在 Ubuntu 18.04 上使用 Let’s Encrypt 來保護 Nginx

Let’s Encrypt 是由 Internet Security Research Group（ISRG）開發的免費開放證書頒發機構。 今天幾乎所有瀏覽器都信任 Let’s Encrypt 頒發的證書。

在本教程中，我們將提供有關如何使用 Ubuntu 18.04 上的 certbot 工具使用 Let’s Encrypt 來保護您的 Nginx 的分步說明。

準備條件

在繼續本教程之前，請確保您已滿足以下先決條件：

• 您有一個指向公共服務器 IP 的域名。 在本教程中，我們將使用 example.com。
• 您按照這些說明安裝了 Nginx 。
• 您有一個適用于您的域的服務器塊。 您可以按照本文獲取有關如何創建一個的詳細信息。

安裝 Certbot

Certbot 是一個功能齊全且易于使用的工具，可以自動完成獲取和更新 Let’s Encrypt SSL證書以及配置Web服務器以使用它們的任務。 certbot 包包含在默認的 Ubuntu 存儲庫中。

更新軟件包列表并安裝 certbot 軟件包：

sudo apt update  sudo apt install certbot

生成強Dh（Diffie-Hellman）組

Diffie-Hellman 密鑰交換（DH）是一種在不安全的通信信道上安全地交換密碼密鑰的方法。 我們將生成一組新的 2048 位 DH 參數以加強安全性：

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

如果您愿意，可以將大小更改為 4096 位，但在這種情況下，生成可能需要超過 30 分鐘，具體取決于系統熵。

獲取Let’s Encrypt SSL證書

要獲得我們域的 SSL 證書，我們將使用 Webroot 插件，該插件通過在 ${webroot-path}/。熟知 /acme-challenge 目錄和Let的加密中為請求的域創建臨時文件來工作。 驗證服務器發出 HTTP 請求以驗證所請求域的DNS是否解析為運行 certbot 的服務器。

為了使它更簡單，我們將把 .well-known/acme-challenge 的所有 HTTP 請求映射到單個目錄 / var/lib/letsencrypt。

以下命令將創建目錄并使其可以為 Nginx 服務器寫入。

mkdir -p /var/lib/letsencrypt/.well-known  chgrp www-data /var/lib/letsencrypt  chmod g+s /var/lib/letsencrypt

為避免重復代碼，請創建以下兩個片段，我們將在所有Nginx服務器塊文件中包含這些片段。

打開文本編輯器并創建第一個片段 letsencrypt.conf：

sudo nano /etc/nginx/snippets/letsencrypt.conf

/etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ {    allow all;    root /var/lib/letsencrypt/;    default_type "text/plain";    try_files $uri =404;  }

創建第二個代碼段 .conf，其中包括 Mozilla 推薦的削片機，支持 OCSP Stapling，HTTP 嚴格傳輸安全（HSTS）并強制執行少數以安全為中心的 HTTP 頭。

sudo nano /etc/nginx/snippets/ssl.conf

/etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem;  ssl_session_timeout 1d;  ssl_session_cache shared:SSL:50m;  ssl_session_tickets off;    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';  ssl_prefer_server_ciphers on;    ssl_stapling on;  ssl_stapling_verify on;  resolver 8.8.8.8 8.8.4.4 valid=300s;  resolver_timeout 30s;    add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";  add_header X-Frame-Options SAMEORIGIN;  add_header X-Content-Type-Options nosniff;

創建片段后，打開域服務器塊并包含 letsencrypt.conf 片段，如下所示：

/etc/nginx/sites-available/example.com

server {    listen 80;    server_name example.com www.example.com;      include snippets/letsencrypt.conf;  }

重新加載 Nginx 配置以使更改生效：

sudo systemctl reload nginx

您現在可以使用 webroot 插件運行 Certbot 并通過發出以下命令獲取 SSL 證書文件：

sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

如果成功獲得 SSL 證書，certbot 將打印以下消息：

IMPORTANT NOTES:   - Congratulations! Your certificate and chain have been saved at:     /etc/letsencrypt/live/example.com/fullchain.pem     Your key file has been saved at:     /etc/letsencrypt/live/example.com/privkey.pem     Your cert will expire on 2018-07-28. To obtain a new or tweaked     version of this certificate in the future, simply run certbot     again. To non-interactively renew *all* of your certificates, run     "certbot renew"   - Your account credentials have been saved in your Certbot     configuration directory at /etc/letsencrypt. You should make a     secure backup of this folder now. This configuration directory will     also contain certificates and private keys obtained by Certbot so     making regular backups of this folder is ideal.   - If you like Certbot, please consider supporting our work by:       Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate     Donating to EFF:                    https://eff.org/donate-le

現在您已擁有證書文件，您可以按如下方式編輯域服務器塊：

sudo nano /etc/nginx/sites-available/example.com

/etc/nginx/sites-available/example.com

server {      listen 80;      server_name www.example.com example.com;        include snippets/letsencrypt.conf;      return 301 https://$host$request_uri;  }    server {      listen 443 ssl http2;      server_name www.example.com;        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;      ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;      ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;      include snippets/ssl.conf;      include snippets/letsencrypt.conf;        return 301 https://example.com$request_uri;  }    server {      listen 443 ssl http2;      server_name example.com;        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;      ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;      ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;      include snippets/ssl.conf;      include snippets/letsencrypt.conf;        # . . . other code  }

通過上面的配置，我們強制 HTTPS 并從 www 重定向到非 www 版本。

重新加載 Nginx 服務以使更改生效：

sudo systemctl reload nginx

自動續訂讓我們加密 SSL 證書

我們的加密證書有效期為90天。 要在證書過期之前自動續訂證書，certbo t包會創建一個 cronjob，每天運行兩次，并在到期前30天自動續訂任何證書。

由于我們在續訂證書后使用 certbot webroot 插件，因此我們還必須重新加載 nginx 服務。 將 –renew-hook“systemctl reload nginx”附加到 /etc/cron.d/certbot 文件，使其如下所示：

sudo nano /etc/cron.d/certbot
0 */12 * * * root test -x /usr/bin/certbot -a ! -d /run/systemd/system && perl -e ‘sleep int(rand(3600))’ && certbot -q renew –renew-hook “systemctl reload nginx”

要測試續訂過程，可以使用 certbot –dry-run 開關：

sudo certbot renew --dry-run

如果沒有錯誤，則表示續訂過程成功。

總結

在本教程中，您使用了Let的加密客戶端 certbot 來下載域的 SSL 證書。 您還創建了 Nginx 代碼段以避免重復代碼并配置 Nginx 以使用證書。 在本教程結束時，您已設置了一個用于自動證書續訂的 cronjob。

如果您想了解有關如何使用 Certbot 的更多信息，他們的文檔是一個很好的學習地方。