Безопасный Nginx с Let's Encrypt на CentOS 8

Безопасный Nginx с Let's Encrypt на CentOS 8

21 Декабря 2019 | CentOS

Сертификаты, выпущенные Let's Encrypt, являются доверенными для всех основных браузеров и действительны в течение 90 дней с даты выпуска.

Безопасный Nginx с Let's Encrypt на CentOS 8

Let's Encrypt - это бесплатный, автоматизированный и открытый центр сертификации, разработанный исследовательской группой Internet Security Research Group (ISRG), который предоставляет бесплатные сертификаты SSL.

В этом руководстве мы предоставим пошаговые инструкции по установке бесплатного SSL-сертификата Let's Encrypt на CentOS 8 с Nginx в качестве веб-сервера. Мы также покажем, как настроить Nginx для использования SSL-сертификата и включения HTTP / 2.

Прежде чем продолжить, убедитесь, что вы выполнили следующие условия:

  • У вас есть доменное имя, указывающее на ваш публичный IP. Мы будем использовать example.com.
  • Установлен Nginx на сервере CentOS.
  • Ваш брандмауэр настроен на прием соединений через порты 80 и 443.

Certbot - это бесплатный инструмент командной строки, который упрощает процесс получения и обновления SSL-сертификатов Let's Encrypt и автоматического включения HTTPS на вашем сервере.

Пакет certbot не входит в стандартные репозитории CentOS 8, но его можно загрузить с веб-сайта производителя.

Запустите следующую wget команду от имени пользователя root или sudo, чтобы загрузить сценарий certbot в /usr/local/bin каталог:


sudo wget -P /usr/local/bin https://dl.eff.org/certbot-auto

После завершения загрузки сделайте файл исполняемым :


sudo chmod +x /usr/local/bin/certbot-auto

Обмен ключами Diffie-Hellman (DH) - это метод безопасного обмена криптографическими ключами по незащищенному каналу связи.


Создайте новый набор 2048-битных параметров DH, введя следующую команду:


sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Если вы хотите, вы можете изменить длину ключа до 4096 бит, но генерация может занять более 30 минут, в зависимости от энтропии системы.


Чтобы получить сертификат SSL для домена, мы собираемся использовать плагин Webroot, который работает путем создания временного файла для проверки запрашиваемого домена в ${webroot-path}/.well-known/acme-challengeкаталоге. Сервер Let's Encrypt отправляет HTTP-запросы во временный файл для проверки того, что запрашиваемый домен разрешается на сервере, на котором работает certbot.


Чтобы сделать его более простым, мы собираемся обрабатывать все HTTP-запросы для .well-known/acme-challenge из одного каталога /var/lib/letsencrypt.


Следующие команды создадут каталог и сделают его доступным для записи для сервера Nginx.


sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp nginx /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt

Чтобы избежать дублирования кода, создайте следующие два фрагмента, которые будут включены во все файлы блоков сервера Nginx:


sudo mkdir /etc/nginx/snippets

/etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ {
  allow all;
  root /var/lib/letsencrypt/;
  default_type "text/plain";
  try_files $uri =404;
}


/etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem;

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;

add_header Strict-Transport-Security "max-age=63072000" always;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;


Приведенный выше фрагмент кода включает в себя рекомендованные OCSP, строгую транспортную безопасность HTTP (HSTS) и применение нескольких заголовков HTTP, ориентированных на безопасность.

После создания фрагментов откройте блок сервера домена и letsencrypt.conf включите фрагмент, как показано ниже:


/etc/nginx/conf.d/example.com.conf
   

server {
  listen 80;
  server_name example.com www.example.com;

  include snippets/letsencrypt.conf;
}


Перезагрузите конфигурацию Nginx, чтобы изменения вступили в силу:


sudo systemctl reload nginx

Запустите инструмент certbot с подключаемым модулем webroot, чтобы получить файлы сертификатов SSL для вашего домена:


sudo /usr/local/bin/certbot-auto certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com


Если это первый раз, когда вы вызываете certbot, инструмент установит недостающие зависимости.

Как только сертификат SSL будет успешно получен, certbot напечатает следующее сообщение:


IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2020-03-12. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Теперь, когда у вас есть файлы сертификатов, вы можете редактировать свой блок сервера домена следующим образом:


/etc/nginx/conf.d/example.com.conf

server {
    listen 80;
    server_name www.example.com example.com;

    include snippets/letsencrypt.conf;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name www.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    return 301 https://example.com$request_uri;
}

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    # . . . other code
}


С вышеупомянутой конфигурацией мы заставляем HTTPS и перенаправляем www к версии без www.


Наконец, перезагрузите сервис Nginx, чтобы изменения вступили в силу:


sudo systemctl reload nginx

Теперь откройте свой веб-сайт с помощью https://, и вы увидите зеленый значок замка в адресной строке.


Если вы протестируете свой домен с помощью SSL Labs Server Test , вы получите A+ оценку, как показано на рисунке ниже:






Сертификаты Let's Encrypt действительны в течение 90 дней. Чтобы автоматически продлить сертификаты до истечения срока их действия, создайте cronjob, который будет выполняться два раза в день, и автоматически продлевайте любой сертификат за 30 дней до истечения срока его действия.


Используйте crontab команду для создания нового cronjob:


sudo crontab -e

Вставьте следующую строку:


0 */12 * * * root test -x /usr/local/bin/certbot-auto -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && /usr/local/bin/certbot-auto -q renew --renew-hook "systemctl reload nginx"


Сохраните и закройте файл.


Чтобы проверить процесс обновления, вы можете использовать команду certbot, за которой следует --dry-run условие:


sudo certbot renew --dry-run


Если ошибок нет, значит, процесс обновления теста прошел успешно.


В этом руководстве мы показали, как использовать клиент Let's Encrypt, certbot, для загрузки SSL-сертификатов для вашего домена. Мы также создали фрагменты Nginx, чтобы избежать дублирования кода, и настроили Nginx для использования сертификатов. В конце урока мы установили cronjob для автоматического продления сертификата.

Чтобы узнать больше о Certbot, посетите их страницу документации .


    Комментарии

    Если у вас есть вопросы, не стесняйтесь оставлять комментарии ниже.

Загрузка комментариев...