2. 程式人生 > >如何在CentOS 7上使用Let's Encrypt加密Nginx

如何在CentOS 7上使用Let's Encrypt加密Nginx

阿新 發佈:2018-12-11

如何在CentOS 7上使用Let`s Encrypt加密Nginx如何在CentOS 7上使用Let`s Encrypt加密Nginx

Let's Encrypt是由Internet Security Research Group(ISRG)開發的免費開放證書頒發機構。 今天幾乎所有瀏覽器都信任Let's Encrypt頒發的證書。

在本教程中,我們將提供有關如何使用CentOS 7上的certbot工具使用Let's Encrypt來保護您的Nginx服務的具體分步操作說明。

準備條件

在繼續本教程之前,請確保您已滿足以下先決條件:

您有一個指向公共伺服器IP的域名。 在本教程中,我們將使用example.com作為演示。

您已經啟用了EPEL儲存庫並通過

如何在CentOS 7上安裝Nginx來完成了安裝Nginx。

安裝Certbot

Certbot是一個易於使用的工具,可以自動完成獲取和更新Let的加密SSL證書和配置Web伺服器以使用它們的任務。

要從EPEL儲存庫執行安裝certbot包:

sudo yum install certbot

生成強Dh(Diffie-Hellman)組

Diffie-Hellman金鑰交換(DH)是一種在不安全的通訊通道上安全地交換密碼金鑰的方法。 我們將生成一組新的2048位DH引數以加強安全性:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
如果您願意,可以將大小更改為4096位,但在這種情況下,生成可能需要超過30分鐘,具體取決於系統熵。

獲取Let's Encrypt SSL證書

要獲取我們域的SSL證書,我們將使用Webroot外掛,該外掛的工作方式是在$ {webroot-path} /。熟知/ acme-challenge目錄中為請求的域建立臨時檔案。 Let的加密驗證伺服器發出HTTP請求,以驗證所請求域的DNS是否解析為執行certbot的伺服器。

為了使它更簡單,我們將把.well-known/acme-challenge的所有HTTP請求對映到單個目錄/var/ lib/letsencrypt。

以下命令將建立目錄並使其可以為Nginx伺服器寫入。

sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp nginx /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt

為避免重複程式碼,請建立以下兩個片段,我們將在所有Nginx伺服器塊檔案中包含這些片段:

sudo mkdir /etc/nginx/snippets
/etc/nginx/snippets/letsencrypt.conf 
location ^~ /.well-known/acme-challenge/ {
  allow all;
  root /var/lib/letsencrypt/;
  default_type "text/plain";
  try_files $uri =404;
}
/etc/nginx/snippets/ssl.conf 
ssl_dhparam /etc/ssl/certs/dhparam.pem;

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;

add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;

上面的程式碼段包括Mozilla推薦的削片機,支援OCSP Stapling,HTTP嚴格傳輸安全(HSTS)並強制執行幾個以安全為中心的HTTP頭。

建立片段後,開啟域伺服器塊幷包含letsencrypt.conf片段,如下所示:

/etc/nginx/conf.d/example.com.conf 
server {
  listen 80;
  server_name example.com www.example.com;

  include snippets/letsencrypt.conf;
}

重新載入Nginx配置以使更改生效:

sudo systemctl reload nginx

您現在可以使用webroot外掛執行Certbot並通過發出以下命令獲取SSL證書檔案:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

如果成功獲得SSL證書,certbot將列印以下訊息:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2018-06-11. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

現在您已擁有證書檔案,您可以按如下方式編輯域伺服器塊:

/etc/nginx/conf.d/example.com.conf 
server {
    listen 80;
    server_name www.example.com example.com;

    include snippets/letsencrypt.conf;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name www.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    return 301 https://example.com$request_uri;
}

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    # . . . other code
}

通過上面的配置,我們強制HTTPS並將www重定向到非www版本。

最後,重新載入Nginx服務以使更改生效:

sudo systemctl reload nginx

自動續訂讓我們加密SSL證書

我們的加密證書有效期為90天。 要在證書過期之前自動續訂證書,我們將建立一個每天執行兩次的cronjob,並在證書到期前30天自動續訂。

執行crontab命令以建立新的cronjob:

sudo crontab -e
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"

要測試續訂過程,可以使用certbot --dry-run開關:

sudo certbot renew --dry-run

如果沒有錯誤,則表示續訂過程成功。

總結

在本教程中,您使用了Let的加密客戶端certbot來下載域的SSL證書。 您還建立了Nginx程式碼段以避免重複程式碼並配置Nginx以使用證書。 在本教程結束時,您已設定了一個用於自動證書續訂的cronjob。

如果您想了解有關如何使用Certbot的更多資訊,可以閱讀Certbot文件

相關推薦

如何在CentOS 7使用Let's Encrypt加密Nginx

如何在CentOS 7上使用Let`s Encrypt加密Nginx Let's Encrypt是由Internet Security Research Group(ISRG)開發的免費開放證書頒發機構。 今天幾乎所有瀏覽器都信任Let's Encrypt頒發的證書。 在本教程中,我們將

CentOS 7配置Lets Encrypt支持免費泛域名證書

證書 token rep -h clas oot serve 執行 details Let’s Encrypt從2018年開始支持泛域名證書,有效期3個月,目前僅支持acme方式申請,暫不支持certbot。 1、安裝acme.sh curl https://get.ac

lets encryptnginx-https沒有小鎖

body img header pos secure str javascrip bubuko port 1、使用let‘s encrypt 加密後的nginx,訪問的時候,發現沒有小鎖,chrome中: 火狐瀏覽器上: 會看到如上信息,這是因為css、圖片或

Configuring your server to provide HTTPS using Let's Encrypt and Nginx

OK, let's start with some definitions and then we start with the magic steps:Let's encrypt: is a certificate authority (CA) that provides free digital cert

使用 Let's EncryptNginx 從同一伺服器託管多個 HTTPS 域名

現在網站越來越需要 HTTPS,而這正是順應了發展趨勢。Chrome 現已將帶有密碼或信用卡欄位的 HTTP 網站明確標記為“不安全的”。在過去的一年裡,我一直在將我的客戶端網站切換到 HTTPS 上。事實證明,作為系統管理員的工作總是這樣做,也存在與此相關的隱藏的挑戰。

CentOS下使用Let's Encrypt獲取證書

在CentOS下使用Let’s Encrypt獲取證書 環境 -CentOS 6.5 -Apache Tomcat 7.0.81 -Apache httpd 2.2.15 -Python 2.6.6 步驟 1.從Certbot中獲取

centos 下安裝 Lets Encrypt 永久免費 SSL 證書

d引數後面對應的是域名,在執行的過程中,我遭遇了下面的報錯: Total size: 44 M Downloading Packages: Running rpm_check_debug ERROR with rpm_check_debug vs depsolve: libgdbm.so.2()(64b

CentOS 7 Nginx Lets Encrypt SSL 證書安裝配置

https取代http是大勢所趨,越來越多的網站都改用https了。從16年起,蘋果公司就要求開發者使用https替代http,前期還可以通過調整應用的配置允許http通訊,到後來使用https成了強制要求。 對於個人開發者和小公司而言,很多時候不過是在伺服器進行一些簡單的

騰訊雲CentOS 7 安裝Nginx

lease 安裝nginx sta add ref roo AD 傳輸 als 以下安裝步驟需要root權限。 添加CentOS 7 EPEL 倉庫 sudo yum install epel-release 安裝Nginx sudo yum install nginx

CentOS 7 搭建nginx 1.6

elinks kcon %d 年月日 日期結尾 bmp 就會 XP c-c 準備要素,編譯環境,創建組,創建被service所管理的腳本,兩種隱藏版本方法,實現主進程用root創建 子進程有nginx 創建,圖片緩存時間 在最新的centos7.3上搭建nginx 1.6

如何在CentOS 7安裝Nginx

正在 zone 系統 service 圖片 reload posit wal OS 第一步 - 添加Nginx存儲庫 要添加CentOS 7 EPEL倉庫,請打開終端並使用以下命令: sudo yum install epel-release 第二步 - 安裝Nginx

CentOS 7設定Nginx-RTMP

** 這個寫的都是從原始碼安裝 ** 安裝Nginx和Nginx-RTMP 安裝從原始碼編譯Nginx和Nginx-RTMP所需的工具。 sudo yum install pcre pcre

centos 7nginx 報錯,open() "test.min.css" failed (13: Permission denied

OS: Centos7 Kernal: 3.10.0-327.el7.x86_64 在配置好django及相應的nginx反向代理後 發現web開啟沒有找到靜態檔案,nginx日誌報permissi

免費SSL證書 之Lets Encrypt申請與部署(Windows Nginx)

我著著皇帝的新衣,但是你看不見      有一顆願意等待的心,說明你對未來充滿希望。有一顆充滿希望的心,那麼等待又算什麼。人就是在等待與希望中度過,我們永遠要對未來充滿信心! 讀在最前面: 1、本文案例為SSL證書申請,部署環境為Winodws Nginx    2、Let's Encrypt是國外一

NGINX + Let's encrypt免費SSL證書

安裝與配置過程不算複雜:1、安裝openssl和certbotsudo apt-get install openssl ssl-cert sudo apt-get install python-certbot-nginx -t stretch-backports2、生成DH引

Windows伺服器完成Lets Encrypt免費SSL證書的自動化更新部署(apache)

Let’s Encrypt是一家致力於推動網站SSL加密普及的公益組織,受到眾多廠商的支援。其證書有效期為3個月,但是由於免費加上可以使用API完成自動化更新部署,受到眾多站長青睞。證書申請流程:下載W

centos7配置nginx使用lets Encrypt證書

server {listen       443;server_name xxx.cn;        location /{        proxy_set_header Host $host;        proxy_set_header X-Real-Ip $remote_addr;       

如何在CentOS 7安裝和配置Nginx

1.安裝CentOS 7 EPEL倉庫 sudo yum install epel-release 2.安裝Nginx 現在Nginx儲存庫已經安裝在您的伺服器上,使用以下yum命令安裝Nginx : sudo yum install

Let's Encrypt,站點加密之旅

HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。

【Redis】2、CentOS 7 安裝 redis3.2.3安裝與配置

sync 倉庫 ace /var/ 發現 wan sudo base str 一、redis源碼安裝 【更正】現在最新穩定的版本已經到了3.2.8 截至到2016.8.11,redis最新穩定版本為3.2.3.本篇文章我們就以此版本為基礎,進行相關的講解。 下載redis源