Como configurar o Nginx com o Let’s Encrypt Cert?

Um guia passo a passo para implementar o certificado Let Encrypt TLS no Nginx.


É essencial proteger o site com certificado TLS. Há duas razões principais:

  • Transmissão segura de dados entre o dispositivo do usuário e o dispositivo de descarga SSL / TLS
  • Melhorar a classificação de pesquisa do Google

Ultimamente, o Google anunciado o site sem https: // seria marcado como “Não seguro” no navegador Chrome.

Então sim, diga SIM para HTTPS.

Se você estiver executando um blog, site pessoal, não associação, o site transacional não financeiro, poderá optar pelo certificado Vamos criptografar.

Vamos criptografar oferecer uma Certificado GRÁTIS.

No entanto, se você estiver aceitando uma transação financeira, poderá optar pelo certificado comercial.

Vamos implementar o TLS no Nginx …

Presumo que você já tenha o Nginx instalado e em execução, caso contrário, consulte este guia de instalação.

Existem várias maneiras de fazer isso.

Vamos criptografar usando o Certbot

Uma das maneiras mais fáceis e recomendadas de instalá-lo.

Certbot oferece um menu suspenso onde você pode selecionar o servidor Web e o SO para obter as instruções.

Eu selecionei o Nginx e o Ubuntu, como você pode ver abaixo.

E executarei o abaixo no servidor Nginx para instalar o plug-in certbot.

# apt-get install software-propriedades-comuns
# add-apt-repository ppa: certbot / certbot
# apt-get update
# apt-get install python-certbot-nginx

Depois de tudo bem, é hora de usar um plug-in certbot para instalar um certificado no Nginx.

Você pode usar o comando abaixo, que cuidará da modificação do arquivo necessário para configurar o certificado.

# certbot –nginx

Ele verificará o CN (nome comum) no arquivo de configuração existente do Nginx e, se não for encontrado, solicitará que você digite.

Ex:

[protegido por email]: / etc / nginx / sites-available # certbot –nginx
Salvando o log de depuração em /var/log/letsencrypt/letsencrypt.log
Plugins selecionados: Authenticator nginx, Installer nginx
Iniciando uma nova conexão HTTPS (1): acme-v01.api.letsencrypt.org
Nenhum nome foi encontrado nos seus arquivos de configuração. Por favor entre no seu domínio
nome (s) (separados por vírgula e / ou espaço) (Digite ‘c’ para cancelar): bloggerflare.com
Obtendo um novo certificado
Executando os seguintes desafios:
desafio http-01 para bloggerflare.com
Aguardando verificação…
Limpando desafios
Certificado implantado no VirtualHost / etc / nginx / sites-enabled / default para bloggerflare.com
Escolha se deseja ou não redirecionar o tráfego HTTP para HTTPS, removendo o acesso HTTP.
——————————————————————————-
1: Sem redirecionamento – Não faça mais alterações na configuração do servidor da web.
2: Redirecionar – Redirecione todas as solicitações para proteger o acesso HTTPS. Escolha isto para
novos sites ou se você tiver certeza de que seu site funciona em HTTPS. Você pode desfazer isso
alterar editando a configuração do servidor da web.
——————————————————————————-
Selecione o número apropriado [1-2] e depois [enter] (pressione ‘c’ para cancelar): 2
Redirecionando todo o tráfego na porta 80 para ssl em / etc / nginx / sites-enabled / default
——————————————————————————-
Parabéns! Você ativou com sucesso https://bloggerflare.com
Você deve testar sua configuração em:
https://www.ssllabs.com/ssltest/analyze.html?d=bloggerflare.com
——————————————————————————-
ANOTAÇÕES IMPORTANTES:
– Parabéns! Seu certificado e sua cadeia foram salvos em:
/etc/letsencrypt/live/bloggerflare.com/fullchain.pem
Seu arquivo de chave foi salvo em:
/etc/letsencrypt/live/bloggerflare.com/privkey.pem
Seu certificado expirará em 27/05/2018. Para obter um novo ou aprimorado
versão deste certificado no futuro, basta executar o certbot novamente
com o "certonly" opção. Para renovar de maneira não interativa * todos * os
seus certificados, execute "renovação do certbot"
– Se você gosta do Certbot, considere apoiar nosso trabalho:
Doando para o ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Doação para a EFF: https://eff.org/donate-le
[protegido por email]: / etc / nginx / sites-available #

A automação Certbot é inteligente!

Como você pode ver, ele cuidou de toda a configuração necessária para deixar meu Nginx pronto para veicular em https.

No entanto, se você não quiser que o Certbot modifique a configuração, basta solicitar o comando abaixo.

# certbot –nginx certonly

O comando acima não realizará nenhuma modificação, apenas fornecerá o certificado para que você possa configurar da maneira que desejar.

Mas e se você não puder ou não quiser usar o Certbot?

Procedimento manual

Existem várias maneiras de obter o certificado emitido pelo Let’s Encrypt, mas uma das recomendadas é de SSL de graça ferramenta online.

Forneça seu URL e continue com o método de verificação. Depois de verificado, você receberá o certificado, chave privada e CA.

Faça o download e transfira para o servidor Nginx. Vamos mantê-los na pasta ssl (crie se não existir) do caminho de instalação do Nginx

[protegido por email]: / etc / nginx / ssl # ls -ltr
-rw-r – r– 1 raiz raiz 1704 26 fev 10:04 private.key
-rw-r – r– 1 raiz raiz 1647 26 de fevereiro 10:04 ca_bundle.crt
-rw-r – r– 1 raiz raiz 3478 26 de fevereiro 10:57 certificate.crt
[protegido por email]: / etc / nginx / ssl #

Antes de prosseguir com a modificação da configuração, você precisa concatenar certificate.crt e ca_bundle.crt em um único arquivo. Vamos chamá-lo de tlscert.crt

gato certificate.crt ca_bundle.crt >> tlscert.crt

  • Vá para a pasta sites disponíveis e adicione o seguinte no respectivo arquivo de configuração do site

servidor {
listen 443;
ssl on;
ssl_certificate /etc/nginx/ssl/tlscert.crt;
ssl_certificate_key /etc/nginx/ssl/private.key;
}

  • Reinicie o Nginx

reiniciar o serviço nginx

Tente acessar o respectivo domínio por HTTPS

Então aqui está, é sucesso!

Em seguida, convém testar seu site quanto à vulnerabilidade SSL / TLS e corrigi-los, se encontrado.

Espero que isso ajude você. Se você estiver interessado em aprender Nginx, eu recomendaria curso online.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map