Securizați nginx cu ajutorul criptării pe Centos 7

Let's Encrypt este o autoritate de certificare gratuită și deschisă dezvoltată de Grupul de cercetare pentru securitatea internetului (ISRG). Certificatele emise de Let's Encrypt sunt astăzi de încredere de aproape toate browserele.

În acest tutorial, vom oferi instrucțiuni pas cu pas despre cum să vă securizați Nginx cu Let's Encrypt folosind instrumentul certbot de pe CentOS 7.

Cerințe preliminare

Asigurați-vă că ați îndeplinit următoarele cerințe înainte de a continua cu acest tutorial:

• Aveți un nume de domeniu îndreptat către IP-ul serverului dvs. public. În acest tutorial vom folosi example.com . Ați activat depozitul EPEL și a instalat Nginx urmând Cum se instalează Nginx pe CentOS 7.

Instalați Certbot

Certbot este un instrument ușor de utilizat, care poate automatiza sarcinile pentru obținerea și reînnoirea certificatelor SSL Let's Encrypt și configurarea serverelor web.

Pentru a instala pachetul certbot din formularul de depozitare EPEL rulează:

sudo yum install certbot

Generați grupul puternic Dh (Diffie-Hellman)

Schimbul de chei Diffie – Hellman (DH) este o metodă de a schimba în siguranță cheile criptografice pe un canal de comunicare nesecurizat.

Generați un set nou de parametri DH 2048 biți, tastând următoarea comandă:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 Dacă doriți, puteți modifica dimensiunea până la 4096 biți, dar în acest caz, generația poate dura mai mult de 30 de minute în funcție de entropia sistemului.

Obținerea unui certificat SSL Encrypt

Pentru a obține un certificat SSL pentru domeniul nostru, vom folosi pluginul Webroot care funcționează prin crearea unui fișier temporar pentru validarea domeniului solicitat în directorul ${webroot-path}/.well-known/acme-challenge . Serverul Let's Encrypt face solicitări HTTP la fișierul temporar pentru a valida dacă domeniul solicitat se rezolvă la serverul unde rulează certificbot.

Pentru a fi mai simplu, vom face o hartă a tuturor cererilor HTTP pentru .well-known/acme-challenge către un singur director, /var/lib/letsencrypt .

Următoarele comenzi vor crea directorul și îl vor putea scrie pentru serverul Nginx.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp nginx /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Pentru a evita duplicarea codului, creați următoarele două fragmente pe care le vom include în toate fișierele noastre de blocuri de server Nginx:

sudo mkdir /etc/nginx/snippets /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; } /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;

Fragmentul de mai sus include ciperele recomandate de Mozilla, permite OCSP Stapling, HTTP Strict Transport Security (HSTS) și aplică puține anteturi HTTP concentrate pe securitate.

După crearea fragmentelor, deschideți blocul serverului de domeniu și includeți fragmentul de letsencrypt.conf așa cum se arată mai jos:

/etc/nginx/conf.d/example.com.conf

server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }

Reîncărcați configurația Nginx pentru ca modificările să aibă efect:

sudo systemctl reload nginx

Acum puteți rula Certbot cu pluginul webroot și puteți obține fișierele de certificat SSL pentru domeniul dvs., emitând:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Dacă certificatul SSL este obținut cu succes, certificbot va imprima următorul mesaj:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-06-11. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Acum că aveți fișierele de certificare, puteți să vă editați blocul de server de domeniu după cum urmează:

/etc/nginx/conf.d/example.com.conf

server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }

Cu configurația de mai sus, forțăm HTTPS și redirecționăm www către versiunea non www.

În sfârșit, reîncărcați serviciul Nginx pentru ca modificările să aibă efect:

sudo systemctl reload nginx

Reînnoire automată Let's Encrypt SSL certificate

Certificatele Let's Encrypt sunt valabile 90 de zile. Pentru a reînnoi automat certificatele înainte de a expira, vom crea un cronjob care va rula de două ori pe zi și va reînnoi automat orice certificat cu 30 de zile înainte de expirarea acestuia.

Rulați comanda crontab pentru a crea un nou cronjob:

sudo crontab -e

Lipiți următoarele linii:

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"

Salvați și închideți fișierul.

Pentru a testa procesul de reînnoire, puteți utiliza comanda certbot urmată de comutatorul --dry-run :

sudo certbot renew --dry-run

Dacă nu există erori, înseamnă că procesul de reînnoire a testului a avut succes.

Concluzie

În acest tutorial, ați folosit clientul Encrypt, certificbot pentru a descărca certificate SSL pentru domeniul dvs. De asemenea, ați creat fragmente Nginx pentru a evita duplicarea codului și ați configurat Nginx pentru a utiliza certificatele. La sfârșitul tutorialului ați creat un cronjob pentru reînnoirea automată a certificatelor.

nginx centos hai să criptăm certbot ssl

Acest post este o parte din seria Instalare LEMP pe seria CentOS 7.

Alte postări din această serie:

• Cum instalați Nginx pe CentOS 7 • Securizați Nginx cu ajutorul criptării CentOS 7 • Instalați MariaDB pe CentOS 7 • Instalați PHP 7 pe CentOS 7 • Cum configurați blocurile Nginx Server pe CentOS 7