在 Ubuntu 18.04 上使用 Let’s Encrypt 來保護(hù) Nginx

Let’s Encrypt 是由 Internet Security Research Group（ISRG）開發(fā)的免費(fèi)開放證書頒發(fā)機(jī)構(gòu)。 今天幾乎所有瀏覽器都信任 Let’s Encrypt 頒發(fā)的證書。

在本教程中，我們將提供有關(guān)如何使用 Ubuntu 18.04 上的 certbot 工具使用 Let’s Encrypt 來保護(hù)您的 Nginx 的分步說明。

準(zhǔn)備條件

在繼續(xù)本教程之前，請(qǐng)確保您已滿足以下先決條件：

• 您有一個(gè)指向公共服務(wù)器 IP 的域名。 在本教程中，我們將使用 example.com。
• 您按照這些說明安裝了 Nginx 。
• 您有一個(gè)適用于您的域的服務(wù)器塊。 您可以按照本文獲取有關(guān)如何創(chuàng)建一個(gè)的詳細(xì)信息。

安裝 Certbot

Certbot 是一個(gè)功能齊全且易于使用的工具，可以自動(dòng)完成獲取和更新 Let’s Encrypt SSL證書以及配置Web服務(wù)器以使用它們的任務(wù)。 certbot 包包含在默認(rèn)的 Ubuntu 存儲(chǔ)庫中。

更新軟件包列表并安裝 certbot 軟件包：

sudo apt update  sudo apt install certbot

生成強(qiáng)Dh（Diffie-Hellman）組

Diffie-Hellman 密鑰交換（DH）是一種在不安全的通信信道上安全地交換密碼密鑰的方法。 我們將生成一組新的 2048 位 DH 參數(shù)以加強(qiáng)安全性：

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

如果您愿意，可以將大小更改為 4096 位，但在這種情況下，生成可能需要超過 30 分鐘，具體取決于系統(tǒng)熵。

獲取Let’s Encrypt SSL證書

要獲得我們域的 SSL 證書，我們將使用 Webroot 插件，該插件通過在 ${webroot-path}/。熟知 /acme-challenge 目錄和Let的加密中為請(qǐng)求的域創(chuàng)建臨時(shí)文件來工作。 驗(yàn)證服務(wù)器發(fā)出 HTTP 請(qǐng)求以驗(yàn)證所請(qǐng)求域的DNS是否解析為運(yùn)行 certbot 的服務(wù)器。

為了使它更簡單，我們將把 .well-known/acme-challenge 的所有 HTTP 請(qǐng)求映射到單個(gè)目錄 / var/lib/letsencrypt。

以下命令將創(chuàng)建目錄并使其可以為 Nginx 服務(wù)器寫入。

mkdir -p /var/lib/letsencrypt/.well-known  chgrp www-data /var/lib/letsencrypt  chmod g+s /var/lib/letsencrypt

為避免重復(fù)代碼，請(qǐng)創(chuàng)建以下兩個(gè)片段，我們將在所有Nginx服務(wù)器塊文件中包含這些片段。

打開文本編輯器并創(chuàng)建第一個(gè)片段 letsencrypt.conf：

sudo nano /etc/nginx/snippets/letsencrypt.conf

/etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ {    allow all;    root /var/lib/letsencrypt/;    default_type "text/plain";    try_files $uri =404;  }

創(chuàng)建第二個(gè)代碼段 .conf，其中包括 Mozilla 推薦的削片機(jī)，支持 OCSP Stapling，HTTP 嚴(yán)格傳輸安全（HSTS）并強(qiáng)制執(zhí)行少數(shù)以安全為中心的 HTTP 頭。

sudo nano /etc/nginx/snippets/ssl.conf

/etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem;  ssl_session_timeout 1d;  ssl_session_cache shared:SSL:50m;  ssl_session_tickets off;    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';  ssl_prefer_server_ciphers on;    ssl_stapling on;  ssl_stapling_verify on;  resolver 8.8.8.8 8.8.4.4 valid=300s;  resolver_timeout 30s;    add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";  add_header X-Frame-Options SAMEORIGIN;  add_header X-Content-Type-Options nosniff;

創(chuàng)建片段后，打開域服務(wù)器塊并包含 letsencrypt.conf 片段，如下所示：

/etc/nginx/sites-available/example.com

server {    listen 80;    server_name example.com www.example.com;      include snippets/letsencrypt.conf;  }

重新加載 Nginx 配置以使更改生效：

sudo systemctl reload nginx

您現(xiàn)在可以使用 webroot 插件運(yùn)行 Certbot 并通過發(fā)出以下命令獲取 SSL 證書文件：

sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

如果成功獲得 SSL 證書，certbot 將打印以下消息：

IMPORTANT NOTES:   - Congratulations! Your certificate and chain have been saved at:     /etc/letsencrypt/live/example.com/fullchain.pem     Your key file has been saved at:     /etc/letsencrypt/live/example.com/privkey.pem     Your cert will expire on 2018-07-28. To obtain a new or tweaked     version of this certificate in the future, simply run certbot     again. To non-interactively renew *all* of your certificates, run     "certbot renew"   - Your account credentials have been saved in your Certbot     configuration directory at /etc/letsencrypt. You should make a     secure backup of this folder now. This configuration directory will     also contain certificates and private keys obtained by Certbot so     making regular backups of this folder is ideal.   - If you like Certbot, please consider supporting our work by:       Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate     Donating to EFF:                    https://eff.org/donate-le

現(xiàn)在您已擁有證書文件，您可以按如下方式編輯域服務(wù)器塊：

sudo nano /etc/nginx/sites-available/example.com

/etc/nginx/sites-available/example.com

server {      listen 80;      server_name www.example.com example.com;        include snippets/letsencrypt.conf;      return 301 https://$host$request_uri;  }    server {      listen 443 ssl http2;      server_name www.example.com;        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;      ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;      ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;      include snippets/ssl.conf;      include snippets/letsencrypt.conf;        return 301 https://example.com$request_uri;  }    server {      listen 443 ssl http2;      server_name example.com;        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;      ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;      ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;      include snippets/ssl.conf;      include snippets/letsencrypt.conf;        # . . . other code  }

通過上面的配置，我們強(qiáng)制 HTTPS 并從 www 重定向到非 www 版本。

重新加載 Nginx 服務(wù)以使更改生效：

sudo systemctl reload nginx

自動(dòng)續(xù)訂讓我們加密 SSL 證書

我們的加密證書有效期為90天。 要在證書過期之前自動(dòng)續(xù)訂證書，certbo t包會(huì)創(chuàng)建一個(gè) cronjob，每天運(yùn)行兩次，并在到期前30天自動(dòng)續(xù)訂任何證書。

由于我們?cè)诶m(xù)訂證書后使用 certbot webroot 插件，因此我們還必須重新加載 nginx 服務(wù)。 將 –renew-hook“systemctl reload nginx”附加到 /etc/cron.d/certbot 文件，使其如下所示：

sudo nano /etc/cron.d/certbot
0 */12 * * * root test -x /usr/bin/certbot -a ! -d /run/systemd/system && perl -e ‘sleep int(rand(3600))’ && certbot -q renew –renew-hook “systemctl reload nginx”

要測(cè)試?yán)m(xù)訂過程，可以使用 certbot –dry-run 開關(guān)：

sudo certbot renew --dry-run

如果沒有錯(cuò)誤，則表示續(xù)訂過程成功。

總結(jié)

在本教程中，您使用了Let的加密客戶端 certbot 來下載域的 SSL 證書。 您還創(chuàng)建了 Nginx 代碼段以避免重復(fù)代碼并配置 Nginx 以使用證書。 在本教程結(jié)束時(shí)，您已設(shè)置了一個(gè)用于自動(dòng)證書續(xù)訂的 cronjob。

如果您想了解有關(guān)如何使用 Certbot 的更多信息，他們的文檔是一個(gè)很好的學(xué)習(xí)地方。