Cum să securizați serverul web Nginx cu Să criptăm pe CentOS

În acest articol, vom învăța cum să securizăm serverul web Nginx cu Let's Encrypt on CentOS.

Let's Encrypt este o autoritate de certificare (CA) care furnizează criptare SSL / TLS fără taxe și certificatul este valabil 90 de zile, după care reînnoirea poate avea loc în orice moment. Pentru a obține un certificat pentru domeniul site-ului dvs. web de la Let's Encrypt, trebuie să demonstrați controlul asupra domeniului. Vă recomandăm să utilizați clientul Certbot. Poate automatiza emiterea și instalarea certificatelor fără perioade de nefuncționare. Este ușor de utilizat, funcționează pe multe sisteme de operare.

Condiții prealabile

Un CentOS 7 și Nginx au instalat un server dedicat sau un server cloud cu acces root sau non-root (pentru non-root, utilizați „sudo ').
Domeniu înregistrat în care doriți să obțineți certificatul.
Un DNS O înregistrare care vă indică domeniul către adresa IP publică a serverului.

1. Instalați depozitul EPEL:

# yum install epel-release -y

2. Apoi, instalați pachetul certbot-nginx:

# yum install certbot-nginx -y

Clientul certbot Let's Encrypt este acum instalat și gata de utilizare.

3. Obținerea unui certificat

Obțineți un certificat folosind comanda certbot. Pluginul Nginx se va ocupa de reconfigurarea Nginx și reîncărcarea configurării.

# certbot --nginx -d yoursite.com -d www.yousite.com

Rulând certbot prima dată, vi se va solicita să introduceți o adresă de e-mail și să fiți de acord cu termenii și condițiile. Apoi, certbot va comunica cu serverul Let's Encrypt.
După verificarea cu succes, certbot vă va întreba cum doriți să vă configurați setările HTTPS:

Output
Please choose whether HTTPS access is required or optional.
-------------------------------------------------------------------------------
1: Easy - Allow both HTTP and HTTPS access to these sites
2: Secure - Make all requests redirect to secure HTTPS access
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Utilizați orice opțiune conform cerințelor dvs. și apăsați Enter.

Gata, următorul mesaj care vă spune că procesul a fost realizat cu succes și că certificatele sunt stocate.

Output
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/yousite.com/fullchain.pem. Your cert will
expire on 2020-08-03. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again with the
"certonly' option. To non-interactively renew *all* of your
certificates, run "certbot renew'
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

Încercați să vă reîncărcați site-ul web utilizând https: //

4. Configurați cron pentru reînnoirea automată:

Certificatele Let's Encrypt sunt valabile numai pentru nouăzeci de zile. Cron va verifica dacă certificatul expiră și le va reînnoi automat.

Rulați următoarea comandă pentru a edita fișierul crontab.

# crontab -e

Editorul dvs. de text va deschide crontabul implicit. Lipiți în următoarea linie, apoi salvați-o și închideți-o:

15 3 * * * /usr/bin/certbot renew --quiet

Partea 15 3 * * * a acestei linii înseamnă „rulați următoarea comandă la 3:15 dimineața, în fiecare zi”. Puteți alege oricând.

Acum, cron va rula această comandă zilnic și va reînnoi automat toate certificatele care sunt instalate.

În acest articol, am aflat cum inginerii noștri de asistență securizează serverul web Nginx cu Let's Encrypt on CentOS.