Let's Encrypt ist ein Linux Foundation Collaborative Project, eine offene Zertifizierungsstelle, die von der Internet Security Research Group bereitgestellt wird. Kostenlos für alle, die einen Domainnamen besitzen, um mit Let's Encrypt ein vertrauenswürdiges Zertifikat zu erhalten. Die Möglichkeit, den Erneuerungsprozess zu automatisieren und die Installation und Konfiguration zu vereinfachen. Helfen Sie dabei, Websites sicher zu halten und die TLS-Sicherheitspraktiken zu verbessern. Sorgen Sie für Transparenz, da alle Zertifikate zur Einsicht öffentlich zugänglich sind. Ermöglichen Sie anderen, ihre Ausstellungs- und Erneuerungsprotokolle als offenen Standard zu verwenden.
Im Wesentlichen versucht Let's Encrypt, die Sicherheit nicht von lächerlichen Reifen abhängig zu machen, die von großen, gewinnorientierten Organisationen hergestellt werden. (Man könnte sagen, ich glaube an Open Source, und dies ist Open Source von seiner besten Seite.)
Es gibt zwei Möglichkeiten: Laden Sie das Paket herunter und installieren Sie es aus den Repositorys oder installieren Sie den certbot-auto-Wrapper (früher letsencrypt-auto) direkt von letsencrypt.
Zum Herunterladen aus den Repositories
sudo apt-get install letsencrypt -y
Sobald die Installation abgeschlossen ist, ist es Zeit, Ihr Zertifikat zu erhalten! Wir verwenden die zertally Standalone-Methode und erzeugen eine Instanz eines Servers, nur um Ihr Zertifikat zu erhalten.
sudo letsencrypt certonly –standalone –d example.com -d subdomain.example.com -d Othersubdomain.example.com
Geben Sie Ihre E-Mail-Adresse ein und stimmen Sie den Nutzungsbedingungen zu. Sie sollten jetzt ein Zertifikat für jede der von Ihnen eingegebenen Domänen und Unterdomänen haben. Jede Domain und Subdomain wird herausgefordert. Wenn Sie also keinen DNS-Eintrag haben, der auf Ihren Server verweist, schlägt die Anforderung fehl.
Wenn Sie den Prozess testen möchten, bevor Sie Ihr tatsächliches Zertifikat erhalten, können Sie –test-cert nach certonly als Argument hinzufügen. Hinweis: –test-cert installiert ein ungültiges Zertifikat. Sie können dies unbegrenzt oft tun. Wenn Sie jedoch Live-Zertifikate verwenden, gibt es ein Ratenlimit.
Platzhalterdomänen werden nicht unterstützt, und es scheint auch nicht, dass sie unterstützt werden. Der angegebene Grund ist, dass Sie, da der Zertifikatsprozess kostenlos ist, so viele anfordern können, wie Sie benötigen. Sie können auch mehrere Domänen und Unterdomänen auf demselben Zertifikat haben.
Wechseln Sie zur Konfiguration von NGINX, um unser neu erworbenes Zertifikat zu verwenden! Für den Pfad zum Zertifikat verwende ich den tatsächlichen Pfad anstelle eines regulären Ausdrucks.
Wir haben SSL, können genauso gut unseren gesamten Datenverkehr darauf umleiten. Der erste Serverabschnitt macht genau das. Ich habe es so eingestellt, dass der gesamte Datenverkehr, einschließlich der Subdomains, an die primäre Domain umgeleitet wird.
Wenn Sie Chrome verwenden und die oben aufgeführten SSL-Chiffren nicht deaktivieren, erhalten Sie err_spdy_inadequate_transport_security. Sie müssen auch die nginx conf-Datei bearbeiten, um ungefähr so auszusehen und eine Sicherheitslücke in gzip zu umgehen
Wenn Sie feststellen, dass Ihnen so etwas wie der Zugriff verweigert wird, müssen Sie überprüfen, ob der Servername (und das Stammverzeichnis) korrekt sind. Ich habe gerade meinen Kopf gegen die Wand geschlagen, bis ich ohnmächtig wurde. Zum Glück kam in meinen Server-Albträumen die Antwort - Sie haben vergessen, Ihr Stammverzeichnis festzulegen! Blutig und knüppelig steckte ich die Wurzel ein und da ist es, mein schöner Index.
Wenn Sie sich für separate Subdomains einrichten möchten, können Sie verwenden
Sie werden aufgefordert, ein Passwort für den Benutzernamen zu erstellen (zweimal).
sudo service nginx neu starten
Jetzt können Sie von überall mit einem Benutzernamen und einem Passwort oder lokal ohne auf Ihre Site zugreifen. Wenn Sie immer eine Passwortabfrage haben möchten, entfernen Sie die Erlaubnis 10.0.0.0/24; # Wechseln Sie zu Ihrer lokalen Netzwerkleitung.
Beachten Sie den Abstand für auth_basic. Wenn dies nicht der Fall ist, wird eine Fehlermeldung angezeigt.
Wenn Sie das Passwort falsch eingegeben haben, werden Sie mit einem 403 getroffen
Ein letzter Punkt, den wir tun müssen, ist das Einrichten der automatischen Erneuerung der SSL-Zertifikate.
Dafür ist ein einfacher Cron-Job das richtige Werkzeug für den Job. Wir werden ihn als Root-Benutzer einsetzen, um Berechtigungsfehler zu vermeiden
(sudo crontab -l 2> / dev / null; echo ‘0 0 1 * * letsencrypt erneuern’) | sudo crontab -
Der Grund für die Verwendung von / dev / null besteht darin, sicherzustellen, dass Sie in die crontab schreiben können, auch wenn zuvor keine vorhanden war.
3 Minuten gelesen
