Установка certbot. Получаем SSL -сертификат от Lets Encrypt. Настройка HTTPS на nginx
Переключаем сайт на защищенный HTTPS протокол. Получение и управление SSL сертификатами от Lets Encrypt на Ubuntu 18.04.
Установка Certbot
Certbot нужен для управления сертификатами Lets Encrypt.
sudo apt install certbot python3-certbot-nginx -y ## certbot v0.31.0
Создаем Nginx конфиг сайта для которого будем получать SSL сертификат. Проверяем конфиг Nginx:
sudo nginx -t
Получение SSL сертификата
Установка сертификата для нового сайта:
sudo certbot --nginx -d onedev.net
sudo certbot --nginx -d onedev.net -d www.onedev.net -d api.onedev.net
Пошаговая генерация SSL-сертификата в интерактивном режиме
Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator nginx, Installer nginx Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel) : ВАШ_EMAIL_ДЛЯ_УВЕДОМЛЕНИЙ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must agree in order to register with the ACME server at https://acme-v02.api.letsencrypt.org/directory (A)gree/(C)ancel: A - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Would you be willing to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about our work encrypting the web, EFF news, campaigns, and ways to support digital freedom. (Y)es/(N)o: N
Obtaining a new certificate Performing the following challenges: http-01 challenge for api.ocr.onedev.net Waiting for verification... Cleaning up challenges Deploying Certificate to VirtualHost /etc/nginx/sites-enabled/api.ocr.onedev.net.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access. 1: No redirect - Make no further changes to the webserver configuration. 2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for new sites, or if you're confident your site works on HTTPS. You can undo this change by editing your web server's configuration. Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2 Redirecting all traffic on port 80 to ssl in /etc/nginx/sites-enabled/api.ocr.onedev.net.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Congratulations! You have successfully enabled https://api.ocr.onedev.net You should test your configuration at: https://www.ssllabs.com/ssltest/analyze.html?d=api.ocr.onedev.net - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/api.ocr.onedev.net/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/api.ocr.onedev.net/privkey.pem Your cert will expire on 2020-12-30. To obtain a new or tweaked version of this certificate in the future, simply run certbot again with the "certonly" option. To non-interactively renew *all* of your certificates, run "certbot renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Примечание
Если вы планируете редиректить www.site.com на site.com - не обязательно генерировать сертификат для домена www.site.com.
При генерации сертификата нужно в одной команде указывать опциями все используемые под-домены!
Чтобы перенаправить www на non-www проверьте конфиг /etc/nginx/sites-available/ikino.club.conf, и на всякий проверьте конфиг /etc/nginx/sites-enabled/default.conf (да, именно sites-enabled/default).
Пример nginx конфига с перенаправлением http://www. и https://www. на https://site.com:
server {
listen 80;
server_name site.com www.site.com;
if ($host = site.com) {
return 301 https://$host$request_uri;
} # managed by Certbot
if ($host = www.site.com) {
return 301 https://site.com$request_uri;
}
return 404; # managed by Certbot
}
server {
server_name site.com www.site.com;
root /var/www/site.com/public/;
index index.html index.php;
if ($host = www.site.com) {
return 301 https://site.com$request_uri;
}
listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/site.com/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/site.com/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
// ... ваша дополнительная конфигурация
}
Еще можно перенаправлять по условию (не редиректить curl, например):
server {
listen 80;
listen 443 ssl;
# ...
## @note Редирект на HTTPS, только если клиент похож на браузер (поддерживает ли изображения).
## Чтобы для curl не отдавал 301 редирект. Браузеры редиректят автоматически, а curl нет.
if ($server_port = 80) { set $UD "O"; }
if ($http_accept ~* "image/") { set $UD "${UD}N"; }
if ($UD = ON) {
return 301 https://$host$request_uri;
}
# ...
}
Примечание
Если что-то пошло не так, попробуйте сгенерировать сертификаты без автоустановки (без активации nginx-плагина, не указываем --nginx):
sudo certbot certonly --webroot -w /var/www/ikino.club -d ikino.club -d www.ikino.club
*Сертификаты и ключи будут скопированы в /etc/letsencrypt/live/site.com/.
Подробнее о certbot
certbot # Получить и установить сертификат
certbot certonly # Получить сертификат, но не устанавливать
certbot-auto # Устаревший метод установки
certbot-auto -c config.ini # Можно передавать список доменов в конфиге
certbot certonly --manual # Если кастомный web-сервер
Обслуживание
Удалить сертификат:
sudo certbot delete --cert-name site.com
Проверить статус сервиса обновления сертификатов:
sudo systemctl status certbot.timer
Протестировать процесс обновления сертификатов:
sudo certbot renew --dry-run
Wildcard SSL сертификаты
Let's Encrypt предоставляет бесплатные Wildcard SSL сертификаты (для нескольких доменов и поддоменов).
При генерации Wildcard SSL сертификата в manual режиме (без DNS плагина) он не сможет автоматически обновляться!
Нужно будет обновлять сертификаты и прописывать DNS токен вручную каждые 3 месяца.
Вместо этого используйте режим DNS API.
Certbot
https://eff-certbot.readthedocs.io/en/stable/using.html#dns-plugins
sudo certbot certonly --manual --preferred-challenges dns -d *.domain.com -d domain.com
sudo certbot certonly --manual --preferred-challenges dns -d *.domain.com -d domain.dom --agree-tos --dry-run
sudo certbot certonly --manual --preferred-challenges dns -d *.domain.com --server https://acme-v02.api.letsencrypt.org/directory
Процесс генерации сертификата:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.
Are you OK with your IP being logged?
ПРИМЕЧАНИЕ. IP-адрес этой машины будет публично зарегистрирован как запросивший этот сертификат.
Если вы запускаете certbot в ручном режиме на машине, которая не является вашим сервером, убедитесь, что вас это устраивает.
> Вы согласны с тем, что ваш IP логируется?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.domain.com with the following value:
123456789012_XXXXXXXXXXXXXXXXXX_123456789012
Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue
Добавьте в DNS TXT-запись _acme-challenge.domain.com с токеном (у регистратора):
_acme-challenge.domain.com TXT Chs768564536576SDGdG6SQDYTZAEq
Проверить TXT запись в DNS:
nslookup -type=TXT _acme-challenge.domain.com
dig -t txt _acme-challenge.domain.com
dig @8.8.8.8 -t txt _acme-challenge.domain.com
Параметр "certonly --manual" задаются, если вы генерите сертификат не на сервере, а на другом компе.
Режим/плагин manual может использовать http или dns вызовы (challenge).
Параметр "--preferred-challenges dns | http" указывает тип challenge.
При "http challenge" нужно добавить файлы в корневой каталог сайта ./.well-known/acme-challenge/. Такой подход похож на плагин webroot, но не автоматизированный.
При "dns challenge" нужно добавить TXT-запись в DNS вида _acme-challenge.domain.com с токеном.
Перед выдачей сертификатов Let’s Encrypt проверяет, контролируете ли вы хосты, для которых запрашиваете сертификаты.
В случае wildcard-сертификата нам нужно доказать, что мы контролируем весь домен. Мы делаем это, отвечая на запрос на основе DNS, где Certbot отвечает на вызов, создавая специальную запись DNS в целевом домене. Затем серверы Let’s Encrypt проверяют эту запись перед выдачей сертификата.
Чтобы Certbot подключился к вашему провайдеру DNS, нужен плагин. Чтобы узнать имя нужного подключаемого модуля для вашего провайдера DNS, см. список подключаемых модулей DNS Certbot: https://certbot.eff.org/docs/using.html#dns-plugins
Плагин провайдера DigitalOcean называется certbot-dns-digitalocean.
#https #ssl #lets encrypt #certificates