Let's Encrypt ist eine kostenlose und offene Zertifizierungsstelle (CA). Es bietet eine einfache Möglichkeit, kostenlose TLS/SSL-Zertifikate zu erhalten, zu installieren und zu erneuern.
Hier bei LinuxAPT helfen wir unseren Kunden im Rahmen unserer Server Management Services regelmäßig dabei, entsprechende Nginx-Abfragen durchzuführen.
In diesem Zusammenhang werden wir untersuchen, wie Sie ein kostenloses SSL-Zertifikat von Let’s Encrypt und Secure Nginx auf einem Ubuntu 18.04-Server erhalten und installieren können.
Wie installiere ich Let's Encrypt auf Ubuntu?
Bevor Sie dieses Installationsverfahren durchführen, stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind:
- Ubuntu-Server mit einem Nicht-Root-Benutzer mit sudo-Berechtigungen.
- Nginx muss installiert und konfiguriert sein, wie in diesem Handbuch gezeigt.
- Haben Sie einen Nginx-Serverblock für Ihre Domain, wie in diesem Leitfaden gezeigt.
- Ihr Domainname sollte auf Ihre Server-IP-Adresse verweisen.
Befolgen Sie nun die Schritte zur Verwendung des Certbot-Tools, um ein kostenloses SSL-Zertifikat für Nginx auf einem Ubuntu 18.04-Server zu erhalten.
1. Certbot-Client installieren
Mit dem Certbot-Client-Paket können Sie SSL-Zertifikate von Let's Encrypt ganz einfach erhalten, installieren und erneuern. Es ist sinnvoll, Webserver für die Verwendung von SSL-Zertifikaten zu konfigurieren. Das certbot-Paket ist in den standardmäßigen Ubuntu-Repositories enthalten.
Zuerst aktualisieren wir den Index der Paketliste, indem wir Folgendes eingeben:
$ sudo apt update
Installieren Sie jetzt den Certbot-Client, indem Sie den folgenden Befehl ausführen:
$ sudo apt install python-certbot-nginx
Außerdem können Sie überprüfen, ob certbot erfolgreich installiert wurde oder nicht, indem Sie Folgendes eingeben:
$ certbot --version
2. Firewall konfigurieren
Wenn Ihr Server durch eine UFW-Firewall geschützt ist, müssen Sie die Firewall anpassen, um HHTPS-Datenverkehr zuzulassen.
Um die aktuellen Einstellungen nach Typ anzuzeigen:
$ sudo ufw status
Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Nginx HTTP ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Nginx HTTP (v6) ALLOW Anywhere (v6)
Um HTTPS-Datenverkehr zu erhalten, müssen Sie das vollständige Nginx-Profil zulassen und die redundante Nginx-HTTP-Profilzulassung löschen:
$ sudo ufw allow 'Nginx Full'
$ sudo ufw delete allow 'Nginx HTTP'
Jetzt sieht der Status wie folgt aus:
Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Nginx Full ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Nginx Full (v6) ALLOW Anywhere (v6)
3. Holen Sie sich das Let's Encrypt SSL-Zertifikat auf Nginx
Sie können SSL-Zertifikate auf mehrere Arten erhalten.
ich. Hier verwenden wir den certbot-Client, um ein SSL-Zertifikat zu erhalten:
$ sudo certbot --nginx -d example.com -d www.example.com
Hier fordern wir beispielsweise Domains von example.com und www.example.com an. Wenn dies zum ersten Mal installiert wird, werden Sie aufgefordert, eine E-Mail-Adresse einzugeben und den Nutzungsbedingungen zuzustimmen. Die eingegebene E-Mail-Adresse wird zum Senden von E-Mail-Benachrichtigungen in Bezug auf SSL-Verlängerung und -Ablauf verwendet.
Wenn die Validierung erfolgreich war, werden Sie als Nächstes aufgefordert, die HTTPS-Einstellungen zu konfigurieren:
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):
ii. Wählen Sie Option 1 oder 2 nach Ihrer Wahl und drücken Sie die Eingabetaste, um fortzufahren. Nginx Server Blocks wird basierend auf Ihrer ausgewählten Option aktualisiert und Nginx wird neu geladen, um die neuen Einstellungen zu übernehmen.
Schließlich wird Ihre Domain mit dem Let's Encrypt SSL-Zertifikat gesichert. Sie können dies überprüfen, indem Sie Ihre Website mit dem HTTPS-Protokoll besuchen.
Wie stelle ich die automatische Verlängerung für das SSL-Zertifikat von Let's Encrypt ein?
SSL-Zertifikate von Let's Encrypt haben eine kurze Lebensdauer von 90 Tagen, daher müssen Sie sie erneuern, bevor sie ablaufen.
ich. Sie können das SSL-Zertifikat erneuern, bevor es abläuft, indem Sie Folgendes eingeben:
$ sudo certbot renew
ii. Darüber hinaus können Sie den automatischen Verlängerungsprozess für SSL-Zertifikate von Let’s Encrypt einrichten, indem Sie einen Cronjob hinzufügen. Führen Sie den folgenden Befehl aus, um crontab zu öffnen:
$ sudo crontab -e
iii. Fügen Sie als Nächstes die folgende Zeile am Ende der Datei hinzu. Es führt den Befehl zweimal täglich aus und erneuert sich, wenn das Zertifikat bald abläuft:
0 */12 * * * root test -x /usr/bin/certbot -a ! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew
iv. Speichern und schließen Sie die Datei.
v. Sie können auch den automatischen Verlängerungsprozess von certbot überprüfen, indem Sie Folgendes eingeben:
$ sudo certbot renew --dry-run