在 Debian 10 Linux 上使用 Let's Encrypt 保护 Nginx

Let’s Encrypt 是由互联网安全研究小组 (ISRG) 开发的免费、自动化、开放的证书颁发机构，提供免费的 SSL 证书。

Let’s Encrypt 颁发的证书受到所有主要浏览器的信任，并且自颁发之日起 90 天内有效。

本教程展示了如何在 Debian 10、Buster（运行 Nginx 作为 Web 服务器）上安装免费的 Let’s Encrypt SSL 证书。我们还将展示如何配置 Nginx 以使用 SSL 证书并启用 HTTP/2。

先决条件#

在继续阅读本指南之前，请确保满足以下先决条件：

• 以 root 或用户身份登录须藤权限 .
• 您要获取SSL证书的域名必须指向您的公共服务器IP。我们将使用example.com.
• 已安装 Nginx .

安装Certbot#

我们将使用 certbot 工具来获取和续订证书。

Certbot 是一款功能齐全且易于使用的工具，可自动执行获取和续订 Let’s Encrypt SSL 证书以及配置 Web 服务器以使用证书的任务。

certbot 软件包包含在默认的 Debian 存储库中。运行以下命令安装 certbot：

sudo apt updatesudo apt install certbot

生成 Dh (Diffie-Hellman) 组#

Diffie-Hellman 密钥交换 (DH) 是一种通过不安全的通信通道安全交换加密密钥的方法。

我们将生成一组新的 2048 位 DH 参数来增强安全性：

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

您还可以将大小更改为最多 4096 位，但生成可能需要超过 30 分钟，具体取决于系统熵。

获取 Let's Encrypt SSL 证书#

要获取域的 SSL 证书，我们将使用 Webroot 插件。它的工作原理是创建一个临时文件来验证所请求的域${webroot-path}/.well-known/acme-challenge目录。 Let’s Encrypt 服务器向临时文件发出 HTTP 请求，以验证请求的域是否解析为 certbot 运行的服务器。

我们将映射所有 HTTP 请求.well-known/acme-challenge到单个目录，/var/lib/letsencrypt.

运行以下命令创建目录并使其可供 Nginx 服务器写入：

sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt

为了避免重复代码，我们将创建两个片段，将其包含在所有 Nginx 服务器块文件中。

打开你的文本编辑器并创建第一个片段，letsencrypt.conf:

sudo nano /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ {
  allow all;
  root /var/lib/letsencrypt/;
  default_type "text/plain";
  try_files $uri =404;
}

第二个片段ssl.conf包括推荐的削片机Mozilla，启用 OCSP Stapling、HTTP 严格传输安全 (HSTS)，并强制执行一些以安全为重点的 HTTP 标头。

sudo nano /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem;

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;

add_header Strict-Transport-Security "max-age=63072000" always;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;

完成后，打开域服务器块文件并包含letsencrypt.conf片段如下所示：

sudo nano /etc/nginx/sites-available/example.com.conf

server {
  listen 80;
  server_name example.com www.example.com;

  include snippets/letsencrypt.conf;
}

创建一个符号链接到sites-enabled启用域服务器块的目录：

sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/

重启Nginx服务使更改生效：

sudo systemctl restart nginx

您现在可以通过运行以下命令来获取 SSL 证书文件：

sudo certbot certonly --agree-tos --email admin@example.com --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

如果成功获取SSL证书，您的终端将打印以下消息：

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2020-02-22. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

编辑域服务器块并包含 SSL 证书文件，如下所示：

sudo nano /etc/nginx/sites-available/example.com.conf

server {
    listen 80;
    server_name www.example.com example.com;

    include snippets/letsencrypt.conf;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name www.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    return 301 https://example.com$request_uri;
}

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    # . . . other code
}

上面的配置告诉我们Nginx 从 HTTP 重定向到 HTTPS以及从 www 版本到非 www 版本。

重新启动或重新加载 Nginx 服务以使更改生效：

sudo systemctl restart nginx

使用打开您的网站https://，您会注意到一个绿色的锁图标。

如果您使用以下命令测试您的域SSL 实验室服务器测试，你会得到一个A+等级，如下图所示：

自动续订 Let's Encrypt SSL 证书#

Let’s Encrypt 的证书有效期为 90 天。为了在证书过期之前自动更新证书，certbot 包创建了一个 cronjob 和一个 systemd 计时器。计时器将在证书到期前 30 天自动更新证书。

当证书更新时，我们还必须重新加载 nginx 服务。打开/etc/letsencrypt/cli.ini并添加以下行：

sudo nano /etc/letsencrypt/cli.ini

deploy-hook = systemctl reload nginx

通过运行以下命令来测试自动续订过程：

sudo certbot renew --dry-run

如果没有错误，则表示更新过程成功。

结论#

如今，拥有 SSL 证书是必须的。它可以保护您的网站，提高 SERP 排名位置，并允许您在 Web 服务器上启用 HTTP/2。

在本教程中，我们向您展示了如何使用 certbot 脚本生成和续订 SSL 证书。我们还向您展示了如何配置 Nginx 以使用证书。

要了解有关 Certbot 的更多信息，请访问证书机器人文档 .

如果您有任何问题或反馈，请随时发表评论。