Thứ sáu, 27/10/2017 | 00:00 GMT+7

Cách bảo mật Nginx bằng Let's Encrypt trên Ubuntu 16.04

Let's Encrypt là Tổ chức phát hành certificate (CA) cung cấp cách dễ dàng để lấy và cài đặt chứng chỉ TLS / SSL miễn phí, do đó cho phép HTTPS được mã hóa trên web server . Nó đơn giản hóa quy trình bằng cách cung cấp một ứng dụng client , Certbot, cố gắng tự động hóa hầu hết (nếu không phải tất cả) các bước cần thiết. Hiện tại, toàn bộ quá trình lấy và cài đặt certificate hoàn toàn tự động trên cả Apache và Nginx.

Trong hướng dẫn này, bạn sẽ sử dụng Certbot để lấy certificate SSL miễn phí cho Nginx trên Ubuntu 16.04 và cài đặt tự động gia hạn certificate của bạn.

Hướng dẫn này sử dụng file cấu hình Nginx mặc định thay vì file khối server riêng biệt. Ta khuyên bạn nên tạo các file khối server Nginx mới cho mỗi domain vì nó giúp tránh một số lỗi phổ biến và duy trì các file mặc định dưới dạng cấu hình dự phòng như dự định. Nếu bạn muốn cài đặt SSL bằng cách sử dụng khối server thay thế, bạn có thể làm theo các khối server Nginx này với hướng dẫn Let's Encrypt .

Yêu cầu

Để làm theo hướng dẫn này, bạn cần :

  • Một server Ubuntu 16.04 được cài đặt theo cài đặt server ban đầu này cho hướng dẫn Ubuntu 16.04 , bao gồm user không phải root có quyền sudo và firewall .
  • Tên domain đã đăng ký đầy đủ. Hướng dẫn này sẽ sử dụng example.com xuyên suốt. Bạn có thể mua domain trên Namecheap , nhận một domain miễn phí trên Freenom hoặc sử dụng công ty đăng ký domain mà bạn chọn.
  • Cả hai bản ghi DNS sau được cài đặt cho server của bạn. Bạn có thể làm theo hướng dẫn tên server này để biết chi tiết về cách thêm chúng.
    • Bản ghi A với example.com trỏ đến địa chỉ IP công cộng của server của bạn.
    • Một bản ghi A với www. example.com trỏ đến địa chỉ IP công cộng của server của bạn.
  • Đã cài đặt Nginx theo Cách cài đặt Nginx trên Ubuntu 16.04 .

Bước 1 - Cài đặt Certbot

Bước đầu tiên để sử dụng Let's Encrypt để lấy certificate SSL là cài đặt phần mềm Certbot trên server của bạn.

Certbot đang trong quá trình phát triển rất tích cực, vì vậy các gói Certbot do Ubuntu cung cấp có xu hướng lỗi thời. Tuy nhiên, các nhà phát triển Certbot duy trì một repository Ubuntu với các version cập nhật, vì vậy ta sẽ sử dụng kho đó thay thế.

Đầu tiên, hãy thêm repository .

  • sudo add-apt-repository ppa:certbot/certbot

Bạn cần nhấn ENTER để chấp nhận. Sau đó, cập nhật danh sách gói để nhận thông tin gói của repository mới.

  • sudo apt-get update

Và cuối cùng, cài đặt gói Nginx của Certbot với apt-get .

  • sudo apt-get install python-certbot-nginx

Certbot hiện đã sẵn sàng để sử dụng, nhưng để nó cấu hình SSL cho Nginx, ta cần xác minh một số cấu hình của Nginx.

Bước 2 - Cài đặt Nginx

Certbot có thể tự động cấu hình SSL cho Nginx, nhưng nó cần có khả năng tìm thấy khối server chính xác trong cấu hình của bạn. Nó thực hiện điều này bằng cách tìm kiếm lệnh server_name trùng với domain bạn đang certificate request .

Nếu bạn đang bắt đầu với bản cài đặt Nginx mới, bạn có thể cập nhật file cấu hình mặc định. Mở nó bằng nano hoặc editor yêu thích của bạn.

  • sudo nano /etc/nginx/sites-available/default

Tìm dòng server_name hiện có và thay dấu gạch dưới, _ , bằng domain của bạn:

/ etc / nginx / sites-available / default
. . . server_name example.com www.example.com; . . . 

Lưu file và thoát khỏi editor .

Sau đó, xác minh cú pháp của các chỉnh sửa cấu hình của bạn.

  • sudo nginx -t

Nếu bạn gặp bất kỳ lỗi nào, hãy mở lại file và kiểm tra lỗi chính tả, sau đó kiểm tra lại.

Khi cú pháp cấu hình của bạn chính xác, hãy reload Nginx để tải cấu hình mới.

  • sudo systemctl reload nginx

Certbot bây giờ sẽ có thể tìm thấy khối server chính xác và cập nhật nó. Tiếp theo, ta sẽ cập nhật firewall của bạn để cho phép truy cập HTTP S.

Bước 3 - Cho phép HTTPS thông qua firewall

Nếu bạn đã bật firewall ufw , theo khuyến nghị của hướng dẫn yêu cầu , bạn cần điều chỉnh cài đặt để cho phép lưu lượng truy cập HTTPS. May mắn là Nginx đăng ký một số cấu hình với ufw khi cài đặt.

Bạn có thể xem cài đặt hiện tại bằng lệnh :

  • sudo ufw status

Nó có thể sẽ giống như thế này, nghĩa là chỉ truy cập HTTP được phép đến web server :

Output
Status: active To Action From -- ------ ---- OpenSSH ALLOW Anywhere Nginx HTTP ALLOW Anywhere OpenSSH (v6) ALLOW Anywhere (v6) Nginx HTTP (v6) ALLOW Anywhere (v6)

Ngoài ra, để cho phép lưu lượng truy cập HTTPS, ta có thể cho phép cấu hình Nginx Full và sau đó xóa phụ cấp cấu hình HTTP Nginx dư thừa:

  • sudo ufw allow 'Nginx Full'
  • sudo ufw delete allow 'Nginx HTTP'

Trạng thái của bạn bây giờ sẽ như thế này:

  • sudo ufw status
Output
Status: active To Action From -- ------ ---- OpenSSH ALLOW Anywhere Nginx Full ALLOW Anywhere OpenSSH (v6) ALLOW Anywhere (v6) Nginx Full (v6) ALLOW Anywhere (v6)

Bây giờ ta đã sẵn sàng để chạy Certbot và tìm nạp certificate của ta .

Bước 4 - Lấy certificate SSL

Certbot cung cấp nhiều cách khác nhau để lấy certificate SSL, thông qua các plugin khác nhau. Plugin Nginx sẽ xử lý việc cấu hình lại Nginx và reload cấu hình khi nào cần thiết:

  • sudo certbot --nginx -d example.com -d www.example.com

Điều này chạy certbot với plugin --nginx , sử dụng -d để chỉ định tên mà ta muốn certificate hợp lệ.

Nếu đây là lần đầu tiên bạn chạy certbot , bạn sẽ được yêu cầu nhập địa chỉ email và đồng ý với các điều khoản dịch vụ. Sau khi làm như vậy, certbot sẽ giao tiếp với server Let's Encrypt, sau đó chạy thử thách để xác minh bạn kiểm soát domain mà bạn đang certificate request .

Nếu thành công, certbot sẽ hỏi bạn muốn cấu hình cài đặt HTTPS của bạn như thế nào.

Output
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access. ------------------------------------------------------------------------------- 1: No redirect - Make no further changes to the webserver configuration. 2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for new sites, or if you're confident your site works on HTTPS. You can undo this change by editing your web server's configuration. ------------------------------------------------------------------------------- Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Chọn lựa chọn của bạn rồi nhấn ENTER . Cấu hình sẽ được cập nhật và Nginx sẽ reload để chọn cài đặt mới. certbot sẽ kết thúc bằng một thông báo cho bạn biết quá trình đã thành công và nơi lưu trữ certificate của bạn:

Output
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will expire on 2017-10-23. To obtain a new or tweaked version of this certificate in the future, simply run certbot again with the "certonly" option. To non-interactively renew *all* of your certificates, run "certbot renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le

Chứng chỉ của bạn đã được download , cài đặt và tải. Hãy thử reload trang web bằng https:// và để ý chỉ báo bảo mật của trình duyệt. Nó phải cho biết rằng trang web được bảo mật đúng cách, thường có biểu tượng ổ khóa màu xanh lục. Nếu bạn kiểm tra server của bạn bằng Kiểm tra server SSL Labs, server sẽ đạt điểm A.

Hãy kết thúc bằng cách thử nghiệm quá trình gia hạn.

Bước 5 - Xác minh Tự động gia hạn Certbot

Chứng chỉ của Let's Encrypt chỉ có giá trị trong chín mươi ngày. Điều này nhằm khuyến khích user tự động hóa quy trình gia hạn certificate của họ. Gói certbot mà ta đã cài đặt sẽ giải quyết việc này cho ta bằng cách chạy 'certbot gia hạn' hai lần một ngày thông qua bộ đếm thời gian systemd. Trên các bản phân phối không phải systemd, chức năng này được cung cấp bởi một tập lệnh được đặt trong /etc/cron.d . Tác vụ này chạy hai lần một ngày và sẽ gia hạn bất kỳ certificate nào trong vòng ba mươi ngày kể từ ngày hết hạn.

Để kiểm tra quá trình gia hạn, bạn có thể thực hiện chạy thử nghiệm với certbot :

  • sudo certbot renew --dry-run

Nếu bạn không thấy lỗi, bạn đã hoàn tất. Khi cần thiết, Certbot sẽ gia hạn certificate của bạn và reload Nginx để nhận các thay đổi. Nếu quá trình gia hạn tự động không thành công, Let's Encrypt sẽ gửi một thông báo đến email bạn đã chỉ định, cảnh báo cho bạn khi certificate của bạn sắp hết hạn.

Kết luận

Trong hướng dẫn này, bạn đã cài đặt certbot ứng dụng client Let's Encrypt, download certificate SSL cho domain của bạn, cấu hình Nginx để sử dụng các certificate này và cài đặt gia hạn certificate tự động. Nếu bạn có thêm câu hỏi về việc sử dụng Certbot, tài liệu của họ là một nơi tốt để tham khảo .


Tags:

Các tin liên quan

Cách thiết lập Let's Encrypt với Nginx Server Blocks trên Ubuntu 16.04
2017-10-27
Cách tăng điểm tốc độ trang bằng cách thay đổi cấu hình Nginx của bạn trên Ubuntu 16.04
2017-08-15
Cách thêm module log vào Nginx trên Debian 8
2017-06-21
Cách triển khai ứng dụng Laravel với Nginx trên Ubuntu 16.04
2017-06-14
Cách bảo mật CI bằng SSL bằng Nginx trên Ubuntu 16.04
2017-05-26
Cách cấu hình Buildbot với SSL bằng Nginx Reverse Proxy
2017-05-17
Cách cấu hình Jenkins với SSL bằng cách sử dụng Nginx Reverse Proxy
2017-05-02
Cách tạo chứng chỉ SSL tự ký cho Nginx trên CentOS 7
2017-01-09
Cách thiết lập Django với Postgres, Nginx và Gunicorn trên Debian 8
2016-12-22
Cách tạo chứng chỉ SSL tự ký cho Nginx trên Debian 8
2016-12-20