπτογράφηση του Debian 9