Asegure nginx con vamos a cifrar en centos 8

Let's Encrypt es una autoridad de certificación gratuita, automatizada y abierta desarrollada por Internet Security Research Group (ISRG) que proporciona certificados SSL gratuitos.

Todos los principales navegadores confían en los certificados emitidos por Let's Encrypt y son válidos durante 90 días a partir de la fecha de emisión.

En este tutorial, proporcionaremos instrucciones paso a paso sobre cómo instalar un certificado SSL Let's Encrypt gratuito en CentOS 8 con Nginx como servidor web. También mostraremos cómo configurar Nginx para usar el certificado SSL y habilitar HTTP / 2.

Prerrequisitos

Antes de continuar, asegúrese de cumplir con los siguientes requisitos previos:

• Tiene un nombre de dominio que apunta a su IP pública. Usaremos example.com . Tiene instalado Nginx en su servidor CentOS. Su firewall está configurado para aceptar conexiones en los puertos 80 y 443.

Instalar Certbot

Certbot es una herramienta gratuita de línea de comandos que simplifica el proceso para obtener y renovar certificados Let's Encrypt SSL de HTTPS y habilitarlos automáticamente en su servidor.

El paquete certbot no está incluido en los repositorios estándar de CentOS 8, pero puede descargarse del sitio web del proveedor.

Ejecute el siguiente comando wget como usuario root o sudo para descargar el script certbot en el directorio /usr/local/bin :

sudo wget -P /usr/local/bin

Una vez que se complete la descarga, haga que el archivo sea ejecutable:

sudo chmod +x /usr/local/bin/certbot-auto

Generando grupo fuerte Dh (Diffie-Hellman)

El intercambio de claves Diffie – Hellman (DH) es un método de intercambio seguro de claves criptográficas a través de un canal de comunicación no seguro.

Genere un nuevo conjunto de parámetros DH de 2048 bits escribiendo el siguiente comando:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Obtención de un certificado SSL Let's Let's Encrypt

Para obtener un certificado SSL para el dominio, utilizaremos el complemento Webroot que funciona creando un archivo temporal para validar el dominio solicitado en el ${webroot-path}/.well-known/acme-challenge . El servidor Let's Encrypt realiza solicitudes HTTP al archivo temporal para validar que el dominio solicitado se resuelva en el servidor donde se ejecuta certbot.

Para hacerlo más simple, vamos a asignar todas las solicitudes HTTP para .well-known/acme-challenge a un solo directorio, /var/lib/letsencrypt .

Los siguientes comandos crearán el directorio y lo harán escribible para el servidor Nginx.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp nginx /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Para evitar duplicar el código, cree los siguientes dos fragmentos que se incluirán en todos los archivos de bloque del servidor Nginx:

sudo mkdir /etc/nginx/snippets /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; } /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=63072000" always; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;

El fragmento anterior incluye las astilladoras recomendadas por Mozilla, habilita el engrapado OCSP, HTTP Strict Transport Security (HSTS) y aplica pocos encabezados HTTP centrados en la seguridad.

Una vez que se crean los fragmentos, abra el bloque del servidor de dominio e incluya el fragmento letsencrypt.conf , como se muestra a continuación:

/etc/nginx/conf.d/example.com.conf

server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }

Vuelva a cargar la configuración de Nginx para que los cambios surtan efecto:

sudo systemctl reload nginx

Ejecute la herramienta certbot con el complemento webroot para obtener los archivos de certificado SSL para su dominio:

sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Si es la primera vez que certbot , la herramienta instalará las dependencias que faltan.

Una vez que el certificado SSL se haya obtenido con éxito, certbot imprimirá el siguiente mensaje:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2020-03-12. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

Ahora que tiene los archivos de certificado, puede editar su bloque de servidor de dominio de la siguiente manera:

/etc/nginx/conf.d/example.com.conf

server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }

Con la configuración anterior, estamos forzando HTTPS y redirigiendo la versión www a la versión no www.

Finalmente, vuelva a cargar el servicio Nginx para que los cambios surtan efecto:

sudo systemctl reload nginx

Ahora, abra su sitio web usando https:// , y notará un ícono de candado verde.

Renovación automática del certificado SSL Let's Encrypt

Los certificados de Let's Encrypt son válidos por 90 días. Para renovar automáticamente los certificados antes de que caduquen, cree un cronjob que se ejecutará dos veces al día y renueve automáticamente cualquier certificado 30 días antes del vencimiento.

Use el comando crontab para crear un nuevo cronjob:

sudo crontab -e

Pegue la siguiente línea:

0 */12 * * * root test -x /usr/local/bin/certbot-auto -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && /usr/local/bin/certbot-auto -q renew --renew-hook "systemctl reload nginx"

Guarde y cierre el archivo.

Para probar el proceso de renovación, puede usar el comando certbot seguido del interruptor --dry-run :

sudo certbot renew --dry-run

Si no hay errores, significa que el proceso de renovación de la prueba fue exitoso.

Conclusión

En este tutorial, le mostramos cómo usar el cliente Let's Encrypt, certbot, para descargar certificados SSL para su dominio. También creamos fragmentos de Nginx para evitar la duplicación de código y configuramos Nginx para usar los certificados. Al final del tutorial, hemos configurado un cronjob para la renovación automática de certificados.

Para obtener más información sobre Certbot, visite su página de documentación.

nginx centos encriptemos certbot ssl