Cara Melindungi Pelayan Web Nginx Dengan Lets Encrypt di CentOS

Dalam artikel ini, kita akan belajar bagaimana melindungi pelayan web Nginx dengan Let's Encrypt di CentOS.

Let's Encrypt adalah Certificate Authority (CA) yang menyediakan enkripsi SSL / TLS tanpa caj dan sijil ini sah selama 90 hari, selagi mana pembaharuan dapat dilakukan pada bila-bila masa. Untuk mendapatkan sijil untuk domain laman web anda dari Let's Encrypt, anda harus menunjukkan kawalan terhadap domain tersebut. Kami mengesyorkan agar menggunakan klien Certbot. Ia dapat mengautomasikan pengeluaran dan pemasangan sijil tanpa waktu henti. Ia mudah digunakan, berfungsi pada banyak sistem operasi.

Prasyarat

CentOS 7 dan Nginx memasang pelayan khusus atau pelayan awan dengan akses root atau bukan root (untuk bukan root, gunakan "sudo ').
Domain yang didaftarkan yang anda ingin dapatkan sijil.
Rekod DNS A yang menunjukkan domain anda ke alamat IP awam pelayan.

1. Pasang repositori EPEL:

# yum install epel-release -y

2. Seterusnya, pasang pakej certbot-nginx:

# yum install certbot-nginx -y

Pelanggan Certbot Let's Encrypt kini dipasang dan siap digunakan.

3. Memperolehi Sijil

Dapatkan sijil menggunakan perintah certbot. Plugin Nginx akan mengurus konfigurasi semula Nginx dan memuat semula konfigurasi.

# certbot --nginx -d yoursite.com -d www.yousite.com

Dengan menjalankan certbot pertama kali, anda akan diminta memasukkan alamat e-mel dan bersetuju dengan syarat perkhidmatan. Seterusnya, certbot akan berkomunikasi dengan pelayan Let's Encrypt.
Setelah pengesahan berjaya, certbot akan bertanya bagaimana anda ingin mengkonfigurasi tetapan HTTPS anda:

Output
Please choose whether HTTPS access is required or optional.
-------------------------------------------------------------------------------
1: Easy - Allow both HTTP and HTTPS access to these sites
2: Secure - Make all requests redirect to secure HTTPS access
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Gunakan pilihan apa pun mengikut keperluan anda dan tekan enter.

Itu sahaja, berikutan mesej yang memberitahu bahawa proses itu berjaya dilakukan dan sijil disimpan.

Output
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/yousite.com/fullchain.pem. Your cert will
expire on 2020-08-03. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again with the
"certonly' option. To non-interactively renew *all* of your
certificates, run "certbot renew'
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

Cuba muatkan semula laman web anda menggunakan https: //

4. Siapkan cron untuk pembaharuan automatik:

Sijil Let's Encrypt hanya sah selama sembilan puluh hari. Cron akan memeriksa sijil yang luput dan memperbaharui secara automatik.

Jalankan arahan berikut untuk mengedit fail crontab.

# crontab -e

Penyunting teks anda akan membuka crontab lalai. Tampal di baris berikut, kemudian simpan dan tutup:

15 3 * * * /usr/bin/certbot renew --quiet

Bahagian 15 3 * * * baris ini bermaksud "jalankan arahan berikut pada jam 3:15 pagi, setiap hari". Anda boleh memilih bila-bila masa.

Sekarang, cron akan menjalankan perintah ini setiap hari dan memperbaharui semua sijil yang dipasang secara automatik.

Dalam artikel ini, kami telah mengetahui bagaimana jurutera sokongan kami melindungi pelayan Web Nginx dengan Let's Encrypt di CentOS.