Let’s Encrypt Free SSL podešavanje – Nginx (Ubuntu 18.04)


Let’s Encrypt Free SSL podešavanje – Nginx (Ubuntu 18.04)

Uvod

Kratak tutorial za Free SSL podešavanje Let’s Encrypt sertifikata na Ubuntu 18.04 serveru koji se oslanja na Nginx web server.

SSL (Secure Sockets Layer)  je predominantni sigurnosni protokol za bezebdnu komunikaciju između klijenta i servera. U referentnom modelu ISO/OSI, SSL se nalazi na sloju sesije, između prenosnog i sloja aplikacije. Kada je u pitanju porodica protokola interneta to je onda između protokola TCP/IP i protokola aplikacije kao što su HTTP, FTP, Telnet, itd. SSL ne nudi nikakav unutrašnji mehanizam sinhronizacije; oslanja se na link podataka sloja ispod.

Let’s Encrypt je sertifikacioni centar (Ceritificate Authority) stvoren sa namerom da omogući automatizovanu, besplatnu enkripciju podataka za web sajtove

Korak 1 — Instalacija Let’s Encrypt klijenta

Let’s Encrypt sertifikati se dohvataju preko klijentskog softvera (Certbot). Dodajte repozitorijum pre instalacije:

sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install python-certbot-nginx

Korak 2 — Nginx podešavanje

Neophodno je da server blok postoji u okviru Nginx konfiguracije (konkretno server_name), kako bi ga Certbot našao i uredno konfigurisao SSL :

. . .
server_name example.com www.example.com;
. . .

Provera sintakse configuracionog fajla (Nginx):

sudo nginx -t

Resetovanje Nginx servera:

sudo systemctl reload nginx

Korak 3 — Podešavanje Firewall-a kako bi se omogućio HTTPS saobraćaj (verovatno suvišno)

Podrazumevao je uwf () neaktivan, ali proverite status:

sudo ufw status

Ukoliko je aktivan, možete omogućiti HTTPS saobraćaj dozvolom Nginx Full profila a zatim brisanjem HTTP profila:

sudo ufw allow 'Nginx Full'
sudo ufw delete allow 'Nginx HTTP'

Korak 4 — Dobijanje Free SSL Sertifikata

Pokrenite Certbot komandu kako biste dobili sertifikat:

sudo certbot --nginx -d example.com -d www.example.com

-d parametar definise za koja imena želimo da dodatamo sertifikat

Korak 5 — Verifikovanje Certbot automatskog osvežavanja (auto-renewal)

Let’s Encrypt’s sertifikat je validan 90 dana. Ovo primorava korisnike da automatizuju proces osvežavanja. Certbot paket koji smo instalirali obezbeđuje ovo dodavanjem skripta za osvežavanje u /etc/cron.d. Ovaj skript se izvršava 2 puta dnevno i automatski osvežava sertifikat koji ima još 30 dana do isteka

sudo certbot renew --dry-run

Ukoliko nema grešaka, sve je ok.