Получаем валидные сертификаты SSL от Let's Encrypt для NGINX
Let’s Encrypt — это бесплатный, автоматизированный и открытый Центр Сертификации, созданный некоммерческой организацией Internet Security Research Group (ISRG).
Центр сертификации Let’s Encrypt выдаёт валидные сертификаты SSL сроком действия на 90 дней. Мы также можем автоматизировать процесс продления сертификатов с помощью запланировщика задач cron.
Устанавливаем необходимые пакеты:
Ubuntu / Debian
apt install certbot python3-certbot-nginx -yRHEL
yum install git python -y
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencryptСоздадим конфигурацию для сайта newsite.com в NGINX:
vi /etc/nginx/conf.d/newsite_com.conf
server {
listen 80;
server_name newsite.com www.newsite.com;
#return 301 https://$host$request_uri;
root /usr/share/nginx/html;
index index.html;
location / {
deny all;
}
location ^~ /.well-known {
default_type 'text/plain';
allow all;
}
error_log /var/log/nginx/newsite_com_error.log error;
access_log /var/log/nginx/newsite_com_access.log;
}Проверяем изменения на наличие ошибок и перечитываем конфиг:
nginx -t
nginx -s reloadЗапускаем скрипт для получения сертификата для домена newsite.com:
Ubuntu / Debian
certbot certonly -a webroot -w /usr/share/nginx/html --email [email protected] --agree-tos -d newsite.com -d www.newsite.comRHEL
/opt/letsencrypt/letsencrypt-auto certonly -a webroot -w /usr/share/nginx/html --email [email protected] --agree-tos -d newsite.com -d www.newsite.comПроверяем наличие сертификата в директории:
ls -l /etc/letsencrypt/live/Редактируем конфигурацию сайта:
vi /etc/nginx/conf.d/newsite_com.conf
server {
listen 80;
server_name newsite.com www.newsite.com;
return 301 https://$host$request_uri;
root /usr/share/nginx/html;
index index.html;
location / {
deny all;
}
location ^~ /.well-known {
default_type 'text/plain';
allow all;
}
error_log /var/log/nginx/newsite_com_error.log error;
access_log /var/log/nginx/newsite_com_access.log;
}
server {
listen 443 ssl;
server_name newsite.com www.newsite.com;
ssl_certificate /etc/letsencrypt/live/newsite.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/newsite.com/privkey.pem;
ssl_protocols TLSv1.1 TLSv1.2;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
root /usr/share/nginx/html;
index index.html;
location / {
try_files $uri $uri/ =404;
}
location ^~ /.well-known {
default_type 'text/plain';
allow all;
}
error_log /var/log/nginx/newsite_com_ssl_error.log error;
access_log /var/log/nginx/newsite_com_ssl_access.log;
}Проверяем изменения на наличие ошибок и перечитываем конфиг:
nginx -t
nginx -s reloadСоздадим скрипт для автоматического продления сертификатов:
Ubuntu / Debian
vi /root/le-renew.sh
#!/bin/bash
certbot renewRHEL
vi /root/le-renew.sh
#!/bin/bash
# run the letsencrypt script to renew all expired certificates
/opt/letsencrypt/letsencrypt-auto renew --webroot -w /usr/share/nginx/html
# reload nginx configuration
systemctl reload nginxЗапланируем запуск скрипта на каждый месяц:
crontab -e
0 0 1 * * /root/le-renew.shДелаем скрипт исполняемым:
chmod u+x /root/le-renew.sh
Комментарии
Получаем SSL сертификат с помощью плагина nginx:
certbot certonly --nginx -d newsite.com -d www.newsite.com
certbot certonly --nginx -d newsite.com -d www.newsite.com
7 августа 2021 15:35
sobir
Можно, но я решил описать процесс копирования ключей более подробно.
3 июля 2021 14:19
sobir
Или можно просто командой ssh-copy-id [email protected]_host добавить публичный ключ на удалённый сервер.
30 июня 2021 15:26
dsharipov
Какой дистрибутив Linux вы часто используете?
Реклама
Гости3
Список пользователей
sobir
Был(a) в сети 6 часов назад