Installeren van gratis SSL-certificaat op LEMP Stack met Let's Encrypt

Let's Encrypt is een Linux Foundation Collaborative Project, open certificate authority, aangeboden door de Internet Security Research Group. Gratis voor iedereen die een domeinnaam bezit om Let's Encrypt te gebruiken om een ​​vertrouwd certificaat te verkrijgen. De mogelijkheid om het vernieuwingsproces te automatiseren, evenals werken om het eenvoudiger te installeren en configureren. Help bij het beveiligen van sites en het bevorderen van TLS-beveiligingspraktijken. Zorg voor transparantie en alle certificaten zijn openbaar beschikbaar voor inspectie. Sta anderen toe hun protocollen voor uitgifte en verlenging te gebruiken als een open standaard.

Let's Encrypt probeert in essentie veiligheid te creëren die niet afhankelijk is van belachelijke hoepels gemaakt door grote, voor winstgevende organisaties. (Je zou kunnen zeggen dat ik geloof in open source, en dit is open source op zijn best).

Er zijn twee opties: download het pakket en installeer het vanuit de repositories of installeer de certbot-auto-wrapper (voorheen letsencrypt-auto) direct vanuit letsencrypt.

Om te downloaden van de repositories

sudo apt-get install letsencrypt -y

Zodra de installatie is voltooid, is het tijd om uw cert te bemachtigen! We gebruiken de stand-alone-methode certonly, waarbij een exemplaar van een server wordt uitgelokt alleen voor het verkrijgen van uw certificaat.

sudo letsencrypt certonly -standalone -d example.com -d subdomain.example.com -d othersubdomain.example.com

Voer uw e-mailadres in en ga akkoord met de servicevoorwaarden. U zou nu een goed certificaat moeten hebben voor elk van de domeinen en subdomeinen die u hebt ingevoerd. Elk domein en subdomein worden uitgedaagd, dus als u geen DNS-record naar uw server verwijst, mislukt het verzoek.

Als u het proces wilt testen voordat u uw eigenlijke certificaat krijgt, kunt u -test-cert als een argument na certonly toevoegen. Opmerking: -test-cert installeert een ongeldig certificaat. U kunt dit een onbeperkt aantal keren doen, maar als u live-certificaten gebruikt, is er een tarieflimiet.

Wildcard-domeinen worden niet ondersteund en lijken ook niet te worden ondersteund. De opgegeven reden is dat u, omdat het certificaatproces gratis is, er zoveel kunt aanvragen als u nodig hebt. U kunt ook meerdere domeinen en subdomeinen op hetzelfde certificaat hebben.

Verhuizen naar de configuratie van NGINX om ons nieuw verworven certificaat te gebruiken! Voor het pad naar het certificaat gebruik ik het daadwerkelijke pad in plaats van een reguliere expressie.

We hebben SSL, kunnen al ons verkeer er ook naar verwijzen. De eerste serversectie doet precies dat. Ik heb het ingesteld om alle verkeer, inclusief subdomeinen, om te leiden naar het primaire domein.

PRO TIP: Als het probleem zich voordoet met uw computer of een laptop / notebook, kunt u proberen de Reimage Plus-software te gebruiken die de opslagplaatsen kan scannen en corrupte en ontbrekende bestanden kan vervangen. Dit werkt in de meeste gevallen, waar het probleem is ontstaan ​​door een systeembeschadiging. U kunt Reimage Plus downloaden door hier te klikken

Als u Chrome gebruikt en de bovengenoemde ssl-ciphers niet uitschakelt, krijgt u err_spdy_inadequate_transport_security. Je moet ook het nginx conf-bestand bewerken om er ongeveer zo uit te zien om een ​​beveiligingsfout in gzip te omzeilen

Mocht u merken dat u iets als ontkende toegang krijgt - moet u controleren of de servernaam (en root) correct is. Ik ben net klaar met mijn hoofd tegen de muur te slaan totdat ik bewusteloos raakte. Gelukkig kwam het antwoord in mijn nachtmerries op de server - je vergat je root-directory in te stellen! Bloody en bludgeoned, ik stop de root in en daar is het, mijn mooie index.

Als u wand om in te stellen voor afzonderlijke subdomeinen, kunt u gebruiken

U wordt gevraagd om een ​​wachtwoord voor de gebruikersnaam te maken (tweemaal).

sudo service nginx herstarten

Nu kunt u vanaf elke locatie toegang krijgen tot uw site met een gebruikersnaam en wachtwoord of lokaal zonder. Als je altijd een wachtwoorduitdaging wilt, verwijder dan de toegestane 10.0.0.0/24; # Verander naar uw lokale netwerklijn.

Let op de spatiëring voor auth_basic, als het niet goed is, krijg je een foutmelding.

Als je een verkeerd wachtwoord hebt, wordt je geraakt door een 403

Nog een laatste punt dat we moeten doen, stel automatisch de SSL-certificaten in.

Hiervoor is een eenvoudige cron-taak de juiste tool voor de klus, we gaan het als de rootgebruiker stellen om toestemmingsfouten te voorkomen

(sudo crontab -l 2> / dev / null; echo '0 0 1 * * letsencrypt renew') | sudo crontab -

De reden voor het gebruik van / dev / null is om ervoor te zorgen dat u naar de crontab kunt schrijven, zelfs als deze niet eerder bestond.

PRO TIP: Als het probleem zich voordoet met uw computer of een laptop / notebook, kunt u proberen de Reimage Plus-software te gebruiken die de opslagplaatsen kan scannen en corrupte en ontbrekende bestanden kan vervangen. Dit werkt in de meeste gevallen, waar het probleem is ontstaan ​​door een systeembeschadiging. U kunt Reimage Plus downloaden door hier te klikken

Facebook Twitter Google Plus Pinterest