Uvod
Kratak tutorial za Free SSL podešavanje Let’s Encrypt sertifikata na Ubuntu 18.04 serveru koji se oslanja na Nginx web server.
SSL (Secure Sockets Layer) je predominantni sigurnosni protokol za bezebdnu komunikaciju između klijenta i servera. U referentnom modelu ISO/OSI, SSL se nalazi na sloju sesije, između prenosnog i sloja aplikacije. Kada je u pitanju porodica protokola interneta to je onda između protokola TCP/IP i protokola aplikacije kao što su HTTP, FTP, Telnet, itd. SSL ne nudi nikakav unutrašnji mehanizam sinhronizacije; oslanja se na link podataka sloja ispod.
Let’s Encrypt je sertifikacioni centar (Ceritificate Authority) stvoren sa namerom da omogući automatizovanu, besplatnu enkripciju podataka za web sajtove
Korak 1 — Instalacija Let’s Encrypt klijenta
Let’s Encrypt sertifikati se dohvataju preko klijentskog softvera (Certbot). Dodajte repozitorijum pre instalacije:
sudo add-apt-repository ppa:certbot/certbot sudo apt-get update sudo apt-get install python-certbot-nginx
Korak 2 — Nginx podešavanje
Neophodno je da server blok postoji u okviru Nginx konfiguracije (konkretno server_name), kako bi ga Certbot našao i uredno konfigurisao SSL :
. . .
server_name example.com www.example.com;
. . .
Provera sintakse configuracionog fajla (Nginx):
sudo nginx -t
Resetovanje Nginx servera:
sudo systemctl reload nginx
Korak 3 — Podešavanje Firewall-a kako bi se omogućio HTTPS saobraćaj (verovatno suvišno)
Podrazumevao je uwf () neaktivan, ali proverite status:
sudo ufw status
Ukoliko je aktivan, možete omogućiti HTTPS saobraćaj dozvolom Nginx Full profila a zatim brisanjem HTTP profila:
sudo ufw allow 'Nginx Full' sudo ufw delete allow 'Nginx HTTP'
Korak 4 — Dobijanje Free SSL Sertifikata
Pokrenite Certbot komandu kako biste dobili sertifikat:
sudo certbot --nginx -d example.com -d www.example.com
-d parametar definise za koja imena želimo da dodatamo sertifikat
Korak 5 — Verifikovanje Certbot automatskog osvežavanja (auto-renewal)
Let’s Encrypt’s sertifikat je validan 90 dana. Ovo primorava korisnike da automatizuju proces osvežavanja. Certbot
paket koji smo instalirali obezbeđuje ovo dodavanjem skripta za osvežavanje u /etc/cron.d
. Ovaj skript se izvršava 2 puta dnevno i automatski osvežava sertifikat koji ima još 30 dana do isteka
sudo certbot renew --dry-run
Ukoliko nema grešaka, sve je ok.