如何在CentOS 7上使用Let's Encrypt加密Nginx
如何在CentOS 7上使用Let`s Encrypt加密Nginx
Let's Encrypt是由Internet Security Research Group(ISRG)開發的免費開放證書頒發機構。 今天幾乎所有瀏覽器都信任Let's Encrypt頒發的證書。
在本教程中,我們將提供有關如何使用CentOS 7上的certbot工具使用Let's Encrypt來保護您的Nginx服務的具體分步操作說明。
準備條件
在繼續本教程之前,請確保您已滿足以下先決條件:
您有一個指向公共伺服器IP的域名。 在本教程中,我們將使用example.com作為演示。
您已經啟用了EPEL儲存庫並通過
安裝Certbot
Certbot是一個易於使用的工具,可以自動完成獲取和更新Let的加密SSL證書和配置Web伺服器以使用它們的任務。
要從EPEL儲存庫執行安裝certbot包:
sudo yum install certbot
生成強Dh(Diffie-Hellman)組
Diffie-Hellman金鑰交換(DH)是一種在不安全的通訊通道上安全地交換密碼金鑰的方法。 我們將生成一組新的2048位DH引數以加強安全性:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
如果您願意,可以將大小更改為4096位,但在這種情況下,生成可能需要超過30分鐘,具體取決於系統熵。
獲取Let's Encrypt SSL證書
要獲取我們域的SSL證書,我們將使用Webroot外掛,該外掛的工作方式是在$ {webroot-path} /。熟知/ acme-challenge目錄中為請求的域建立臨時檔案。 Let的加密驗證伺服器發出HTTP請求,以驗證所請求域的DNS是否解析為執行certbot的伺服器。
為了使它更簡單,我們將把.well-known/acme-challenge的所有HTTP請求對映到單個目錄/var/ lib/letsencrypt。
以下命令將建立目錄並使其可以為Nginx伺服器寫入。
sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp nginx /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt
為避免重複程式碼,請建立以下兩個片段,我們將在所有Nginx伺服器塊檔案中包含這些片段:
sudo mkdir /etc/nginx/snippets
/etc/nginx/snippets/letsencrypt.conf
location ^~ /.well-known/acme-challenge/ {
allow all;
root /var/lib/letsencrypt/;
default_type "text/plain";
try_files $uri =404;
}
/etc/nginx/snippets/ssl.conf
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;
add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
上面的程式碼段包括Mozilla推薦的削片機,支援OCSP Stapling,HTTP嚴格傳輸安全(HSTS)並強制執行幾個以安全為中心的HTTP頭。
建立片段後,開啟域伺服器塊幷包含letsencrypt.conf片段,如下所示:
/etc/nginx/conf.d/example.com.confserver {
listen 80;
server_name example.com www.example.com;
include snippets/letsencrypt.conf;
}
重新載入Nginx配置以使更改生效:
sudo systemctl reload nginx
您現在可以使用webroot外掛執行Certbot並通過發出以下命令獲取SSL證書檔案:
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
如果成功獲得SSL證書,certbot將列印以下訊息:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2018-06-11. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
現在您已擁有證書檔案,您可以按如下方式編輯域伺服器塊:
/etc/nginx/conf.d/example.com.confserver {
listen 80;
server_name www.example.com example.com;
include snippets/letsencrypt.conf;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
return 301 https://example.com$request_uri;
}
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
# . . . other code
}
通過上面的配置,我們強制HTTPS並將www重定向到非www版本。
最後,重新載入Nginx服務以使更改生效:
sudo systemctl reload nginx
自動續訂讓我們加密SSL證書
我們的加密證書有效期為90天。 要在證書過期之前自動續訂證書,我們將建立一個每天執行兩次的cronjob,並在證書到期前30天自動續訂。
執行crontab命令以建立新的cronjob:
sudo crontab -e
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"
要測試續訂過程,可以使用certbot --dry-run開關:
sudo certbot renew --dry-run
如果沒有錯誤,則表示續訂過程成功。
總結
在本教程中,您使用了Let的加密客戶端certbot來下載域的SSL證書。 您還建立了Nginx程式碼段以避免重複程式碼並配置Nginx以使用證書。 在本教程結束時,您已設定了一個用於自動證書續訂的cronjob。
如果您想了解有關如何使用Certbot的更多資訊,可以閱讀Certbot文件。