Certificato SSL di Encrypt e autoodnawianie Let!
Chiunque sia interessato, utilizza o ha utilizzato una connessione crittografata per il suo sito Web / applicazione: questo sa di cosa si tratta, dla mniej zorientownych – jest to nowość na rynku, Let’s Encrypt zostałstworzony, by dawać użytkownikowi darmowy SSL dla 10 certyfikatów SSL w obrębie jednej domeny za DARMO na 3 miesiące.
Dzięki dostarczeniu przez autorów projektu, odnowienie certyfikatów można zautomatyzować, przez co w zasadzie można zapomnieć o co-3-miesięcznym ręcznym odnawianiu.
Do instalacji potrzebujesz pakiet “git” oraz kilka bibliotek “python’owych”.
Pokazę jak zainstalować SSL z Let’s Encrypta na systemie Debian 8 / Debian 7 / i serwerze WWW nginx 1.8.1 / 1.9.14
Aktualizacja systemu i instalacja GITa
1 2 3 | apt-get update apt-get upgrade apt-get install git -y |
Pobieramy najnowszą paczkę Let’s Encrypta
1 | git clone https://github.com/letsencrypt/letsencrypt |
Generowanie certyfikatu dla istniejącej witryny www
1 | sh /root/letsencrypt/letsencrypt-auto certonly --webroot --webroot-path /var/www --domains strona.pl,www.strona.pl --agree-tos --email admin@strona.pl |
–webroot –webroot-path /var/www – jest to ścieżka gdzie znajdują się pliki naszej witryny.
–domains strona.pl,www.strona.pl – Nazwa strony dla której ma zostać wygenerowany Certyfikat.
–email admin@strona.pl nasz adres e-mail w domenie.
Ustawienie autoodnowienia:
1 | sudo crontab -u root -l; echo "0 0 1 * * sh /root/letsencrypt/letsencrypt-auto renew >> /dev/null && service nginx restart >> /dev/null") | crontab -u root - |
Polecenie będzie wykonywane przez cron co q1 miesiąc aby zapewnić ciągłość działania i odnawiania się certyfikatu.
Poniżej konfiguracja vhosta:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 | server { listen 443 ssl; server_name strona.pl www.strona.pl; ssl on; ssl_certificate /etc/letsencrypt/live/strona.pl/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/strona.pl/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/strona.pl/chain.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=86400; resolver_timeout 10; ssl_prefer_server_ciphers on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK"; ### DALSZA CZĘŚĆ KONFIGURACJI ### } |
Accoglienza
Pytanie brzmi jak usunąć ten certyfikat ze swojej domeny?
Najszybciej to chyba w ustawieniu danego vhosta go po prostu wyłączyć.