Installera gratis SSL-certifikat på LEMP-stack med Låt oss kryptera
Låt oss Kryptera är ett Linux-grundprojekt, öppen certifikatmyndighet, som tillhandahålls av Internet Security Research Group. Gratis för alla som äger ett domännamn för att använda Låt oss kryptera för att få ett betrodat certifikat. Möjligheten att automatisera förnyelseprocessen, samt arbeta för att göra det enklare att installera och konfigurera. Hjälp till att hålla webbplatser säkra, och utveckla TLS-säkerhetspraxis. Behåll insyn, med alla certifikat som är tillgängliga för inspektion. Tillåt andra att använda sina utgivnings- och förnyelseprotokoll som en öppen standard.
I grunden, Let's Encrypt försöker göra säkerhet inte beroende av löjliga hoops som gjorts av stora, för vinstorganisationer. (Du kan säga att jag tror på öppen källkod, och det här är öppen källkod när det är bäst).
Det finns två alternativ: ladda ner paketet och installera från repositories, eller installera certbot-auto wrapper (tidigare letsencrypt-auto) från letsencrypt direkt.
För att ladda ner från repositorierna
sudo apt-get install letsencrypt -y
När installationen är klar, dags att få din cert! Vi använder certonly standalone-metoden, gyter en instans av en server bara för att erhålla ditt certifikat.
sudo letsencrypt certonly -standalone -d example.com -d underdomän.example.com -d andra domän.example.com
Ange din e-post och godkänn användarvillkoren. Du ska nu ha ett certifikat som är bra för alla domäner och underdomäner du har angett. Varje domän och deldomän blir utmanad, så om du inte har en DNS-post som pekar på din server, kommer begäran att misslyckas.
Om du vill testa processen, innan du får ditt faktiska certifikat, kan du lägga till -test-cert som ett argument efter certonly. Obs! -test-cert installerar ett ogiltigt certifikat. Du kan göra detta ett obegränsat antal gånger, men om du använder live certs finns det en gränsgräns.
Vilda kortdomäner stöds inte heller, det verkar inte att de kommer att stödjas. Anledningen till detta är att eftersom certifikatprocessen är ledig kan du begära så många som du behöver. Du kan också ha flera domäner och deldomäner på samma certifikat.
Flytta till konfigurationen av NGINX för att använda vårt nyligen förvärvade certifikat! För sökvägen till certifikatet använder jag den aktuella sökvägen, snarare än ett vanligt uttryck.
Vi har SSL, kan också omdirigera all vår trafik till den. Den första serverns sektionen gör just det. Jag har den inställd att omdirigera all trafik, inklusive underdomäner, till den primära domänen.
PRO TIPS: Om problemet är med din dator eller en bärbar dator, bör du försöka använda Reimage Plus-programvaran som kan skanna förvaret och ersätta korrupta och saknade filer. Detta fungerar i de flesta fall där problemet uppstått på grund av systemkorruption. Du kan ladda ner Reimage Plus genom att klicka härOm du använder Chrome och inte inaktiverar ovanstående angivna ssl-cifrar, får du err_spdy_inadequate_transport_security. Du måste också redigera nginx conf-filen för att se något liknande så att det kan fungera om en säkerhetsfel i gzip
Om du upptäcker att du får något som åtkomst nekas - du måste dubbelkolla att servernamn (och root) är korrekt. Jag slutade precis knuffa mitt huvud mot väggen tills jag gick ut. Lyckligtvis i min server mardrömmar, kom med svaret - du glömde att ställa in din rotkatalog! Blodig och bludgeoned, jag satte i roten och där är det, mitt underbara index.
Om du vill sätta upp för separata underdomäner kan du använda
Du kommer att uppmanas att skapa ett lösenord för användarnamnet (två gånger).
sudo service nginx omstart
Nu kan du komma åt din webbplats var som helst med ett användarnamn och lösenord, eller lokalt utan. Om du vill alltid ha en lösenordsutmaning, ta bort tillåten 10.0.0.0/24; # Ändra till din lokala nätverkslinje.
Tänk på avståndet för auth_basic, om det inte är rätt kommer du att få ett fel.
Om du har lösenordet fel får du träffa en 403
En sista sak vi behöver göra, sätta upp autorenewal av SSL certs.
För detta är ett enkelt cronjobb det rätta verktyget för jobbet, vi kommer att ange det som root-användare för att förhindra tillståndsfel
(sudo crontab -l 2> / dev / null, echo '0 0 1 * * letsencrypt förnya)) | sudo crontab -
Anledningen till att använda / dev / null är att se till att du kan skriva till crontab, även om man inte tidigare fanns.
PRO TIPS: Om problemet är med din dator eller en bärbar dator, bör du försöka använda Reimage Plus-programvaran som kan skanna förvaret och ersätta korrupta och saknade filer. Detta fungerar i de flesta fall där problemet uppstått på grund av systemkorruption. Du kan ladda ner Reimage Plus genom att klicka här