¿Cómo configurar Nginx con Let’s Encrypt Cert?

Una guía paso a paso para implementar el certificado Let’s Encrypt TLS en Nginx.


Asegurar el sitio con el certificado TLS es esencial. Hay dos razones principales:

  • Transmisión segura de datos entre el dispositivo del usuario al dispositivo de descarga SSL / TLS
  • Mejora el ranking de búsqueda de Google

Últimamente, Google Anunciado ese sitio sin https: // estaría marcado como “No seguro” en el navegador Chrome.

Entonces sí, diga SÍ a HTTPS.

Si está ejecutando un blog, sitio personal, no membresía, el sitio transaccional no financiero, puede solicitar el certificado Let’s Encrypt.

Encriptemos ofrezcamos un Certificado GRATUITO.

Sin embargo, si está aceptando una transacción financiera, es posible que desee ir por el certificado comercial.

Implementemos TLS en Nginx …

Supongo que ya tiene Nginx instalado y ejecutándose, si no, consulte esta guía de instalación.

Hay varias formas de hacer esto.

Encriptemos con Certbot

Una de las formas más fáciles y recomendadas para instalarlo..

Certbot ofrece un menú desplegable donde puede seleccionar el servidor web y el sistema operativo para obtener las instrucciones.

He seleccionado Nginx y Ubuntu como puedes ver a continuación.

Y ejecutaré lo siguiente en el servidor Nginx para instalar el complemento certbot.

# apt-get install software-properties-common
# add-apt-repository ppa: certbot / certbot
# apt-get update
# apt-get install python-certbot-nginx

Una vez que todo esté bien, es hora de usar un complemento certbot para instalar un certificado en Nginx.

Puede usar el siguiente comando que se encargará de modificar el archivo necesario para configurar el certificado.

# certbot –nginx

Verificará el CN ​​(nombre común) en el archivo de configuración Nginx existente, y no se encuentra, luego le pedirá que ingrese.

Ex:

[correo electrónico protegido]: / etc / nginx / sites-available # certbot –nginx
Guardar registro de depuración en /var/log/letsencrypt/letsencrypt.log
Complementos seleccionados: Autenticador nginx, Instalador nginx
Inicio de una nueva conexión HTTPS (1): acme-v01.api.letsencrypt.org
No se encontraron nombres en sus archivos de configuración. Por favor ingrese en su dominio
nombre (s) (separados por comas y / o espacios) (Ingrese ‘c’ para cancelar): bloggerflare.com
Obteniendo un nuevo certificado
Realizando los siguientes desafíos:
desafío http-01 para bloggerflare.com
Esperando verificación…
Limpiando desafíos
Certificado implementado en VirtualHost / etc / nginx / sites-enabled / default para bloggerflare.com
Elija si desea o no redirigir el tráfico HTTP a HTTPS, eliminando el acceso HTTP.
——————————————————————————-
1: Sin redireccionamiento: no realice más cambios en la configuración del servidor web.
2: Redirigir: redirige todas las solicitudes para asegurar el acceso HTTPS. Elige esto para
nuevos sitios, o si está seguro de que su sitio funciona en HTTPS. Puedes deshacer esto
cambiar editando la configuración de su servidor web.
——————————————————————————-
Seleccione el número apropiado [1-2] y luego [enter] (presione ‘c’ para cancelar): 2
Redirigir todo el tráfico en el puerto 80 a SSL en / etc / nginx / sites-enabled / default
——————————————————————————-
¡Felicidades! Ha habilitado con éxito https://bloggerflare.com
Debe probar su configuración en:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
NOTAS IMPORTANTES:
– ¡Felicidades! Su certificado y cadena se han guardado en:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
Su archivo de clave se ha guardado en:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
Su certificado caducará el 27/05/2018. Para obtener un nuevo o ajustado
versión de este certificado en el futuro, simplemente ejecute certbot nuevamente
con el "certonly" opción. Para renovar de forma no interactiva * todos * de
sus certificados, corran "certbot renovar"
– Si le gusta Certbot, considere apoyar nuestro trabajo:
Donar a ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donar a EFF: https://eff.org/donate-le
[correo electrónico protegido]: / etc / nginx / sites-available #

La automatización de Certbot es inteligente!

Como puede ver, se ha ocupado de toda la configuración necesaria para que mi Nginx esté listo para servir a través de https.

Sin embargo, si no desea que Certbot modifique la configuración por usted, puede solicitar el siguiente comando.

# certbot –nginx certonly

El comando anterior no realizará ninguna modificación, solo le proporcionará el certificado para que pueda configurar de la manera que desee.

Pero, ¿y si no puedes o no quieres usar Certbot??

Procedimiento manual

Hay muchas formas de obtener el certificado emitido por Let’s Encrypt, pero una de las recomendadas es SSL gratis herramienta en línea.

Proporcione su URL y continúe con el método de verificación. Una vez verificado, obtendrá el certificado, la clave privada y la CA.

Descárguelos y transfiéralos al servidor Nginx. Vamos a mantenerlos en la carpeta SSL (crear si no existe) de la ruta de instalación de Nginx

[correo electrónico protegido]: / etc / nginx / ssl # ls -ltr
-rw-r – r– 1 raíz root 1704 26 de febrero 10:04 private.key
-rw-r – r– 1 raíz 1647 26 de febrero 10:04 ca_bundle.crt
-rw-r – r– 1 raíz raíz 3478 26 de febrero 10:57 certificate.crt
[correo electrónico protegido]: / etc / nginx / ssl #

Antes de continuar con la modificación de la configuración, debe concatenar certificate.crt y ca_bundle.crt en un solo archivo. Vamos a llamarlo tlscert.crt

cat certificate.crt ca_bundle.crt >> tlscert.crt

  • Vaya a la carpeta de sitios disponibles y agregue lo siguiente en el archivo de configuración del sitio correspondiente

servidor {
escucha 443;
ssl en
ssl_certificate /etc/nginx/ssl/tlscert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
}

  • Reiniciar Nginx

servicio reinicio nginx

Intenta acceder al dominio respectivo a través de HTTPS

Así que aquí tienes, es el éxito!

A continuación, es posible que desee probar su sitio para la vulnerabilidad SSL / TLS y corregirlo si se encuentra.

Espero que esto te ayude. Si está interesado en aprender Nginx, le recomendaría tomar esto curso por Internet.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map