Let’s Encrypt - это центр сертификации (ЦС), позволяющий легко получать и устанавливать бесплатные сертификаты TLS/SSL, что позволяет использовать на веб-серверах шифрованный трафик HTTPS. Это упрощает процесс посредством предоставления программного клиента Certbot, который пытается автоматизировать большинство необходимых шагов (или все шаги). В настоящее время весь процесс получения и установки сертификата полностью автоматизирован - как в Apache, так и Nginx.
В этом обучающем модуле мы используем Certbot для получения бесплатного сертификата SSL для Nginx в Ubuntu 20.04 и настройки сертификата для автоматического продления.
Вместо файла по умолчанию мы будем использовать отдельный файл конфигурации сервера Nginx. Мы рекомендуем создавать новые файлы серверных блоков Nginx для каждого домена, потому что это помогает избежать распространенных ошибок и сохранять файлы по умолчанию в качестве резервной конфигурации на случай отката.
Шаг 1 - Установка Certbot
Первый шаг для получения сертификата SSL от Let’s Encrypt - установить на сервере программное обеспечение Certbot.
Установите Certbot и его плагин Nginx с помощью apt:
sudo apt install certbot python3-certbot-nginx
Теперь Certbot готов к использованию, но для автоматической настройки конфигурации SSL для Nginx нам нужно частично проверить конфигурацию Nginx.
Шаг 2 - Настройка конфигурации Nginx
Чтобы настраивать SSL автоматически, Certbot необходимо найти правильный серверный блок в вашей конфигурации Nginx. Для этого нужно найти директиву server_name, соответствующую домену, для которого вы запрашиваете сертификат.
Если вы выполнили процедуру настройки серверного блока, серверный блок для вашего домена должен располагаться по адресу /etc/nginx/sites-available/example.com с уже настроенной директивой server_name. Если все нормально, закройте редактор и переходите к следующему шагу.
Если нет, проведите обновление. Затем сохраните файл, закройте редактор и проверьте синтаксис внесенных правок конфигурации:
sudo nginx -t
Если вы получите сообщение об ошибке, откройте файл серверного блока заново и проверьте его на наличие опечаток или отсутствующих символов. Когда синтаксис файла конфигурации будет правильным, перезагрузите Nginx для загрузки новой конфигурации:
sudo systemctl reload nginx
Теперь Certbot сможет найти правильный серверный блок и автоматически обновлять его. Изменим настройки брандмауэра, чтобы он разрешал трафик HTTPS.
Шаг 3 - Доступ к HTTPS через брандмауэр
Если вы включили брандмауэр ufw, вам нужно будет настроить его так, чтобы разрешить трафик HTTPS. К счастью, при установке Nginx регистрирует в ufw несколько профилей. Вы можете просмотреть текущие настройки с помощью следующей команды:
sudo ufw status
Возможно профиль будет выглядеть так, т. е. на веб-сервере будет разрешен только трафик HTTP:
Status: active To Action From -- ------ ---- OpenSSH ALLOW Anywhere Nginx HTTP ALLOW Anywhere OpenSSH (v6) ALLOW Anywhere (v6) Nginx HTTP (v6) ALLOW Anywhere (v6)
Чтобы разрешить трафик HTTPS, активируйте профиль Nginx Full и удалите лишний профиль Nginx HTTP:
sudo ufw allow 'Nginx Full' sudo ufw delete allow 'Nginx HTTP'
Теперь ваш статус должен выглядеть следующим образом:
sudo ufw status
Status: active To Action From -- ------ ---- OpenSSH ALLOW Anywhere Nginx Full ALLOW Anywhere OpenSSH (v6) ALLOW Anywhere (v6) Nginx Full (v6) ALLOW Anywhere (v6)
Запустим Certbot и доставим наши сертификаты.
Шаг 4 - Получение сертификата SSL
Certbot предоставляет широкий выбор способов получения сертификатов SSL с помощью плагинов: Плагин Nginx изменит конфигурацию Nginx и перезагрузит ее, когда это потребуется. Для использования этого плагина введите следующую команду:
sudo certbot --nginx -d example.com -d www.example.com
Эта команда запускает certbot с плагином --nginx, используя опцию -d для указания доменных имен, для которых мы хотим использовать сертификат.
Если это первый запуск certbot, вам будет предложено указать адрес эл. почты и принять условия обслуживания. После этого certbot свяжется с сервером Let’s Encrypt и отправит запрос с целью подтвердить, что вы контролируете домен, для которого запрашиваете сертификат.
Если это будет подтверждено, certbot запросит у вас предпочитаемый вариант настройки HTTPS:
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1: No redirect - Make no further changes to the webserver configuration. 2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for new sites, or if you're confident your site works on HTTPS. You can undo this change by editing your web server's configuration. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Select the appropriate number [1-2] then [enter] (press 'c' to cancel):
Выберите желаемый вариант, после чего нажмите ENTER. Конфигурация будет обновлена, а Nginx перезагрузится для получения новых настроек. Затем certbot завершит работу и выведет сообщение, подтверждающее завершение процесса и указывающее место хранения ваших сертификатов.
Ваши сертификаты загружены, установлены и активированы. Попробуйте перезагрузить веб-сайт с помощью https:// и посмотрите на индикатор безопасности в браузере. Теперь в браузере должен отображаться символ замка, означающий, что сайт защищен надлежащим образом. Если вы протестируете свой сервер с помощью теста SSL Labs Server Test, он получит оценку A.
В заключение протестируем процесс обновления.
Шаг 5 - Проверка автоматического обновления Certbot
Сертификаты Let’s Encrypt действительны только в течение 90 дней. Это сделано для стимулирования пользователей к автоматизации процесса обновления сертификатов. Установленный нами пакет certbot выполняет это автоматически, добавляя таймер systemd, который будет запускаться два раза в день и автоматически продлевать все сертификаты, истекающиее менее, чем через 30 дней.
Вы можете запросить статус таймера с помощью команды systemctl:
sudo systemctl status certbot.timer
Чтобы протестировать процесс обновления, можно сделать запуск "вхолостую" с помощью certbot:
sudo certbot renew --dry-run
Если ошибок нет, все нормально. Certbot будет продлевать ваши сертификаты, когда это потребуется, и перезагружать Nginx для активации изменений. Если процесс автоматического обновления когда-нибудь не выполнится, то Let’s Encrypt отправит сообщение на указанный вами адрес электронной почты с предупреждением о том, что срок действия сертификата подходит к концу.