Installieren von Free SSL Certificate auf LEMP Stack mit Let's Encrypt
Let's Encrypt ist ein Linux Foundation Collaborative Project, eine offene Zertifizierungsstelle, die von der Internet Security Research Group bereitgestellt wird. Frei für jeden, der einen Domainnamen besitzt, um Let's Encrypt zu verwenden, um ein vertrauenswürdiges Zertifikat zu erhalten. Die Möglichkeit, den Erneuerungsprozess zu automatisieren sowie die Installation und Konfiguration zu vereinfachen. Helfen Sie dabei, Websites sicher zu halten und TLS-Sicherheitspraktiken zu verbessern. Sorgen Sie für Transparenz, da alle Zertifikate öffentlich zur Einsicht verfügbar sind. Erlauben Sie anderen, ihre Ausgabe- und Erneuerungsprotokolle als offenen Standard zu verwenden.
Im Wesentlichen versucht Let's Encrypt, Sicherheit zu schaffen, die nicht auf lächerlichen Reifen beruht, die von großen, für Profit-Organisationen gemacht werden. (Man könnte sagen, ich glaube an Open Source und das ist Open Source von seiner besten Seite).
Es gibt zwei Möglichkeiten: Laden Sie das Paket herunter und installieren Sie es aus den Repositories, oder installieren Sie den certbot-auto wrapper (früher letencrypt-auto) direkt aus letsencrypt.
Aus den Repositories herunterladen
sudo apt-get installieren letencrypt -y
Sobald die Installation abgeschlossen ist, Zeit, um Ihr Zertifikat zu bekommen! Wir verwenden die certonly-standalone-Methode, bei der eine Instanz eines Servers nur zum Erwerb Ihres Zertifikats erstellt wird.
sudo letsencrypt certonly -standalone -d Beispiel.com -d subdomain.example.com -d othersubdomain.example.com
Geben Sie Ihre E-Mail-Adresse ein und stimmen Sie den Nutzungsbedingungen zu. Sie sollten nun ein Zertifikat haben, das für jede der von Ihnen eingegebenen Domains und Subdomains gut ist. Jede Domäne und Unterdomäne wird herausgefordert. Wenn Sie also keinen dns-Eintrag auf Ihren Server haben, schlägt die Anforderung fehl.
Wenn Sie den Prozess testen möchten, bevor Sie Ihr tatsächliches Zertifikat erhalten, können Sie test-cert als Argument nach certonly hinzufügen. Hinweis: -test-cert installiert ein ungültiges Zertifikat. Sie können dies unbegrenzt oft tun, wenn Sie jedoch Live-Zertifikate verwenden, gibt es ein Ratenlimit.
Wildcard-Domänen werden nicht unterstützt und scheinen auch nicht unterstützt zu werden. Der Grund dafür ist, dass Sie, da der Zertifikatsprozess kostenlos ist, beliebig viele anfordern können. Sie können auch mehrere Domänen und Unterdomänen auf demselben Zertifikat haben.
Wechsel zur Konfiguration von NGINX, um unser neu erworbenes Zertifikat zu verwenden! Für den Pfad zum Zertifikat verwende ich den tatsächlichen Pfad anstelle eines regulären Ausdrucks.
Wir haben SSL, können aber auch unseren gesamten Traffic dorthin umleiten. Der erste Serverabschnitt tut genau das. Ich habe es so eingerichtet, dass der gesamte Datenverkehr, einschließlich der Subdomains, auf die primäre Domain umgeleitet wird.
PRO TIPP: Wenn das Problem bei Ihrem Computer oder Laptop / Notebook auftritt, sollten Sie versuchen, die Reimage Plus Software zu verwenden, die die Repositories durchsuchen und beschädigte und fehlende Dateien ersetzen kann. Dies funktioniert in den meisten Fällen, in denen das Problem aufgrund einer Systembeschädigung auftritt. Sie können Reimage Plus herunterladen, indem Sie hier klickenWenn Sie Chrome verwenden und die oben aufgeführten SSL-Verschlüsselungen nicht deaktivieren, erhalten Sie err_spdy_inatequate_transport_security. Sie müssen auch die Datei nginx conf editieren, um so etwas wie eine Sicherheitslücke in gzip zu umgehen
Sollten Sie feststellen, dass Ihnen etwas wie Zugriff verweigert wird, müssen Sie überprüfen, ob der Servername (und das Stammverzeichnis) korrekt ist. Ich habe gerade meinen Kopf gegen die Wand geschlagen, bis ich ohnmächtig wurde. Zum Glück in meinen Server Alpträumen, kam die Antwort - Sie haben vergessen, Ihr Root-Verzeichnis zu setzen! Blutig und erschlagen platziere ich die Wurzel und da ist es, mein schöner Index.
Wenn Sie möchten, dass Sie für separate Subdomains einrichten, können Sie verwenden
Sie werden aufgefordert, ein Passwort für den Benutzernamen (zweimal) zu erstellen.
sudo-Dienst nginx Neustart
Jetzt können Sie von überall mit einem Benutzernamen und Passwort auf Ihre Site zugreifen, oder lokal ohne. Wenn Sie immer eine Passwortabfrage haben möchten, entfernen Sie die Berechtigung 10.0.0.0/24; # Wechseln Sie zu Ihrer lokalen Netzwerkleitung.
Berücksichtigen Sie den Abstand für auth_basic, wenn es nicht richtig ist, erhalten Sie einen Fehler.
Wenn Sie das Passwort falsch haben, werden Sie mit einem 403 getroffen
Ein letzter Punkt, den wir tun müssen, ist das automatische Erweitern der SSL-Zertifikate.
Dafür ist ein einfacher Cron-Job das richtige Werkzeug für den Job, wir werden ihn als root-Benutzer einsetzen, um Zugriffsfehler zu vermeiden
(sudo crontab -l 2> / dev / null; echo '0 0 1 * * letsencrypt erneuern') | sudo crontab -
Der Grund für die Verwendung von / dev / null ist sicherzustellen, dass Sie in die Crontab schreiben können, auch wenn Sie zuvor noch nicht existierten.
PRO TIPP: Wenn das Problem bei Ihrem Computer oder Laptop / Notebook auftritt, sollten Sie versuchen, die Reimage Plus Software zu verwenden, die die Repositories durchsuchen und beschädigte und fehlende Dateien ersetzen kann. Dies funktioniert in den meisten Fällen, in denen das Problem aufgrund einer Systembeschädigung auftritt. Sie können Reimage Plus herunterladen, indem Sie hier klicken