Получаем валидные сертификаты SSL от Let's Encrypt для NGINX
RHEL / Ubuntu / Nginx 9-03-2023, 11:19 sobir 2 078 1
Let’s Encrypt — это бесплатный, автоматизированный и открытый Центр Сертификации, созданный некоммерческой организацией Internet Security Research Group (ISRG).
Центр сертификации Let’s Encrypt выдаёт валидные сертификаты SSL сроком действия на 90 дней. Мы также можем автоматизировать процесс продления сертификатов с помощью запланировщика задач cron.
Устанавливаем необходимые пакеты:
Ubuntu / Debian
apt install certbot python3-certbot-nginx python3-certbot-dns-cloudflare -y
RHEL
dnf install certbot python3-certbot-nginx python3-certbot-dns-cloudflare -y
Создадим конфигурацию для сайта newsite.com в NGINX:
vi /etc/nginx/conf.d/newsite_com.conf
server {
listen 80;
server_name newsite.com www.newsite.com;
#return 301 https://$host$request_uri;
root /usr/share/nginx/html;
index index.html;
location / {
deny all;
}
location ^~ /.well-known {
default_type 'text/plain';
allow all;
}
error_log /var/log/nginx/newsite_com_error.log error;
access_log /var/log/nginx/newsite_com_access.log;
}
Проверяем изменения на наличие ошибок и перечитываем конфиг:
nginx -t
nginx -s reload
Получить SSL сертификат мы можем несколькими способами:
1. С использованием плагина webroot
certbot certonly -a webroot -w /usr/share/nginx/html --email adm@newsite.com --agree-tos -d newsite.com -d www.newsite.com
2. С использованием плагина nginx
certbot certonly --nginx -d newsite.com -d www.newsite.com
3. С использованием плагина dns-cloudflare, если ваш домен делегирован на сервера Cloudflare
mkdir /root/.secrets
echo 'dns_cloudflare_email = "adm@newsite.com"' > /root/.secrets/cloudflare.ini
echo 'dns_cloudflare_api_key = "put_your_api_key"' >> /root/.secrets/cloudflare.ini
chmod -R 700 /root/.secrets
certbot certonly \
--dns-cloudflare \
--dns-cloudflare-credentials /root/.secrets/cloudflare.ini \
--dns-cloudflare-propagation-seconds 60 \
-d newsite.com -d www.newsite.com
Проверяем наличие сертификата в директории:
ls -l /etc/letsencrypt/live/
Создадим скрипт для автоматического продления сертификатов:
vi /root/le-renew.sh
#!/bin/bash
certbot renew
Запланируем запуск скрипта на каждый месяц:
crontab -e
0 0 1 * * /root/le-renew.sh
Делаем скрипт исполняемым:
chmod u+x /root/le-renew.sh
Настраиваем обратный прокси сервер NGINX с SSL-терминацией и генерируем бесплатные валидные сертификаты SSL...
ПодробнееПоднимаем сервер SSL VPN OpenConnect для удаленного доступа пользователям....
ПодробнееРазрешаем веб трафик на сервер NGINX только с серверов Cloudflare....
ПодробнееПолучаем реальные IP-адреса клиентов за Cloudflare в лог-файлах nginx access log....
ПодробнееНовые комментарии
Салом, можно ещё создать файл в /etc/nginx/proxy_params, a потом добавить туда

Можно ещё так: 1. Создаем отдельную сеть для наших контейнеров docker network

Спасибо за отзыв, написал отдельную статью по установке и настройке Ansible

Думаю в статье необходимо также описать процесс установки Ansible.

Принудительное обновление сертификата: certbot certonly --force-renew -d

Можно, но я решил описать процесс копирования ключей более подробно.

Какой дистрибутив Linux вы часто используете?
Календарь
« Сентябрь 2023 » | ||||||
---|---|---|---|---|---|---|
Пн | Вт | Ср | Чт | Пт | Сб | Вс |
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 |