Asegure nginx con vamos a cifrar en debian 9

Let's Encrypt es una autoridad de certificación gratuita y abierta desarrollada por Internet Security Research Group (ISRG). Hoy en día, casi todos los navegadores confían en los certificados emitidos por Let's Encrypt.

En este tutorial, explicaremos cómo usar la herramienta Certbot para obtener un certificado SSL gratuito para Nginx en Debian 9. También mostraremos cómo configurar Nginx para usar el certificado SSL y habilitar HTTP / 2.

Prerrequisitos

Asegúrese de que se cumplan los siguientes requisitos previos antes de continuar con este tutorial:

• Ingresó como usuario con privilegios de sudo. Tenga un nombre de dominio que apunte a la IP de su servidor público. Usaremos example.com Tenga instalado Nginx siguiendo estas instrucciones. Tiene un bloque de servidor para su dominio. Puede seguir estas instrucciones para obtener detalles sobre cómo crear uno.

Instalar Certbot

Certbot es una herramienta completa y fácil de usar que puede automatizar las tareas para obtener y renovar certificados Let's Encrypt SSL y configurar servidores web para usarlos. El paquete certbot está incluido en los repositorios predeterminados de Debian.

Actualice la lista de paquetes e instale el paquete certbot:

sudo apt update sudo apt install certbot

Generar grupo fuerte Dh (Diffie-Hellman)

El intercambio de claves Diffie – Hellman (DH) es un método de intercambio seguro de claves criptográficas a través de un canal de comunicación no seguro. Vamos a generar un nuevo conjunto de parámetros DH de 2048 bits para fortalecer la seguridad:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 Si lo desea, puede cambiar el tamaño hasta 4096 bits, pero en ese caso, la generación puede tomar más de 30 minutos dependiendo de la entropía del sistema.

Obtención de un certificado SSL Let's Let's Encrypt

Para obtener un certificado SSL para nuestro dominio, utilizaremos el complemento Webroot que funciona creando un archivo temporal para validar el dominio solicitado en el ${webroot-path}/.well-known/acme-challenge . El servidor Let's Encrypt realiza solicitudes HTTP al archivo temporal para validar que el dominio solicitado se resuelva en el servidor donde se ejecuta certbot.

Vamos a asignar todas las solicitudes HTTP para .well-known/acme-challenge a un único directorio, /var/lib/letsencrypt .

Los siguientes comandos crearán el directorio y lo harán escribible para el servidor Nginx.

mkdir -p /var/lib/letsencrypt/.well-known chgrp www-data /var/lib/letsencrypt chmod g+s /var/lib/letsencrypt

Para evitar la duplicación de código, cree los siguientes dos fragmentos que se incluirán en todos nuestros archivos de bloque de servidor Nginx.

Abra su editor de texto y cree el primer fragmento, letsencrypt.conf :

sudo nano /etc/nginx/snippets/letsencrypt.conf /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; }

Cree el segundo fragmento ssl.conf que incluye los chippers recomendados por Mozilla, habilita el engrapado OCSP, HTTP Strict Transport Security (HSTS) y aplica pocos encabezados HTTP centrados en la seguridad.

sudo nano /etc/nginx/snippets/ssl.conf /etc/nginx/snippets/ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff;

Una vez hecho esto, abra el archivo de bloqueo del servidor de dominio e incluya el fragmento letsencrypt.conf como se muestra a continuación:

sudo nano /etc/nginx/sites-available/example.com /etc/nginx/sites-available/example.com

server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; }

Habilite el nuevo bloque de servidor creando un enlace simbólico al directorio sites-enabled para sites-enabled :

sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/

Reinicie el servicio Nginx para que los cambios surtan efecto:

sudo systemctl restart nginx

Ahora puede ejecutar Certbot con el complemento webroot y obtener los archivos de certificado SSL emitiendo:

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Si el certificado SSL se obtiene con éxito, el siguiente mensaje se imprimirá en su terminal:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-07-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF:

A continuación, edite el bloque del servidor de dominio de la siguiente manera:

sudo nano /etc/nginx/sites-available/example.com /etc/nginx/sites-available/example.com

server { listen 80; server_name www.example.com example.com; include snippets/letsencrypt.conf; return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://example.com$request_uri; } server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; #… other code }

Con la configuración anterior, estamos forzando HTTPS y redirigiendo de la versión www a la no www.

Vuelva a cargar el servicio Nginx para que los cambios surtan efecto:

sudo systemctl reload nginx

Renovación automática del certificado SSL Let's Encrypt

Los certificados de Let's Encrypt son válidos por 90 días. Para renovar automáticamente los certificados antes de que caduquen, el paquete certbot crea un trabajo cron que se ejecuta dos veces al día y renueva automáticamente cualquier certificado 30 días antes de su vencimiento.

Como estamos usando el complemento certbot webroot una vez que se renueva el certificado, también tenemos que volver a cargar el servicio nginx. --renew-hook "systemctl reload nginx" al archivo /etc/cron.d/certbot para que se vea así:

sudo nano /etc/cron.d/certbot /etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"

Pruebe el proceso de renovación automática ejecutando este comando:

sudo certbot renew --dry-run

Si no hay errores, significa que el proceso de renovación fue exitoso.

Conclusión

Tener un certificado SSL es imprescindible hoy en día. Asegura su sitio web, aumenta la posición en el ranking SERP y le permite habilitar HTTP / 2 en su servidor web.

En este tutorial, utilizó el cliente Let's Encrypt, certbot, para generar certificados SSL para su dominio. También ha creado fragmentos de Nginx para evitar duplicar el código y ha configurado Nginx para usar los certificados. Al final del tutorial, ha configurado un cronjob para la renovación automática de certificados.

nginx debian cifremos certbot ssl

Esta publicación es parte de Cómo instalar LEMP Stack en la serie Debian 9.

Otras publicaciones en esta serie:

• Cómo instalar MariaDB en Ubuntu 18.04 • Cómo instalar Nginx en Debian 9 • Cómo instalar PHP en Debian 9 • Cómo configurar bloques de servidor Nginx en Debian 9 • Asegure Nginx con Let's Encrypt en Debian 9