Osigurajte nginx s šifriranjem na centos 7

Let's Encrypt je besplatno i otvoreno tijelo certifikata koje je razvila Internet Security Research Group (ISRG). Certifikati izdani Let's Encrypt vjeruju danas gotovo svim preglednicima.

U ovom ćemo vodiču dati korak po korak upute kako osigurati svoj Nginx pomoću alata Šifriraj pomoću alata certbot na CentOS 7.

Preduvjeti

Prije nastavka s ovim vodičem provjerite jeste li ispunili sljedeće preduvjete:

• Ime domene pokazuje na IP vašeg javnog poslužitelja. U ovom ćemo udžbeniku koristiti example.com . Omogućili ste EPEL spremište i instalirali Nginx slijedeći Kako instalirati Nginx na CentOS 7.

Instalirajte Certbot

Certbot je alat za jednostavno korištenje koji može automatizirati zadatke za dobivanje i obnavljanje Let's Encrypt SSL certifikata i konfiguriranje web poslužitelja.

Da biste instalirali certbot paket iz EPEL spremišta pokrenite:

sudo yum install certbot

Stvaranje snažne Dh (Diffie-Hellman) grupe

Razmjena ključeva Diffie-Hellman (DH) metoda je sigurne razmjene kriptografskih ključeva preko nezaštićenog komunikacijskog kanala.

Generirajte novi skup 2048-bitnih DH parametara upisivanjem sljedeće naredbe:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 Ako želite, možete promijeniti veličinu do 4096 bita, ali u tom slučaju generacija može potrajati više od 30 minuta, ovisno o entropiji sustava.

Dobivanje šifriramo SSL certifikat Let's Šifriraj

Za dobivanje SSL certifikata za našu domenu koristit ćemo Webroot dodatak koji djeluje stvaranjem privremene datoteke za provjeru tražene domene u ${webroot-path}/.well-known/acme-challenge direktoriju ${webroot-path}/.well-known/acme-challenge . Poslužitelj Let's Encrypt postavlja HTTP zahtjeve u privremenu datoteku kako bi potvrdio da se zatražena domena rješava na poslužitelju na kojem se pokreće certbot.

Da bismo to pojednostavili, /var/lib/letsencrypt ćemo sve HTTP zahtjeve za .well-known/acme-challenge u jedan direktorij, /var/lib/letsencrypt .

Sljedeće naredbe stvorit će direktorij i učiniti ga zapisljivim za Nginx poslužitelj.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp nginx /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt sudo chgrp nginx /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Da biste izbjegli dupliciranje koda, stvorite sljedeća dva isječka koja ćemo uključiti u sve naše blok datoteke Nginx poslužitelja:

sudo mkdir /etc/nginx/snippets /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; } /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;

Gornji isječak uključuje čipove koje preporučuje Mozilla, omogućava OCSP Stapanje, HTTP strogu transportnu sigurnost (HSTS) i primjenjuje nekoliko HTTP zaglavlja usmjerenih na sigurnost.

Nakon izrade isječaka otvorite blok poslužitelja domene i uključite isječak letsencrypt.conf kao što je prikazano u nastavku:

/etc/nginx/conf.d/example.com.conf

server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }

Ponovo učitajte konfiguraciju Nginx da bi promjene stupile na snagu:

sudo systemctl reload nginx

Sada možete pokrenuti Certbot s dodatkom webroot i dobiti SSL datoteke certifikata za vašu domenu izdavanjem:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Ako je SSL certifikat uspješno dobiven, certbot će ispisati sljedeću poruku:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-06-11. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Sada kada imate datoteke certifikata, možete urediti blok poslužitelja domene na sljedeći način:

/etc/nginx/conf.d/example.com.conf

server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }

S gornjom konfiguracijom forsiramo HTTPS i preusmjeravamo www na ne www verziju.

Na kraju, ponovno učitajte Nginx uslugu da bi promjene stupile na snagu:

sudo systemctl reload nginx

Automatska obnova Let's Šifriraj SSL certifikat

Neka šifriraju potvrde vrijede 90 dana. Da bismo automatski obnovili certifikate prije njihovog isteka, stvorit ćemo cronjob koji će se izvoditi dva puta dnevno i automatski će obnoviti bilo koji certifikat 30 dana prije njegovog isteka.

Pokrenite naredbu crontab da biste stvorili novi cronjob:

sudo crontab -e

Zalijepite sljedeće retke:

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"

Spremite i zatvorite datoteku.

Za testiranje postupka obnove možete upotrijebiti naredbu certbot nakon koje slijedi prekidač - sušenje --dry-run :

sudo certbot renew --dry-run

Ako nema pogrešaka, to znači da je postupak obnove testa bio uspješan.

Zaključak

U ovom su vodiču koristili klijent Let's Encrypt, certbot za preuzimanje SSL certifikata za vašu domenu. Također ste stvorili isječke Nginx-a kako biste izbjegli dupliciranje koda i konfigurirali Nginx za korištenje certifikata. Na kraju udžbenika postavili ste posao za automatsku obnovu certifikata.

nginx centos šifrirajmo certbot ssl

Ovaj je post dio Instaliraj LEMP stack na CentOS 7 seriji.

Ostali postovi u ovoj seriji:

• Kako instalirati Nginx na CentOS 7 • Osigurajte Nginx pomoću šifriranja na CentOS-u 7 • Instalirajte MariaDB na CentOS 7 • Instalirajte PHP 7 na CentOS 7 • Kako postaviti blokove poslužitelja Nginx na CentOS 7